Par Thyaga Vasudevan, vice-président de la gestion des produits, Skyhigh Security
Alors que les entreprises envisagent d’adopter des solutions Security Service Edge (SSE), elles soulèvent des questions sur la meilleure façon de sécuriser les données qui touchent le cloud de quelque manière que ce soit – que les données soient consultées ou stockées sur des sites Web, Software-as-a-Service (SaaS ) ou des applications privées qui résident dans le cloud.
Lors de l’évaluation des fournisseurs SSE, il est essentiel de s’assurer que leurs services de sécurité fournis dans le cloud offrent une protection des données cohérente et unifiée. Et ils suivent les mêmes politiques d’entreprise pour les appareils gérés et non gérés et pour tous les composants – de la passerelle Web sécurisée (SWG) au courtier de sécurité d’accès au cloud (CASB) en passant par l’accès privé zéro confiance, et même les appareils sur site.
Examinons quelques exemples concrets de la manière dont diverses technologies de protection des données entrent en jeu dans un SSE orienté données et natif du cloud.
Cas d’utilisation 1 : applications informatiques non autorisées à risque moyen à élevé
Vos cadres vont de réunion en réunion à l’aide d’un logiciel de prise de notes tel qu’Evernote qui synchronise les données avec le cloud. Même si Evernote n’est pas approuvé par le service informatique et considéré comme une application non autorisée, vous pouvez toujours autoriser certains employés à l’utiliser dans l’intérêt de la productivité. Mais vous craignez que des données sensibles ne soient téléchargées ou exfiltrées d’une application potentiellement risquée.
Le meilleur moyen de protéger vos données dans ce scénario consiste à ajuster vos stratégies SWG afin qu’elles soient plus granulaires ou à introduire des contrôles de sécurité des données supplémentaires. Vous pouvez utiliser votre cadre de politique d’entreprise et l’appliquer à un SWG, qui fonctionne en ligne au niveau du réseau et détecte les données sensibles circulant dans le trafic.
Cas d’utilisation 2 : applications cloud sanctionnées
Chaque jour, vos employés accèdent à des applications cloud autorisées ou sanctionnées par le service informatique, telles que Microsoft 365, Salesforce, Box et d’autres applications SaaS. Dans cette situation, un courtier en sécurité d’accès au cloud (CASB) qui applique la politique de votre entreprise offre la meilleure protection. Même si vous faites confiance à ces services cloud sanctionnés, vous ne souhaitez peut-être pas que les utilisateurs partagent des données sensibles entre plusieurs applications. Un CASB robuste peut détecter les données sensibles stockées, en cours d’utilisation ou en mouvement dans le cloud et interdire le partage en fonction de la politique.
Use case 3 : applications propriétaires dans le cloud public
De nombreuses équipes DevOps créent et déploient des applications sur des plates-formes de cloud public comme Amazon Web Services (AWS). Trop souvent, les développeurs laissent leur compartiment S3 dans un format réinscriptible, donc si des données sensibles sont utilisées dans cette application, les données sont exposées à l’ensemble d’Internet.
Prenons une institution financière qui construit une application interne déployée sur un cloud public. Un utilisateur accède à l’application, qui réside dans un compartiment AWS S3 non sécurisé et réinscriptible, et télécharge son formulaire W2 contenant des informations personnelles identifiables (PII). Si les données fuient, l’institution financière est ultimement responsable de la violation. La meilleure façon d’éviter cela consiste à tirer parti de la protection des applications natives du cloud qui se fond dans le contexte des données. Cela aide non seulement les organisations à gagner en visibilité sur les données sensibles stockées dans le cloud public et à identifier les vulnérabilités, les comportements à risque et les logiciels malveillants dans ces applications, mais cela les aide également à identifier et à corriger automatiquement les menaces.
Use case 4 : accès à distance aux applications privées
La culture actuelle du travail à domicile a prouvé que les VPN n’ont jamais été conçus pour des dizaines de milliers d’employés distants. De plus, les VPN offrent une protection minimale des données à des coûts plus élevés.
Les solutions d’accès réseau zéro confiance (ZTNA) connectent directement vos utilisateurs à des applications privées autorisées en appliquant les principes du moindre privilège et de la confiance zéro. Le problème est que bon nombre de ces solutions ne tiennent pas compte du contexte des données. Par exemple, les employés peuvent utiliser leurs ordinateurs portables d’entreprise pour accéder à GitHub, mais ils n’ont pas mis à jour leur antivirus, de sorte que leurs appareils peuvent présenter des vulnérabilités. Vous ne voulez pas empêcher ces utilisateurs d’être productifs et de faire leur travail, vous pouvez donc les acheminer vers une session d’isolement de navigateur distant. De cette façon, pour l’utilisateur, c’est transparent et il peut voir GitHub ou d’autres applications approuvées, mais il ne peut rien télécharger. Vous pouvez étendre cette technologie à vos points de terminaison sur site et à vos appareils personnels non gérés et appliquer les mêmes politiques à tous les niveaux.
Lorsque vous évaluez un fournisseur SSE, assurez-vous que sa technologie intégrée de prévention des pertes de données (DLP) protège les données sur le cloud, par appareil et sur site grâce à une application cohérente des politiques et à une classification des données. La technologie DLP doit être native du cloud et incorporer des politiques unifiées qui sont intégrées dans SWG, CASB, ZTNA et l’isolation de navigateur distant (RBI). Il doit être suffisamment intelligent pour appliquer ces politiques et contrôles unifiés afin de bloquer les multiples tentatives d’exfiltration de données.
Idéalement, un SSE devrait fournir un moteur DLP unique avec un seul tableau de bord centralisé de gestion et de création de rapports, un cadre de politique unique pour tous les vecteurs d’exfiltration de données et un ensemble multicouche de technologies de sécurité qui couvrent tous les cas d’utilisation possibles dans votre environnement.
Pour en savoir plus sur l’approche de Skyhigh Security en matière de DLP dans le cloud, cliquez sur ici.
Source link