Assurer la sécurité du cloud devient de plus en plus complexe, d’autant plus que le nombre de déploiements cloud continue de croître. Les organisations disposent de plusieurs options d’outils de sécurité cloud parmi lesquelles choisir, notamment des plates-formes de protection des applications cloud natives et la gestion de la posture de sécurité cloud.
En un mot, les CNAPP sont des suites de produits de sécurité cloud, dont CSPM. Les outils CSPM autonomes identifient spécifiquement les erreurs de configuration et les problèmes de conformité dans les environnements cloud.
Examinons de plus près les outils de sécurité cloud et comment ils se comparent.
Qu’est-ce qu’un CNAPP ?
Un CNAPP est une plate-forme de sécurité complète conçue pour relever les défis uniques des applications cloud natives. Ces plates-formes sécurisent généralement les conteneurs, les microservices, Kubernetes, les API et autres technologies cloud natives qui nécessitent un modèle de sécurité différent de celui de l’infrastructure traditionnelle.
Les CNAPP combinent les fonctions de sécurité suivantes dans une plateforme unifiée :
- CSPM.
- Plateforme de protection des charges de travail cloud (CWPP).
- Gestion des vulnérabilités.
- Protection d’exécution.
- Gouvernance des identités et des accès.
- Sécurité des pipelines DevOps.
La réunion de ces capacités permet aux CNAPP d’offrir une visibilité et une protection de bout en bout tout au long du cycle de vie des applications, du développement à la production. Cette intégration aide les équipes de sécurité à réduire la prolifération des outils, à améliorer le contexte lors de l’analyse des risques et à intégrer la sécurité plus tôt dans le processus de développement, permettant ainsi aux équipes de se déplacer vers la gauche.
Qu’est-ce qu’une plateforme CSPM ?
Les outils CSPM autonomes se concentrent plus étroitement sur la surveillance, l’évaluation et l’amélioration de la sécurité des environnements cloud. Ils analysent en permanence les comptes et services cloud à la recherche de mauvaises configurations, de violations de politiques et de risques de conformité. Par exemple, un outil CSPM peut détecter les compartiments de stockage accessibles au public, lorsque le chiffrement est désactivé pour les données sensibles, ainsi que les rôles de gestion des identités et des accès (IAM) trop permissifs.
Les outils CSPM fournissent généralement des rapports pour les cadres réglementaires, tels que le RGPD, la HIPAA et la PCI DSS, permettant aux organisations de démontrer leur conformité tout en réduisant leur surface d’attaque.
La principale force de l’outil réside dans sa capacité à fournir une visibilité centralisée sur la sécurité de l’infrastructure cloud, à appliquer des politiques et à prévenir les erreurs humaines ou la dérive par rapport aux meilleures pratiques chez plusieurs fournisseurs de cloud.
Comparaison entre le CNAPP et le CSPM
En termes simples, les outils CSPM servent de couche fondamentale en garantissant que l’infrastructure sous-jacente est configurée en toute sécurité, tandis que les CNAPP étendent la couverture de sécurité aux applications et aux charges de travail exécutées sur cette infrastructure.
Les outils CSPM sont très efficaces pour les organisations qui ont besoin de gestion de la gouvernance, de la conformité et de la posture, ce qui les rend bien adaptés aux environnements multi-cloud où les erreurs de configuration sont l’une des principales causes de violations.
Les CNAPP, en revanche, offrent des capacités plus avancées et plus complètes. Ils traitent les risques introduits dans le cycle de vie du développement logiciel, tels que les vulnérabilités dans les images de conteneurs ou les API non analysées, et ajoutent une surveillance de l’exécution pour détecter les activités suspectes au sein des charges de travail. Autrement dit, les outils CSPM se concentrent sur la sécurisation de l’environnement cloud, tandis que les CNAPP sécurisent les applications et les charges de travail fonctionnant dans le cloud.
Les deux catégories se chevauchent. Les CNAPP incluent presque toujours les capacités CSPM comme référence, car des configurations sécurisées sont une condition préalable à la protection des charges de travail cloud natives.
Les CNAPP vont au-delà des capacités CSPM en corrélant les erreurs de configuration avec les vulnérabilités des charges de travail et le comportement d’exécution, aidant ainsi les équipes à prioriser les problèmes de sécurité plus nuancés dans le cloud. Par exemple, alors qu’un outil CSPM peut signaler un rôle IAM mal configuré, un CNAPP montre comment ce rôle pourrait être exploité par un conteneur vulnérable en production. Ce contexte intégré réduit le bruit, permettant aux équipes de sécurité de se concentrer sur les risques les plus importants et de combler le fossé entre la sécurité de l’infrastructure et la sécurité des applications.
CNAPP vs CSPM : De quoi votre organisation a-t-elle besoin ?
Pour les organisations qui décident quel service donner la priorité, la décision dépend souvent de leur stade de maturité cloud et de la complexité de leurs environnements d’applications.
Les entreprises qui utilisent principalement des services cloud, tels que des machines virtuelles, des bases de données et du stockage, sans investir massivement dans des applications conteneurisées ou des pipelines pilotés par DevOps, pourraient trouver les outils CSPM suffisants. Ces outils offrent la visibilité, l’assurance de la conformité et la gestion des erreurs de configuration nécessaires pour réduire les risques courants liés au cloud. Avec les outils CSPM, les organisations peuvent établir une gouvernance solide et démontrer leur conformité aux auditeurs tout en maintenant des exigences opérationnelles relativement simples.
Les organisations qui créent ou exécutent des applications cloud natives avec des conteneurs, Kubernetes et des pipelines d’intégration continue/de livraison continue devraient sérieusement envisager de déployer un CNAPP. Les CNAPP sont mieux équipés pour gérer l’ensemble des risques dans des environnements dynamiques où les vulnérabilités et les menaces peuvent émerger non seulement de mauvaises configurations de l’infrastructure, mais également du code, des API et du comportement d’exécution des charges de travail.
Dans de nombreux cas, les CNAPP servent de stratégie de consolidation, réunissant CSPM, CWPP et d’autres fonctions critiques sur une seule plateforme, ce qui contribue à réduire la prolifération des outils et à améliorer l’efficacité.
En fin de compte, l’approche idéale pour de nombreuses organisations consiste à commencer par CSPM pour établir la gestion de la posture et la conformité, puis à adopter CNAPP à mesure que leurs environnements cloud natifs mûrissent. En alignant le choix de service sur leurs stratégies cloud actuelles et futures, les organisations peuvent s’assurer de créer un programme de sécurité qui évolue avec leur adoption du cloud.
Dave Shackleford est fondateur et consultant principal chez Voodoo Security, ainsi qu’analyste SANS, instructeur et auteur de cours et directeur technique GIAC.
