Stéphane Johnson, VP Sales EMEA South And Benelux chez Ixia examine pourquoi les tests continus sont essentiels afin d’assurer la sécurité, la performance et la résilience des charges de travail dans le cloud.
En 2015, Andy Jassy, en charge de la division AWS chez Amazon déclarait « Le cloud est devenu la nouvelle norme ». Depuis, l’élan des migrations vers ce type de plateforme n’a de cesse de prendre de l’ampleur car les entreprises cherchent à tirer parti de l’agilité, de l’évolutivité et des avantages économiques du cloud.
Dans son rapport State of the Hybrid Cloud 2017, Microsoft constatait que 63% des grandes et moyennes entreprises avaient déjà déployé un environnement en cloud hybride, qui représente un mix entre infrastructures sur site et en cloud public. Le dernier Global Cloud Index de Cisco prévoyait que 92% des charges de travail des entreprises seraient traitées dans le cloud (public et privé) d’ici à 2020.
L’avenir semble donc être « nuageux » tant les entreprises adoptent des stratégies de cloud hybrides, en utilisant les services de différents fournisseurs. Mais, quels que soient les services qu’elles utilisent ou leur secteur d’activité, toutes partagent des objectifs communs : elles veulent que leurs applications métier offrent une expérience utilisateur de qualité dans toutes les conditions, qu’elles soient sécurisées et résilientes et qu’elles soient aussi efficaces que possible.
La responsabilité partagée
Répondre à ces objectifs n’est pas toujours chose aisée. Pour paraphraser Graham Cluley, analyste en sécurité informatique, le cloud public est tout simplement l’ordinateur de quelqu’un d’autre. Si c’est au fournisseur d’offrir une base solide pour des applications hautement performantes et sécurisées, c’est bien à l’entreprise d’assumer la responsabilité de la sécurité, de la disponibilité, de la performance et de la gestion des processus associés à ces applications ; celle-ci ne pouvant pas être déléguée. Plus important encore, l’entreprise est responsable de la configuration et de la gestion des contrôles de sécurité fournis par le fournisseur de cloud.
Voici les défis auxquels les entreprises sont confrontées pour s’assurer que leurs applications cloud soient sécurisées, offrent une expérience utilisateur de qualité et soient rentables.
Défi n°1 : La sécurité du cloud
Obtenir une sécurité robuste dans le Cloud est un défi pour trois raisons. D’abord, il est difficile de comprendre les niveaux de sécurité d’une organisation (où a-t-on besoin d’une protection supplémentaire et où se situent les vulnérabilités potentielles), quel que soit l’environnement (cloud ou non). Parce qu’il existe de plus en plus de produits et de plates-formes de sécurité à gérer dans des environnements hybrides complexes, il devient de plus en plus difficile d’avoir une vue d’ensemble unique de la sécurité.
Ensuite, la nature dynamique des environnements cloud, conjuguée à un contexte de cyber-menaces de plus en plus important, exige que la sécurité y soit souple et fluide. Les politiques doivent être renforcées en fonction des infrastructures qu’elles protègent.
Enfin, il existe une pénurie d’expertise en matière de sécurité puisque les équipes informatiques existantes ont déjà la charge de gérer les outils et processus en place dans l’environnement hybride.
Les solutions de sécurité en cloud génèrent d’énormes volumes d’événements de sécurité, ce qui, pour ceux qui s’en occupent, rend difficile la définition des priorités et la remédiation aux risques.
Défi n°2 : Expérience utilisateur
En fonction des applications, les SLAs et les attentes utilisateurs sont différents. (Par exemple une sandbox et une application de vente en ligne). L’expérience utilisateur repose généralement sur deux facteurs : les performances des applications et la disponibilité des services. Lorsque celles-ci sont compromises, l’insatisfaction des utilisateurs peut rapidement se traduire par la perte d’un client.
Pourtant, la complexité des multiples choix de conception dans le cloud public rend la garantie d’une expérience utilisateur cohérente encore plus compliquée. Des facteurs tels que l’infrastructure cloud sous-jacente hébergeant l’application, la connectivité réseau entre l’utilisateur et l’application, les performances des éléments de diffusion d’applications (par exemple, les équilibreurs de charge de session) et la conception et l’architecture réelles de l’application peuvent tous avoir un impact sur l’expérience utilisateur.
Défi n°3 : Coûts et efficacité
Les fournisseurs de cloud offrent une variété d’options pour créer des applications rentables, évolutives et hautement disponibles. Des modèles fondés sur les services publics avec des frais à la demande, aux options de prix réservées et aux offres au comptant ou aux enchères, l’entreprise peut choisir le modèle qui répond à ses besoins. Le défi consiste à déterminer lequel est le meilleur.
L’optimisation des coûts consiste donc à évaluer le prix et la performance en fonction de besoins précis. Les paramètres et les conceptions d’architecture doivent être optimisés pour fournir l’auto-échelle d’application requise et prendre en charge les pics et les creux de la demande au fur et à mesure qu’ils surviennent. Les choix de conception liés à la sécurisation des charges de travail vont des terminaux de sécurité fonctionnant à l’intérieur de chaque instance, aux appliances de sécurité réseau en divers endroits, en passant par un contrôle de sécurité offert par le fournisseur de cloud.
Chacun de ces choix fonctionne à des coûts différents, a un impact différent sur les performances applicatives et offre différents niveaux d’efficacité en matière de sécurité. Compte tenu de cette complexité, il n’est pas facile de comprendre comment choisir les solutions les plus efficaces, à moins que les organisations ne puissent modéliser les applications et les vecteurs de menaces qui les ciblent.
Relever ces défis grâce aux tests
Pour relever ces défis, les entreprises qui migrent une partie ou la totalité de leurs flux de travail vers le cloud doivent être prêtes à intégrer des tests cohérents dans leurs processus, tant en pré-production qu’en production. Il existe une relation directe entre le test et le risque. En mettant en place des procédures de test dès le début, les entreprises peuvent réduire considérablement leur exposition au risque et s’assurer qu’elles tirent pleinement parti des avantages du cloud.
Avant qu’une migration cloud n’ait lieu (pré-production) les tests permettent d’obtenir des informations quantifiables qui permettent aux architectes de sécurité, aux architectes réseau et aux équipes de sécurité de sélectionner un fournisseur de la manière la plus éclairée possible, en prenant en compte l’optimisation des performances et des coûts, l’évolutivité, la disponibilité, le besoins éventuels en formation).
En supposant que les exigences fonctionnelles soient satisfaites, les responsables des achats doivent déterminer quel fournisseur de cloud public propose l’offre la plus rentable en termes de prix et de performance. Ils doivent établir dans quelles mesures les outils disponibles pour sécuriser les charges de travail applicatives sont efficaces, sécurisés et, en fin de compte, idéaux pour répondre à leurs besoins spécifiques.
En ce qui concerne les questions de performance et d’optimisation des coûts, les responsables informatiques et sécurité doivent confirmer comment les stratégies et les architectures de sécurité peuvent être optimisées, et quels sont les meilleurs paramètres pour une stratégie d’auto-scaling. Ces décisions sont basées sur une série de facteurs, de l’utilisation de la mémoire aux nouveaux débits de connexion, et là encore, la consolidation et l’analyse de ces facteurs ne peuvent se faire que par un processus de test rigoureux et réel.
Ensuite, il y a des questions sur la façon dont l’architecture cloud fonctionnera une fois déployée. Où sont les goulots d’étranglement dans l’architecture applicative au fur et à mesure qu’elle évolue ? À quelle vitesse les applications s’auto-récupèreront-elles suite à des erreurs et comment l’expérience utilisateur sera-t-elle affectée si certains services applicatifs échouent ?
Tests de pré et post-production
Répondre à ces questions nécessite de mettre en place un programme d’essais pré-production extensif, avec des charges réalistes et la modélisation des menaces, ainsi que des scénarios de basculement. Cela offre aux entreprises l’assurance que le cloud leur donnera plus de pouvoir qu’elle ne les restreindra. Cela permet également aux ingénieurs et aux analystes de la sécurité de mieux comprendre ce avec quoi ils travaillent.
Mais ces tests ne doivent pas s’arrêter une fois que le cloud est déployé. Leur poursuite en continu en phase de production est essentielle pour surveiller les dégradations de service et donner l’assurance d’un service sécurisé.
En conclusion, puisque le cloud est la nouvelle norme, les tests continus des charges de travail sur le cloud doivent être adoptés eux aussi comme la nouvelle norme, à toutes les étapes du déploiement et de la diffusion des applications. Le test est le seul moyen pour les entreprises de s’assurer qu’elles peuvent tirer pleinement parti des avantages du cloud, sans les risques liés aux failles de sécurité, à une mauvaise expérience utilisateur ou des coûts inutiles.