6 meilleures plateformes de sécurité des charges de travail cloud
Sécurité des charges de travail cloud (CWS)est une nouvelle discipline qui applique des processus de sécurité aux services et logiciels basés sur le cloud.
La technologie derrière CWS est complexe et repose sur un nouveau système appelé Filtre de paquets Berkeley étendu (eBPF). Considérez l’eBPF comme un croisement entre télémétrie systèmes et conteneurs .
Nous n’approfondirons pas la méthodologie de l’eBPF car, dans ce guide, nous nous concentrons sur la sécurité des flux de travail cloud. Ce type de service commence par suivi des performances car vous ne pouvez pas protéger un système sans connaître ses composants ainsi que ses limites. À ce titre, CWS fait partie de la discipline émergente du « observabilité », qui recherche des méthodes alternatives pour suivre l'activité au sein des systèmes basés sur le cloud, tels que les microservices.
Voici notre liste des six meilleures plateformes de sécurité des charges de travail cloud :
- Sécurité des charges de travail cloud Datadog Cette plate-forme basée sur le cloud implémente la protection des charges de travail dans le cloud comme une avancée par rapport au système de traçage distribué parallèle proposé par le fournisseur. Ce service comprend également la surveillance de l'intégrité des fichiers.
- Protection du cloud Zscaler Cette plate-forme fonctionne comme un réseau virtuel sécurisé sur Internet et inclut la protection des données en mouvement entre les charges de travail cloud.
- Microsoft Defender pour le cloud Il s'agit de Windows Defender bien connu et largement fiable, porté sur la plate-forme Azure et destiné à protéger les systèmes basés sur le cloud.
- William Core Cette plateforme met en œuvre la « micro-segmentation », qui est une forme de conteneurisation cloud qui permet au système de protéger les échanges de données entre les modules sur le cloud.
- VMWare AppDefense Ce service de sécurité cloud met en œuvre l'analyse comportementale et le suivi des anomalies comme principale stratégie de protection.
- Sécurité approfondie de Trend Micro Ce service fonctionne comme un gestionnaire de vulnérabilités cloud et comprend un service de correctifs virtuels pour combler les faiblesses de sécurité des charges de travail cloud.
Une fois que le système CWS a identifié tous les composants d'un service, il examine les activités de ces modules pour détecter un comportement anormal pouvant indiquer une prise de contrôle malveillante. Plusieurs techniques peuvent être utilisées pour effectuer cette détection – toutes deux actuellement mises en œuvre par AV de nouvelle génération et SIEM systèmes.
L'observabilité peut étendre ses activités du suivi des performances des microservices à l'enregistrement de ces observations et à l'établissement de une ligne de base d'activité normale. Si ce comportement change soudainement, vous pourriez avoir un problème de sécurité. La deuxième méthode consiste à utiliser une base de données de signatures. Ceci est presque identique au Indicateurs de compromis (IoC) que les systèmes SIEM utilisent.
Le fait que CWS soit une sorte de « télémétrie plus ' signifie que les meilleurs fournisseurs dans ce domaine sont les plates-formes cloud qui ont déjà perfectionné un service de traçage distribué. De nombreux composants des applications Web sont exécutés par des langages de programmation en texte brut qui ne sont pas compilés. Par conséquent, le système de traçage distribué peut acquérir le code au fur et à mesure de son exécution et le scanner. profilage de code .
Qu'est-ce que la sécurité des charges de travail cloud ?
UN ' charge de travail cloud » est un service, une application, une plateforme, un framework, une bibliothèque de fonctions ou un logiciel que vous installez sur un serveur virtuel cloud. Tout logiciel exécuté sur une plateforme cloud est une charge de travail.
À mesure que les services cloud deviennent de plus en plus importants, il est nécessaire de trouver de nouveaux moyens de surveiller et sécuriser ces processus deviennent plus urgents.
La sécurité des charges de travail cloud est également appelée Plateforme de protection des charges de travail cloud (CWPP). Tout comme vous devez protéger vos ressources sur site contre les logiciels malveillants, les intrusions et la perte de données, vous devez sécuriser les ressources que vous utilisez dans le cloud computing. Bien qu'Amazon et Azure proposent des plateformes sécurisées, il n'existe aucun moyen de savoir si un acteur malveillant est en train de concevoir un moyen de détourner des systèmes de bases de données ou des serveurs Web basés sur le cloud.
Pourquoi avez-vous besoin d’une sécurité des charges de travail cloud ?
De nombreuses applications sont désormais créées avec la prise en charge de frameworks de développement, d'API et de bibliothèques de fonctions tiers. Ces prestations de service fournir des fonctions testées et fiables qui réduisent le temps de développement. Cependant, ces API, fonctions et services de structure sont tous des appels à de petits programmes qui s'exécutent ailleurs sur des serveurs que vous ne possédez pas et auxquels vous n'avez pas accès. Beaucoup d’entre eux comptent sur le soutien de autres services . Une API peut gérer plusieurs couches de microservices qui s’exécutent sur différents serveurs partout dans le monde.
Une petite modification du processus inconnu pourrait extraire toutes les informations personnelles identifiables de vos clients au fur et à mesure de leur traitement. Cela constituerait une grave faille de sécurité. Un fournisseur bien intentionné pourrait mettre en œuvre sécurité insuffisante dans son service et si des pirates détectent cette faiblesse, toutes vos données pourraient être volées.
Vous n’avez pas besoin d’être impliqué dans le développement d’applications pour être vulnérable aux vulnérabilités de sécurité des charges de travail cloud. De nombreux logiciels d'entreprise ont été convertis en Logiciel en tant que service (SaaS). Dans ce scénario, vous disposez de processeurs cloud et d’espace de stockage, mais vous perdez le contrôle de la sécurité.
Les plates-formes CWS rétablissent votre contrôle sur les logiciels basés sur le cloud que votre entreprise utilise.
Les meilleures plateformes de sécurité des charges de travail cloud
Le chemin Plateformes CWS fonctionner est compliqué. Cependant, vous ne devriez pas avoir besoin de passer du temps à déterminer ce que fait le système de sécurité, vous devez être capable de l'utiliser de la même manière que les méthodes que vous utilisez actuellement avec un package SIEM pour vos actifs sur site.
Vous pouvez en savoir plus sur chacun de ces services dans les sections suivantes.
Que devez-vous rechercher dans une plateforme de sécurité des charges de travail cloud ?
Nous avons examiné le marché des plateformes CWS et analysé les fournisseurs sur la base des critères suivants :
- Un tableau de bord qui interprète clairement les découvertes d'actifs cloud
- Un système capable de cartographier les dépendances des applications
- Des outils qui incluent des indicateurs de sécurité et automatisent l’identification des vulnérabilités
- Un mécanisme d'alerte qui attire l'attention sur les faiblesses de la sécurité des charges de travail cloud
- Un service automatisé qui permet de répondre rapidement aux problèmes de sécurité
- Un essai gratuit ou une démo pour une opportunité d'évaluation sans frais
- Rapport qualité/prix, représenté par un outil compétent à un prix raisonnable
En gardant ces critères à l’esprit, nous avons identifié les nouvelles plateformes CWS les plus impressionnantes actuellement disponibles sur le marché.
1. Sécurité des charges de travail cloud Datadog
Sécurité des charges de travail cloud Datadog les usages eBPF pour examiner les noyaux des plates-formes et des conteneurs cloud. Le système examine également les fichiers et les échanges de données à la recherche d'attaques et peut fournir des traces complètes sur les activités d'accès aux données.
Principales caractéristiques:
- Examine tous les processus cloud
- Utilise eBPF pour examiner les noyaux
- Inclut la surveillance de l'intégrité des fichiers
- Alertes de sécurité
- Combine des stratégies
Datadog est très doué pour présenter les données de manière digestible manière dans son tableau de bord, afin que vous ne vous enlisiez pas dans des détails techniques lors de l’utilisation du système. Il vous suffit de regarder les rapports d'activité en direct sur l'écran qui résument l'activité et met en évidence les menaces et d'éventuelles failles de sécurité.
La stratégie de détection Datadog combine un analyse des vulnérabilités style de détection avec un Détection d'une anomalie système. L'outil analysera les systèmes et leurs modules contributifs, capturera leur code et l'analysera. Le système comprend un fonction d'alerte vous n'avez donc pas besoin de vous asseoir et de regarder le tableau de bord pour détecter les problèmes de sécurité.
Avantages:
- Technologie de pointe
- Analyse préventive ainsi que suivi des activités en direct
- Des règles de détection personnalisées sont possibles
- Scanne les conteneurs
- Console basée sur le Web
Les inconvénients:
- Ne surveille pas AWS Fargate
Il est facile de s'abonner à Datadog et son Sécurité des charges de travail cloud Le package n’est qu’un des modules proposés par cette plateforme. Vous pouvez combiner cet outil avec une analyse des journaux, un SIEM et une surveillance du réseau pour obtenir un contrôle total sur l'ensemble de votre système informatique. Datadog Cloud Workload Security est disponible pour un essai gratuit de 14 jours .
2. Protection cloud Zscaler
Protection du cloud Zscaler est un confiance zéro système d'accès qui sécurise les chemins entre les modules fonctionnant sur Internet et crée un réseau virtuel. Le forfait comprend également un Gestion de la posture de sécurité du cloud (CSPM) qui évalue les vulnérabilités de configuration dans les services cloud. Ainsi, le système renforce la sécurité des charges de travail et protège ensuite leurs échanges de données contre les intrus.
Principales caractéristiques:
- Protection de la transmission de données d'application à application
- Conteneurisation des charges de travail
- Met en œuvre la micro-segmentation
- Permet une référence de comportement
Le système Zscaler est compliqué et équivaut à une forme de conteneurisation qui regroupe des groupes de services qui travaillent ensemble afin qu'ils puissent être protégé des interférences. Cela est possible même si ces processus et charges de travail associés peuvent s’exécuter sur de nombreux serveurs différents situés à différents emplacements.
Les activités de chaque ensemble de charges de travail segmenté peuvent être référencées à l'aide apprentissage automatique , puis les écarts par rapport à ce comportement standard provoqueront des alertes de sécurité.
Avantages:
- Protection innovante
- Méthodes de sécurité légères qui ne ralentissent pas les transmissions
- Protection des échanges de données
- Analyse des vulnérabilités pour les systèmes cloud
Les inconvénients:
- Difficile à conceptualiser
Le système Zsaler peut être appliqué à tous les processus déployés par les réseaux hybrides, ce système met en œuvre la sécurité des applications sur tous les sites et plates-formes et ne s'applique pas uniquement aux charges de travail cloud. Tu peux demander une démo pour évaluer la stratégie Zscaler.
3. Microsoft Defender pour le cloud
Microsoft Defender pour le cloud est une version basée sur le cloud du Windows Defender système que l’on peut trouver sur n’importe quel PC dans le cadre du système d’exploitation Windows. Le système Cloud est un service sur la plateforme Azure. Ce package combine la gestion de la posture de sécurité du cloud et la sécurité des charges de travail du cloud pour prévenir les faiblesses de sécurité, puis surveillez les menaces logicielles ou manuelles.
Principales caractéristiques:
- Hébergé sur Azure
- Évaluations de vulnérabilité
- Protection en direct
Bien que Microsoft Defender pour Cloud soit hébergé sur Azur , cela ne protège pas seulement les actifs sur cette plateforme. Il peut également assurer la sécurité des charges de travail exécutées sur AWS et Plateforme Google Cloud . Le service couvre même les systèmes sur site, il s'agit donc d'un package de sécurité complet pour les réseaux hybrides et multisites. Il protégera les systèmes et conteneurs virtuels, ainsi que les applications telles que les bases de données, les systèmes de messagerie et les serveurs Web.
Avantages:
- Renforcement du système et surveillance de la sécurité
- Couvre les actifs sur site sur plusieurs sites
- Peut être adapté aux exigences de conformité aux normes
Les inconvénients:
- Pas bon pour les personnes qui veulent éviter les produits Microsoft
Offres Microsoft un niveau gratuit pour cela et 25 autres services sur sa plateforme Azure. Cela vous donne une valeur de service de 200 $ pour le premier mois. L’utilisation au-dessus de ce niveau est facturée selon un tarif à l’utilisation.
4. William Core
William Core utilise un micro-segmentation stratégique et est axé sur les applications. Ce sont des mots à la mode qui se résument à un ensemble de services qui contribuent à une seule application destinée aux utilisateurs. C'est la même stratégie que celle utilisée par Zscaler.
Principales caractéristiques:
- Technologie de pointe
- Suivi de la performance
- Protection des applications
Comme Zscaler, Illumio donne accès aux applications plutôt qu'aux plates-formes ou aux équipements, tels que les serveurs. Il s'agit d'un concept difficile à comprendre, mais il s'agit d'une solution significative à la complexité de la gestion des composants qui fonctionner sur différents serveurs . La conteneurisation de plusieurs services dans une application virtuelle bloque les tentatives de malware d'entrer dans un système en cours d'exécution : si un programme ne figure pas sur la liste des modules participants, il n'y pénètre pas. De même, l'enveloppe externe chiffre échanges de données entre les unités, afin de confondre les intrus et les fouineurs.
La méthode Illumio masque les composants internes du monde extérieur mais pas de son service de surveillance. Dans le cadre de son travail de micro-segmentation, le système Illumio Core recherche tous les services contributifs et crée un carte des dépendances des applications . Ainsi, tout en créant un wrapper pour protéger le groupe, il suit toujours l'activité de chaque unité individuellement.
Avantages:
- Protège les microservices qui contribuent à une seule application
- Carte des dépendances des applications
- Suivi des composants et groupes de services
Les inconvénients:
- Certains pourraient avoir du mal à comprendre la technologie
Si vous êtes le genre de personne qui a besoin de comprendre toute la technologie que vous utilisez, vous pourriez être découragé d'utiliser ce service car il nécessite une connaissance complète. changement de compréhension à la façon dont vous avez l'habitude de penser au fonctionnement de votre réseau et à la manière dont il doit être protégé. Vous pouvez jeter un œil au système Illumio Core en assistant à une Laboratoire virtuel session.
5. VMware AppDefense
VMWare AppDefense est un service de protection des mouvements de données. VMWare est le maître de virtualisation , créant des points de terminaison imaginaires sur un seul appareil et les connectant à un réseau qui n'existe qu'au sein du serveur. Portez ce concept sur Internet et vous avez les grandes lignes du AppDefense système.
Principales caractéristiques:
- Protection de connexion
- Analyse du comportement
- Détection d'une anomalie
AppDefense crée un réseau virtuel entre les charges de travail qui interagissent les unes avec les autres. Cela signifie que les étrangers ne peuvent pas s’insérer dans le processus en interceptant le trafic ou en insinuant des modules supplémentaires dans le pot. En plus de fournir un manteau pour les opérations, cet outil utilise apprentissage automatique pour établir une base de comportement normal et repérer les activités anormales.
Les produits de virtualisation de VMWare sont disponibles pour une mise en œuvre sur site et sous forme de services sur les principales plates-formes cloud. AppDefense s'entrelace avec vos systèmes VMWare actuels pour créer un environnement hybride et relier toutes les virtualisations afin que les applications composites et leurs microservices puissent nager ensemble en toute sécurité dans l'environnement virtuel, quel que soit l'emplacement de l'infrastructure physique de support.
Avantages:
- Relie les virtualisations VMWare sur site et dans le cloud
- Crée un espace sûr pour que les systèmes fragmentés puissent travailler ensemble
- Sépare les dépendances des applications des systèmes d'exploitation
Les inconvénients:
- N'intègre pas l'activité des conteneurs
VMware AppDefense fonctionne mieux car une solution VMWare totale . Autrement dit, il vous serait conseillé d'opter pour les produits VMWare sur toutes vos plates-formes pour tirer le meilleur parti de cette solution de sécurité cloud. Découvrez ce système à travers une vidéo de 30 minutes Laboratoire VMware vSphere .
6. Sécurité approfondie de Trend Micro
Sécurité approfondie de Trend Micro est un système combinant gestionnaire de vulnérabilités, anti-malware et détection d'intrusion pour les ressources sur site, cloud et virtuelles. Ce système comprend un mécanisme de découverte automatique qui identifiera tout nouveau logiciel installé sur une plate-forme surveillée, puis effectuera une recherche pour découvrir tous ses services de support et créera un carte des dépendances des applications .
Principales caractéristiques:
- Protège les systèmes hybrides
- Identifie les vulnérabilités du système
- Bloque les logiciels malveillants
Ce service s'interfacera avec les outils de reporting natifs fournis par AWS, Google Cloud Platform, Azure, IBM Cloud, Oracle Cloud, Hyper-V, Citrix XEN, VMWare, Docker et Kubernetes pour suivre l'activité puis établir une ligne de base de comportement normal. Il recherche ensuite les écarts par rapport à ce modèle qui indiqueraient la présence d'un logiciel malveillant, d'une menace interne ou d'un intrus.
Avantages:
- Inclut le mappage des dépendances des applications
- Utilise la détection d'anomalies
- Option auto-hébergée
Les inconvénients:
- N'inclut pas le profilage du code
Trend Micro Deep Security est une plateforme SaaS . Cependant, vous pouvez également demander au logiciel de s'exécuter en tant que une appliance virtuelle sur site ou sur votre cloud privé. Le service peut également être utilisé pour tester la sécurité des applications sur les systèmes en cours de développement. Vous pouvez évaluer ce système avec un essai gratuit de 30 jours .