A l’heure du Cloud généralisé pour les applications, qu’en est-il de la sécurité dans le nuage et plus spécifiquement pour les solutions de "Web content filtering" ?
A côté des pure players Cloud canal historique ScanSafe (racheté par Cisco en 2009) et Zscaler, les concurrents venant du canal habituel des équipements dédiés tels Websense ou BlueCoat proposent tous maintenant des solutions de filtrage d’URL et de protection antimalware dans le nuage.
La promesse est sensiblement la même partout : « envoyez-nous vos requêtes Web vers nos équipements dans le Cloud et nous nous chargeons de supprimer les menaces, filtrer les sites non appropriés, vous donner une interface d’administration et de reporting conviviale et simple d’utilisation ». Tout cela sans ajouter de la latence et en s’adaptant à vos évolutions!
Mais ces solutions de filtrage et de sécurité répondent-elles à tous les besoins et sont-elles plug and play ou plug and pray ?
l’universalité : une promesse qui n’engage que ceux qui la font ?
Si ces solutions sont parfaitement adaptées à la navigation des utilisateurs sédentaires (protocoles Http / Https / FTP over HTTP) et redirection des flux maitrisée, il n’en va pas forcément de même pour certains applicatifs métiers qui nécessitent des accès Web sur des ports exotiques. Autre point de vigilance : la gestion du FTP avec client dédié n’est en général pas adressé par les solutions Cloud. La gestion des différentes exceptions doit faire l’objet d’un traitement spécifique.
De plus, dans certains pays les autorités interceptent le trafic internet pour y appliquer des politiques de filtrage gouvernementales. Je citerais en particulier la Chine mais également (liste non exhaustive):
- l’Arabie Saoudite
- les Emirats Arabes Unis
- Bahreïn
- le Koweït
- le Vietnam
Ces pays doivent être traités à part soit en ramenant le trafic internet en IP VPN vers une plateforme centralisée soit en connectant en IP Sec ou SSL les utilisateurs vers un nœud Cloud proche géographiquement (par exemple Hong Kong pour la Chine).
de la disponibilité : le nuage est-il le même dans tous les cieux ?
Une différence apparaît entre les éditeurs quand on examine le nombre et la dispersion géographique des datacenters utilisés pour créer les Clouds proposés. Si historiquement l’Amérique du nord est bien maillée, l’Europe est plus ou moins bien traitée. Pour nos amis Anglo-saxons, l’Europe se limite souvent au Royaume Uni, parfois l’Allemagne et la France (mais toujours la Suisse en raison de son cadre juridique particulier et de son rôle sur le marché financier !) L’Europe du Sud est souvent la grande oubliée.
L’Amérique du Sud est chez la plupart des éditeurs couverte à minima. Enfin, l’Afrique et le Moyen Orient font figure de désert avec au mieux un datacenter en Afrique du Sud. Cette couverture famélique est problématique pour les entreprises minières, pétrolières, de transport ou de BTP et pour les nomades. Enfin, la zone Asie / Océanie est généralement correctement traitée avec un gros point noir : la Chine pour les raisons déjà évoquées.
Pour l’utilisateur, en l’absence de Datacenter proche de l’endroit où il se trouve, il devra se connecter sur des équipements dans un autre pays. Le temps de latence lié à l’éloignement peut se révéler gênant et dégradera l’image de la solution. De plus, certains éditeurs répercutent une partie du prix de la bande passante Internet sur l’abonnement. Pour toutes ces raisons, dans ces zones à faible couverture nuageuse, la redirection des flux internet dans un VPN vers une passerelle centralisée a encore tout son sens.
la délicate gestion de la mobilité
Si la redirection des flux Web d’un utilisateur sédentaire est assez simple (tunnel entre le routeur Internet et l’équipement Cloud, chainage de proxy ou proxy pac), la redirection des utilisateurs nomades est également un point de vigilance. Comment sécuriser le surf des personnes se connectant à Internet depuis un accès personnel ou public ?
Deux approches s’affrontent :
- soit installer un client léger sur le poste pour forcer la redirection du traffic
- soit recourir au déploiement d’un proxy pac
Les deux méthodes nécessitent toutefois un paramétrage du poste client qui peut se révéler complexe à mettre en œuvre et facile à contourner avec certains navigateurs (dès que les utilisateurs sont administrateurs de leur poste). Une importance particulière devra donc être apportée aux permissions accordées aux utilisateurs des postes nomades (GPO, etc).
Enfin, la sécurisation des smartphones et tablettes en matière de filtrage d’URL est encore en devenir. En effet, si sur iOS il est possible de forcer (si l’utilisateur le veut bien) l’établissement d’un tunnel avec une passerelle Cloud, le monde Androïd est largement démuni.
conclusion
En conclusion, si la mise en œuvre n’est pas plug and pray dans la plupart des cas, elle n’est pas non plus plug and play. J’espère vous en avoir convaincu au vu de ces quelques points de vigilance.
Philippe
Crédit photo : © benjaminnolte - Fotolia.com
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.