Les identités négligées : les machines et les workloads comptent également
Nous avons tendance à penser « l'identité numérique » comme l'ensemble des informations en ligne liées à l'humain qui nous permettent d'accéder à divers services et applications (p. ex. : les noms d'utilisateur et les mots de passe que nous utilisons).
Aujourd'hui, alors que l'importance de notre vie en ligne ne cesse de croître, cette identité devient indispensable pour la grande majorité de nos actions, qu'il s'agisse de notre sécurité ou de réaliser des transactions en toute fluidité.
Cependant, les organisations négligent souvent un aspect fondamental de l'identité numérique : l'identité machines. Ici, les « machines » désignent aussi bien les appareils IoT que les serveurs, et même les workloads qui s'exécutent ces derniers, comme les conteneurs, les microservices ou les scripts Bash. Or, toutes ces composantes requièrent des identités.
Ces dernières peuvent être piratées et exploitées (tout comme les identités humaines) et exposer des informations critiques. Non gérées de manière cohérente dans l'ensemble des environnements, elles posent donc des risques importants.
Une gestion cohérente de l'identité
Avec la généralisation des environnements multi-cloud et des architectures cloud-native, le nombre d'identités de machines et de workloads explose.
En 2023, les identités de workloads étaient à elles seules 10 fois plus nombreuses que les identités humaines. Et ce n'est qu'un début, puisque cet écart devrait bientôt être multiplié par 100.
Pour garantir la sécurité des organisations à l'ère numérique, il est indispensable de comprendre et de gérer ces identités. Mais comment garantir leur cohérence à l'échelle des entreprises ?
Avec l'essor du cloud, les workloads augmentent de manière exponentielle et imposent l'identité en tant qu'enjeu crucial au niveau des organisations. Du simple script aux workloads les plus complexes, tout ce qui fonctionne au sein de votre entreprise implique les mêmes exigences de sécurité qu'une identité humaine.
Les identités en tant que telles ne suffisent plus : elles doivent être cohérentes, sécurisées, éphémères et faire l'objet d'une vérification rigoureuse. À l'image des utilisateurs qui peinent à gérer de multiples identifiants, emplacements et mots de passe (ce qui entraîne de la frustration, accroît les risques et nuit à la productivité), les workloads peuvent poser les mêmes défis. Et pour les protéger des menaces, il convient de gérer les identités de manière cohérente.
Lire aussi : IaaS : Google, plus "visionnaire" que les autres ?
La pyramide des identités des workloads
Abordez les identités des workloads comme une pyramide. À sa base, nous trouvons les identités des workloads et la gestion de l'intégralité de leur cycle de vie. Le niveau supérieur est celui de l'authentification, qui permet de s'assurer que chaque entité est correctement identifiée et vérifiée.
Nous arrivons ensuite au niveau de l'autorisation, qui détermine les ressources ou les actions auxquelles l'entité est autorisée à accéder. Au sommet, nous accédons à la gouvernance, où les règles d'authentification et d'autorisation sont supervisées et gérées. Ce n'est que lorsque chaque niveau de la pyramide est atteint que l'on peut envisager la prochaine étape, avant de se diriger vers l'objectif final : la normalisation.
À mesure que des plateformes de développement comme Kubernetes se généralisent, la création d'une norme open-source permettant d'identifier de manière cohérente et sécurisée les systèmes logiciels devient cruciale. En effet, toutes les workloads requièrent des identifiants vérifiables.
Si tous les fournisseurs adoptent la même norme, les outils et systèmes provenant de différentes sources pourront s'intégrer et communiquer plus efficacement, ce qui renforcera la compatibilité et élargira l'impact des solutions. En instaurant des normes de gouvernance, les organisations peuvent mieux se prémunir contre les risques croissants. Les équipes informatiques et de sécurité peuvent ainsi identifier, gérer et contrôler les workloads, indépendamment de l'endroit où elles sont exécutées.
Les normes open-source SPIFFE (Secure Production Identity Framework For Everyone) sont un bon exemple. Tout comme Kubernetes, on retrouve les normes SPIFFE à la Cloud Native Computing Foundation (CNCF), aux côtés de nombreux autres projets avec lesquels elles sont susceptibles d'interagir. Bien qu'elles soient conçues et pensées pour Kubernetes, elles peuvent également être appliquées sur des solutions traditionnelles et propriétaires sur site. Elles deviennent ainsi un atout de choix pour les ingénieurs plateforme et les équipes Infosec.
Des workloads numériques et sécurisées
La sécurité des identités ne se limite plus à la protection des identités humaines. Ce périmètre de sécurité appartient au passé. Aujourd'hui, les services s'exécutent partout : infrastructures sur site, cloud et au-delà.
Pour garantir la sécurité de votre entreprise, les collaborateurs doivent vérifier leur identité : c'est également le cas pour les machines et les workloads qui interagissent les unes avec les autres. Ce faisant, elles permettent aux équipes informatiques de gérer et de sécuriser plus efficacement les workloads dans divers environnements cloud.
Et sans cet aspect, le risque d'exposition, de violations de conformité et de failles de sécurité augmente. Les normes ouvertes telles que SPIFFE permettent d'obtenir des identifiants cohérents et vérifiables pour toutes les entités, ce qui renforce la compatibilité et la sécurité.
Avec la démocratisation du cloud et des environnements multi-cloud, la sécurisation de l'identité des machines et des workloads devient indispensable. Il s'agit là d'un élément fondamental pour réduire les risques et renforcer la sécurité des organisations au sens large.
Matt Barker, Responsable monde de l'Architecture de l'identité des workloads - Venafi.
Sur le même thème
Voir tous les articles Cybersécurité