Comment permettre à des utilisateurs de travailler depuis des réseaux non approuvés sans avoir besoin d’un VPN ?
En 2011, Google avait commencé à se pencher sur la question dans le cadre d’un projet nommé BeyondCorp.
Il s’agissait, à l’origine, d’une initiative interne. Le groupe américain l’a depuis lors ouverte à tous ses clients cloud à travers la solution « Accès contextuel ».
BeyondCorp applique un modèle de sécurité fondé sur des réseaux « zéro confiance ». Il offre un contrôle d’accès non plus au niveau du périmètre réseau, mais au niveau des utilisateurs et des appareils individuels.
Google applique la même approche aux architectures de microservices (dites « cloud-native ») à travers un autre projet : BeyondProd.
Le postulat : tout comme les utilisateurs sont mobiles et se servent de différents appareils à différents endroits, les microservices se déplacent et sont déployés dans différents environnements.
L’approche « zéro confiance » est mise en œuvre avec une solution personnalisée de sécurisation de la couche de transport : ALTS (Application Layer Transport Security).
Proposant un système d’authentification mutuelle et de chiffrement des données en transit, elle s’exécute au niveau de la couche d’application pour protéger les communications RPC (appels de procédures à distance) sur l’infrastructure Google Cloud.
Dans ce modèle de confiance, les identités sont liées à des entités plutôt qu’à un nom de serveur ou à un hôte spécifique. Ce qui facilite la réplication des microservices, l’équilibrage de charge et la replanification entre les hôtes.
BeyondProd, c’est aussi, entre autres, une nouvelle approche en matière d’isolation des tâches. Aux mécanismes « traditionnels » de séparation physique ou par hyperviseur, Google substitue gVisor, son bac à sable pour Docker et Kubernetes.
La vérification d’intégrité du code et des machines a également son importance. Elle se reflète, en particulier, dans les nœuds GKE protégés.
Ces derniers vérifient leur intégrité tout au long de leur cycle de vie, par l’intermédiaire de fonctions telles que :
Photo d’illustration © Macrovector – Shutterstock.com
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…