L’informatique en nuage a changé les règles du jeu dans le domaine des technologies de l’information et, dans le même temps, les règles du jeu pour les attaquants. Une mauvaise configuration des ressources en nuage, des chemins latéraux invisibles entre les services, des identités privilégiées sans surveillance – voilà les principales sources d’incidents dans les environnements en nuage d’aujourd’hui. Prisma Cloud de Palo Alto Networks est une plateforme CNAPP qui aborde ces problèmes de manière globale – du code à l’exécution, de la configuration de l’infrastructure aux identités et aux charges de travail. Dans cet article, nous vous expliquons comment elle fonctionne et ce qu’elle apporte concrètement aux organisations opérant sur plusieurs clouds.
Table des matières
- Qu’est-ce que Prisma Cloud et que signifie CNAPP ?
- Quels sont les risques spécifiques aux environnements multi-cloud ?
- CSPM – Gestion du niveau de sécurité de l’informatique en nuage
- CWPP – protection de la charge de travail dans l’informatique dématérialisée
- CIEM – Gestion des identités et des droits
- Sécurité du code – sécurité au stade du développement
- Prisma Cloud et la conformité réglementaire
- Principales conclusions
- FAQ
- Résumé
Qu’est-ce que Prisma Cloud et que signifie CNAPP ?
CNAPP – Cloud-Native Application Protection Platform – est une catégorie de produits de sécurité qui combine en une seule plateforme des fonctionnalités qui n’étaient auparavant disponibles que sous forme d’outils séparés : CSPM, CWPP, CIEM et Code Security. Prisma Cloud de Palo Alto Networks est l’un des leaders de cette catégorie. L’idée derrière CNAPP provient de l’observation que les attaques sur les environnements en nuage sont rarement basées sur une seule vulnérabilité – elles sont généralement une chaîne d’événements : une mauvaise configuration plus des permissions inutilisées plus un manque de surveillance de l’exécution égale une attaque réussie.
Des outils séparés pour chacune de ces couches ne peuvent pas voir l’ensemble de la chaîne. Prisma Cloud peut voir – et c’est là son avantage fondamental. La plateforme s’intègre à AWS, Azure, GCP et Oracle Cloud via des API natives, analysant toutes les ressources automatiquement et en continu. Le portefeuille Ramsdata de Palo Alto Networks couvre l’ensemble de ses produits, y compris Prisma Cloud et le NGFW de nouvelle génération.
Quels sont les risques spécifiques aux environnements multi-cloud ?
Les environnements multi-cloud génèrent des risques de sécurité spécifiques que les outils de sécurité traditionnels ne voient pas. Les mauvaises configurations sont statistiquement la plus grande source d’incidents – buckets S3 ouverts, snapshots de disques publics, groupes de sécurité trop ouverts. Chaque plateforme cloud a des milliers de configurations possibles, et la vérification manuelle est impossible à l’échelle.
L’explosion des identités et des autorisations constitue un autre problème – dans les grandes organisations, il existe des dizaines de milliers de rôles IAM, de comptes de service et de clés API, dont une proportion importante dispose d’autorisations bien plus larges que nécessaire. Un attaquant qui s’empare d’un de ces comptes peut se déplacer latéralement dans l’ensemble de l’environnement. Le manque de visibilité entre les services dans une architecture microservices signifie que les flux de données anormaux passent inaperçus. Tous ces problèmes sont traités par les modules Prisma Cloud.
CSPM – Gestion du niveau de sécurité de l’informatique en nuage
CSPM (Cloud Security Posture Management) est le module de Prisma Cloud chargé d’analyser en permanence la configuration des ressources en nuage pour détecter les écarts par rapport aux modèles de sécurité et aux exigences de conformité. La plateforme se connecte aux comptes AWS, Azure et GCP via l’API et analyse automatiquement toutes les ressources – instances, conteneurs, bases de données, réseaux, politiques IAM.
Les résultats sont présentés sous la forme d’une liste de configurations défectueuses, avec une hiérarchisation des risques et des instructions précises pour y remédier. Certaines configurations peuvent être corrigées automatiquement par des mécanismes d’auto-remédiation. CSPM couvre les exigences réglementaires des CIS Benchmarks, PCI-DSS, HIPAA, SOC 2 et GDPR, en générant des rapports de conformité prêts à l’emploi pour les auditeurs. Pour les entreprises opérant dans un environnement réglementé, cela permet d’économiser des centaines d’heures de travail manuel.
CWPP – protection de la charge de travail dans l’informatique dématérialisée
CWPP (Cloud Workload Protection Platform) protège ce qui s’exécute dans le cloud – machines virtuelles, conteneurs, fonctions sans serveur. L’agent Prisma Cloud installé sur les hôtes et clusters Kubernetes offre une visibilité sur les processus, les connexions réseau et l’activité des fichiers au moment de l’exécution. Toute anomalie – processus spawning à partir d’un conteneur web, connexion à une IP externe, modification d’un fichier système – est détectée et alertée en temps réel.
Le CWPP comprend également l’analyse des images de conteneurs avant leur déploiement – chaque image est vérifiée pour détecter les vulnérabilités connues (CVE), les secrets intégrés dans le code et la non-conformité avec les politiques du CIS. Cette approche de « sécurité décalée vers la gauche » permet de détecter les problèmes avant que tout ne soit mis en production. – permet de détecter les problèmes avant qu’ils ne soient mis en production. Pour plus d’informations sur les solutions de sécurité de la couche endpoint, visitez la page NAC Endpoint Security de Ramsdata.
CIEM – Gestion des identités et des droits
CIEM (Cloud Infrastructure Entitlement Management) est un module qui aborde le problème des droits excessifs dans les environnements en nuage. Prisma Cloud cartographie toutes les identités – utilisateurs, rôles IAM, comptes de service, clés API – et analyse leur utilisation réelle par rapport aux privilèges accordés. Le résultat est une carte graphique des risques liés à l’identité avec des recommandations pour réduire les autorisations au minimum requis (principe du moindre privilège).
Le CIEM détecte également des schémas dangereux : des comptes avec des privilèges administratifs qui n’ont pas été utilisés depuis des mois, des comptes de service avec un accès aux ressources de production, des clés API temporaires qui sont devenues permanentes. Les recommandations de remédiation automatique réduisent rapidement la surface d’attaque sans avoir à analyser manuellement des milliers de permissions.
Sécurité du code – sécurité au stade du développement
Code Security est un module qui s’intègre aux référentiels de code (GitHub, GitLab, Bitbucket) et scanne l’IaC (Infrastructure as Code) – Terraform, CloudFormation, Kubernetes YAML – pour détecter les mauvaises configurations de sécurité avant que le code ne soit déployé. Les développeurs obtiennent un retour d’information sur les problèmes directement dans les demandes d’extraction, ce qui élimine le risque de déployer des configurations incompatibles.
Prisma Cloud recherche également les secrets – clés API, mots de passe, jetons – intégrés dans le code ou les fichiers de configuration. Il s’agit de l’un des vecteurs d’attaque les plus courants contre les environnements en nuage, que Code Security élimine dès l’étape de révision du code.
Prisma Cloud et la conformité réglementaire
Pour les organisations opérant dans un environnement réglementé, Prisma Cloud offre des cadres de conformité clés en main – CIS Benchmarks pour AWS/Azure/GCP, PCI-DSS, HIPAA, SOC 2, ISO 27001, GDPR et bien d’autres. Chaque ressource est automatiquement mise en correspondance avec les exigences réglementaires et évaluée pour la conformité. Les rapports de conformité sont automatiquement générés et peuvent être exportés dans des formats acceptables pour les auditeurs.
Principales conclusions
- Prisma Cloud est une plateforme du CNAPP qui combine CSPM, CWPP, CIEM et Code Security en un seul outil.
- Le CSPM analyse en permanence les configurations des ressources en nuage et détecte les écarts par rapport aux modèles de sécurité.
- CWPP protège les charges de travail au moment de l’exécution et analyse les images des conteneurs avant leur déploiement.
- Le CIEM met en correspondance toutes les identités et les autorisations, en indiquant les droits d’accès excessifs.
- Code Security s’intègre au pipeline CI/CD, détectant les problèmes avant que le code ne soit mis en production.
- La plateforme prend en charge AWS, Azure, GCP et Oracle Cloud avec un panneau de gestion unifié.
FAQ
Prisma Cloud nécessite-t-il un agent sur chaque machine ? Le module CSPM fonctionne sans agent – via l’API du cloud. CWPP nécessite un agent léger (Defender) sur les hôtes protégés et dans les clusters Kubernetes.
Comment Prisma Cloud s’intègre-t-il aux SIEM existants ? Prisma Cloud prend en charge l’intégration avec Splunk, Elastic, QRadar et d’autres SIEM via des API standard et des connecteurs prêts à l’emploi. Les alertes et les journaux peuvent être transmis en temps réel.
Prisma Cloud fonctionne-t-il dans des environnements sur site ? Prisma Cloud est optimisé pour les environnements en nuage. Les environnements sur site peuvent être surveillés par des agents CWPP, mais les fonctionnalités CSPM et CIEM complètes nécessitent des ressources en nuage.
A quoi ressemble la licence Prisma Cloud ? Les licences sont modulaires – les organisations peuvent acheter uniquement les modules dont elles ont besoin. La tarification est basée sur le nombre de ressources protégées ou la largeur de bande.
Résumé
Prisma Cloud est la réponse complète aux défis de sécurité dans les environnements multi-cloud – des mauvaises configurations aux autorisations excessives en passant par les menaces d’exécution. L’intégration de toutes les couches de protection dans une plateforme unique vous permet de voir l’ensemble de la chaîne d’attaque et de réagir plus rapidement. Si vous gérez une infrastructure multi-cloud et recherchez une plateforme qui vous donne une visibilité et un contrôle complets, contactez Ramsdata, partenaire de Palo Alto Networks.
