Wiz Defend est là : détection et réponse aux menaces pour le cloud

Qu'est-ce que CWPP ? [Cloud Workload Protection Platform]

Une plateforme de protection des charges de travail cloud (CWPP) est une solution de sécurité qui fournit une surveillance et une protection continues contre les menaces pour les charges de travail cloud dans différents types d'environnements cloud.

Équipe d'experts Wiz
7 minutes lues

Qu'est-ce qu'une plateforme de protection des charges de travail cloud ?

Une plateforme de protection des charges de travail cloud (CWPP) est une solution de sécurité qui assure une surveillance et une protection continues des charges de travail cloud dans différents types d'environnements cloud. CWPP protège les charges de travail cloud exécutées sur des serveurs privés virtualisés et des infrastructures de cloud public, des centres de données sur site et des plateformes de charges de travail sans serveur comme AWS Lambda.

La sécurité des charges de travail dans le cloud , également connue sous le nom de protection des charges de travail dans le cloud, est un ensemble de contrôles de sécurité visant à protéger les charges de travail basées sur le cloud.

C'est cette protection complète qui place CWPP au-dessus des autres solutions de cybersécurité. Comme l'explique Gartner, CWPP joue le rôle de gardien de vos charges de travail « quel que soit leur emplacement ».

Qu’est-ce qu’une charge de travail cloud ? 

Une charge de travail cloud est un ensemble de ressources utilisées pour exécuter un processus ou une fonction métier spécifique. Ces ressources peuvent inclure des machines virtuelles, des conteneurs, des bases de données, des applications et des données. Les charges de travail cloud peuvent être déployées sur diverses plates-formes cloud, notamment des environnements cloud publics, privés et hybrides.

Comment fonctionne le CWPP ?

CWPP combine l'apprentissage automatique, l'analyse comportementale et les défenses automatisées , qui fonctionnent ensemble pour garantir la sécurité de vos charges de travail cloud, quel que soit l'endroit où elles s'exécutent. Il examine attentivement les modèles et les variations minuscules, essayant de comprendre ce qui est normal pour votre système. Grâce à cette compréhension, il est capable de repérer tout ce qui est inhabituel et qui pourrait constituer une menace. Il peut instantanément déclencher un signal d'alarme et activer des playbooks de réponse pour arrêter une menace de sécurité potentielle avant qu'elle ne cause de réels dommages.

Le CWPP doit commencer par une visibilité complète de la charge de travail, non seulement des charges de travail elles-mêmes, mais également de leurs interconnexions à travers l'environnement

La première étape d'un CWPP consiste à analyser les charges de travail et à détecter les éventuelles vulnérabilités de sécurité. Il suggère ensuite des mesures correctives pour traiter ces vulnérabilités. Enfin, une fois les menaces connues neutralisées, le CWPP surveille également les menaces qui peuvent survenir en production ou pendant l'exécution.

D’un point de vue opérationnel, CWPP facilite la vie des professionnels de la cybersécurité, car il leur offre un point de vue unique et centralisé à partir duquel ils peuvent visualiser l’ensemble de leur parc technologique, qu’il soit cloud, hybride ou sur site. Plutôt que de changer de contexte entre plusieurs outils de sécurité, les professionnels de la cybersécurité peuvent se concentrer davantage sur les problèmes clés qui doivent être traités dans l’ensemble de leurs systèmes logiciels.

Conseil pro

L'équipe de recherche Wiz a découvert que 58 % des environnements cloud disposent d'au moins une charge de travail exposée publiquement avec une clé cloud à long terme stockée en texte clair. Cela augmente considérablement le risque de mouvement latéral dans le VPC et entre les VPC.

Pour en savoir plus

Avantages du CWPP

Explorons les principaux avantages grâce auxquels CWPP permet aux organisations de se défendre contre les vulnérabilités potentielles de votre pile technologique de bout en bout :

  • Visibilité sans faille : CWPP vous offre une visibilité améliorée des applications basées sur le cloud afin que vos équipes de sécurité puissent examiner les activités, identifier les anomalies et prendre des mesures préventives contre les menaces avec une précision chirurgicale. Cela vous permet de rester au courant des risques de sécurité potentiels en temps réel et de protéger de manière proactive les données sensibles et les applications critiques.

  • Détection proactive des menaces : la détection des menaces en temps réel de CWPP reconnaît et analyse les menaces émergentes et garantit que les failles de sécurité sont étouffées dans l'œuf. Elle vous donne l'avantage de réagir aux incidents dès qu'ils se produisent, réduisant ainsi les dommages potentiels que l'incident peut causer.

  • Application des politiques : CWPP intègre de manière transparente les politiques de sécurité dans l'ensemble de votre infrastructure cloud et garantit la conformité aux mandats réglementaires et aux protocoles de sécurité internes.

  • Audit et reporting de conformité : CWPP garantit le respect des cadres réglementaires stricts, la protection des données sensibles et la sécurité des opérations critiques. De cette façon, vous pouvez être tranquille, sachant que votre organisation est protégée contre les conséquences de la non-conformité.

Principales caractéristiques à rechercher dans un CWPP

Avec le nombre de solutions de cybersécurité disponibles, vous avez besoin d'une liste pratique de fonctionnalités essentielles à rechercher dans une solution CWPP performante. Vous devrez examiner attentivement chaque option et prendre en compte la compatibilité et l'évolutivité avant de faire votre choix. 

Voici les principaux éléments indispensables pour votre plateforme CWPP :

Protection de l'exécution : le cœur et l'âme de votre CWPP réside dans sa capacité à fournir une protection inébranlable en temps réel. Cela signifie que les menaces qui tentent d'infiltrer vos charges de travail cloud sont rapidement détectées et neutralisées sans délai. Avec la protection de l'exécution dans votre boîte à outils CWPP, vous pouvez être assuré que les dommages potentiels sont atténués et que vos opérations se poursuivent sans interruption.

Détection des menaces en temps réel et réponse aux incidents : un CWPP peut détecter les menaces connues et inconnues et les activités suspectes dans vos environnements cloud, y compris l'exécution de code à distance, les logiciels malveillants, le crypto-minage, les mouvements latéraux , l'escalade des privilèges, l'évasion de conteneurs, etc.

Recevez des alertes en temps réel pour renforcer votre sécurité contre une variété de logiciels malveillants

Analyse sans agent : si vos solutions CWPP prennent en charge cette fonctionnalité, vous pouvez dire adieu aux tracas liés au déploiement d'agents et profiter des avantages de l'analyse sans agent sur l'ensemble de votre pile cloud. L'analyse sans agent simplifie la gestion de la sécurité du cloud, car elle est beaucoup plus facile à utiliser. De plus, elle est économe en ressources, ce qui garantit que votre environnement cloud reste optimisé à grande échelle.

Une solution sans agent doit offrir une couverture complète des ressources PaaS, des machines virtuelles, des conteneurs, des fonctions sans serveur ou des données sensibles stockées

Gestion des vulnérabilités : l'évaluation des vulnérabilités d'un CWPP doit hiérarchiser les vulnérabilités en fonction de leur gravité, de leur exploitabilité et de la valeur des actifs qu'elles affectent. Cela aide les organisations à se concentrer sur les vulnérabilités qui présentent le plus grand risque pour leur organisation.

Intégration CI/CD : pour renforcer la sécurité du cloud à chaque étape du cycle de vie de votre développement logiciel (SDLC), l'intégration transparente de votre CWPP dans le pipeline d'intégration et de déploiement continus (CI/CD) est indispensable. En intégrant des mesures de sécurité à chaque étape de votre processus de développement, vous créez des applications qui résistent aux vulnérabilités potentielles.

Les intégrations prédéfinies permettent aux équipes de sécurité de créer des flux de travail automatisés pour acheminer rapidement les problèmes vers les bonnes équipes en vue de leur résolution.

Évaluations de conformité : une solution CWPP complète doit également évaluer en continu vos charges de travail dans tous les cadres de conformité. Les résultats doivent être compilés dans une carte thermique de conformité pour permettre aux équipes de sécurité de déterminer rapidement les domaines sur lesquels se concentrer.

Exemple de carte thermique de conformité

CWPP contre CSPM

En général, les CWPP et les CSPM sont des outils complémentaires qui peuvent être utilisés ensemble pour fournir une approche globale de la sécurité du cloud. Les CWPP peuvent aider à protéger les charges de travail cloud contre les attaques, tandis que les CSPM peuvent aider à prévenir les erreurs de configuration qui peuvent rendre les charges de travail cloud plus vulnérables aux attaques.

Exemples de cas d'utilisation pour CWPP

Détection des attaques sans fichier ciblant les charges de travail

L'équipe de recherche Wiz a récemment découvert une attaque sans fichier appelée PyLoose, qui cible les charges de travail cloud à l'aide d'un script Python qui exploite la technique sans fichier Linux memfd. Les attaques sans fichier, comme PyLoose , sont particulièrement difficiles à cerner en raison de leur dépendance à l'exécution basée sur la mémoire et à la fonctionnalité Linux memfd, ce qui les rend plus difficiles à détecter, à analyser et à attribuer.

Heureusement, le capteur d'exécution Wiz a pu détecter des comportements malveillants, tels que la livraison et l'exécution de charges utiles, se déroulant à l'intérieur de la charge de travail. Vous trouverez ci-dessous un exemple de détection du CWPP :

Alerte du capteur d'exécution pour l'exécution sans fichier (y compris PyLoose)

Consultez le blog de l'équipe de recherche ci-dessous pour obtenir une analyse étape par étape de la manière dont l'attaque Pyloose s'est déroulée et comment elle a été détectée.

Un utilisateur surprivilégié restreint

Imaginez que vous voyez le service A accéder à un autre service B hautement prioritaire, auquel il n'accède généralement pas. Vous vous demandez si quelque chose ne va pas. Votre CWPP est en mesure de vous donner un aperçu de chaque service, de ses autorisations et de la manière dont vous pouvez les sécuriser. 

Vous utilisez votre solution CWPP pour creuser et découvrir que le service A dispose d'un accès en lecture et en écriture au service B, et qu'il nécessite un accès en lecture seule. Vous disposez de toutes les informations nécessaires pour réduire les privilèges du service A et lui attribuer un secret dynamique avec un accès en lecture seule au service B la prochaine fois. CWPP vous fournit ce contexte crucial et vous permet de mettre en place les contrôles d'accès appropriés

Révéler la mauvaise configuration du cloud et détecter les dérives

La gestion efficace des configurations d'hôte dans les infrastructures d'application complexes et tentaculaires d'aujourd'hui est un défi complexe qui peut entraîner des vulnérabilités et des erreurs de configuration. CWPP permet de relever ce défi grâce à des règles de configuration d'hôte personnalisées .

Les règles de configuration d'hôte personnalisées sont comme une loupe pour les boîtes noires qui sont souvent des machines virtuelles. Ces règles identifient les erreurs de configuration et vous permettent de zoomer sur la configuration sans avoir à explorer une ressource spécifique.

Exemple d'un éditeur de règles personnalisé qui permet d'inclure une variété de critères, des tests de contenu de fichier aux tests d'autorisation

Les règles de configuration d'hôte personnalisées permettent aux utilisateurs de créer une logique sur mesure qui est exécutée lors d'analyses automatisées et sans agent des charges de travail. Cela signifie que les commandes manuelles sur les machines virtuelles ou les fichiers d'application ne sont plus nécessaires, ce qui garantit une couverture complète de l'ensemble du parc cloud.

Des règles personnalisées peuvent également être appliquées automatiquement à toute nouvelle charge de travail et déterminer si le système d'exploitation ou l'application cloud est mal configuré. Ainsi, si au fil du temps la configuration change en raison d'une intervention de l'utilisateur ou d'une intention malveillante, un CWPP auditera les modifications et vous avertira en cas de dérive de la configuration .

Le CWPP n’est qu’une partie de l’équation

Dans un paysage cloud en constante évolution, il ne faut pas sous-estimer l'importance des CWPP. Avec CWPP à vos côtés, vous bénéficiez d'une visibilité étendue et d'une détection proactive des menaces sur vos charges de travail, mais la sécurité du cloud ne s'arrête pas là.

Une stratégie globale de sécurité du cloud implique une combinaison de solutions cloud, notamment :

  • CWPP pour protéger les charges de travail de bout en bout

  • Gestion des droits d'infrastructure cloud (CIEM) pour gérer les autorisations à grande échelle

  • Gestion de la posture de sécurité du cloud ( CSPM )  pour une gestion sécurisée de la configuration et des ressources

Cette combinaison de solutions est appelée plateforme de protection des applications natives du cloud (CNAPP) . L'adoption d'une solution CNAPP moderne peut vous aider à suivre le rythme de l'évolution rapide du paysage cloud et de la complexité d'un paysage technologique fragmenté.

Pour voir par vous-même comment une solution CNAPP consolide les avantages de produits ponctuels en une seule plateforme, planifiez une démonstration avec nos experts produits Wiz.

Sécurisez vos charges de travail, de la création à l'exécution

Découvrez pourquoi les RSSI des entreprises à la croissance la plus rapide sécurisent leur cloud avec Wiz. Obtenir une démo

Demander une démo 

FAQ sur le CWPP

Continuer la lecture

What is a Data Risk Assessment?

Équipe d'experts Wiz

A data risk assessment is a full evaluation of the risks that an organization’s data poses. The process involves identifying, classifying, and triaging threats, vulnerabilities, and risks associated with all your data.

AI Governance: Principles, Regulations, and Practical Tips

Équipe d'experts Wiz

In this guide, we’ll break down why AI governance has become so crucial for organizations, highlight the key principles and regulations shaping this space, and provide actionable steps for building your own governance framework.

The EU Artificial Intelligence Act: A tl;dr

Équipe d'experts Wiz

In this post, we’ll bring you up to speed on why the EU put this law in place, what it involves, and what you need to know as an AI developer or vendor, including best practices to simplify compliance.

What is Application Security (AppSec)?

Application security refers to the practice of identifying, mitigating, and protecting applications from vulnerabilities and threats throughout their lifecycle, including design, development, deployment, and maintenance.