L'adoption du partitionnement du réseau comme mesure de sécurité préventive de base peut réduire la surface d'attaque d'une entreprise et empêcher efficacement les mouvements latéraux. La vie d'un attaquant devient plus difficile car il ne peut pas mener une attaque en accédant à toutes les machines virtuelles (VM) directement depuis Internet.
Et même s'ils accèdent au réseau de l'entreprise, ils ne peuvent pas passer rapidement d'une machine virtuelle à la suivante si les pare-feu et les zones restreignent les connexions et le trafic du réseau interne. L’essor de l’intelligence artificielle et de l’automatisation informatique remet cependant en question un principe de cloisonnement fondamental : les étapes.
Bien que les méthodes d'ingénierie agiles aient remplacé l'ancien modèle en cascade, des phases telles que la zone de développement, la zone de test, la zone de pré-production et la zone de production existent toujours. Certains services informatiques utilisent deux ou trois phases différentes, et certains d'entre eux discutent des phases de tests d'intégration ou de tests unitaires. Le but est le même :
Évitez les tests en production et testez également en test avant de résoudre consciemment les problèmes de production. La stabilité opérationnelle des applications étant essentielle pour de nombreuses entreprises, les modifications non testées ne sont pas autorisées dans les environnements de production. Stage permet et applique ce principe.
● Restreindre les machines qui stockent des données sensibles, par exemple en autorisant uniquement les données synthétiques ou anonymisées pendant les phases de développement et de tests unitaires.
Quantity Gêne les mouvements latéraux, notamment depuis les serveurs de développement vers les machines de production qui ne sont souvent pas parfaitement protégées.
En pratique, une conception de réseau plus large ferait la différence entre les zones internes et externes, c'est-à-dire les zones accessibles par Internet, et placerait des pare-feu d'application Web et des solutions de gestion d'interface d'application (API) entre Internet et les zones externes. Le pays ou l’unité commerciale sont d’autres dimensions de partitionnement largement utilisées. Des concepts de partitionnement identiques ou plus simples peuvent être utilisés pendant les phases hors production.
Il s’agit d’une configuration traditionnelle. Au cours des dernières années, l’intelligence artificielle et l’automatisation informatique ont pris le devant de la scène et ont entraîné des changements.
La haute disponibilité et les cycles rapides de déploiement du code nécessitent tous deux l'automatisation du centre de données. De plus, l'automatisation rend les administrateurs plus efficaces. L'installation et la configuration du logiciel ne nécessitent désormais qu'un seul clic, alors qu'avec 20 disquettes, les administrateurs devaient jongler avec 20 disquettes dans le cadre d'un travail à temps plein.
Les serveurs de surveillance d’aujourd’hui sont dotés d’alarmes automatiques. Si une intervention manuelle est nécessaire, ils en informent les administrateurs de manière proactive. De plus, les pipelines CI/CD sont standard. Cependant, ces gains d'efficacité nécessitent des modifications du concept de partitionnement du réseau.
Cette solution de surveillance peut être utilisée pour vérifier la disponibilité des machines virtuelles et des composants réseau et rechercher des événements suggérant d'éventuels incidents de sécurité. Nous pouvons placer les composants de surveillance dans une zone dédiée au sein de la zone de production ou complètement séparée. Évidemment, si ces applications sont séparées par partition, les erreurs opérationnelles sont moins susceptibles de se produire. De plus, les pare-feu doivent être activés de manière sélective plutôt que de simplement activer tous les pare-feu.
D'autres solutions, comme la gestion des correctifs ou l'analyse des vulnérabilités, entrent dans la même catégorie que les solutions de surveillance. Bien qu'il soit possible d'éviter une telle solution avec un accès multi-étapes, par définition, un pipeline CI/CD implique toujours des opérations multi-étapes.
Le code doit d'abord être déployé sur l'ordinateur portable local, puis sur le serveur de test, l'environnement d'intégration et enfin déployé sur l'environnement de production. Par conséquent, la nature pure du pipeline CI/CD nécessite un accès multi-étapes. De même, si un outil doit déployer et modifier des machines virtuelles à toutes les étapes, le pare-feu entre les zones ne doit pas être complètement supprimé mais uniquement ouvert de manière sélective pour cet outil.
L'IA a eu l'idée de séparer les données de production des activités de développement. La formation d'un modèle d'IA nécessite l'exécution d'algorithmes pour détecter les dépendances, qui impliquent des milliers de variables et des millions d'ensembles de données, rendant la détection manuelle impossible.
Même si les données sensibles telles que les noms, adresses et numéros de sécurité sociale des clients ne sont pas incluses, la formation doit toujours être étayée par des données réelles. Les tâches de type développement, telles que la formation de modèles, doivent être effectuées dans un environnement de production car elles doivent être exécutées sur des données de production. Cependant, il est logique de créer un (sous-)domaine de production distinct pour l’IA et l’analyse. En règle générale, l’IA nécessite de conserver d’énormes volumes de données et de les séparer en toute sécurité des flux de travail normaux.
Les composants d'automatisation informatique et les environnements de formation à l'IA sont différents des charges de travail normales des applications. Les deux doivent s'adapter aux concepts de partitionnement traditionnels pour permettre une connectivité entre les étapes. Cependant, il est crucial de distinguer les instances de production de leur ingénierie.
L'ingénierie des plateformes d'intelligence artificielle et le suivi des outils d'automatisation suivent les méthodes d'ingénierie habituelles de l'entreprise. Les ingénieurs travaillent d'abord dans le domaine du développement, puis promeuvent les modifications apportées aux environnements de test, de pré-production et de production. S'il n'y a pas d'exigences particulières, suivez généralement les règles classiques de l'ingénierie : connectez-vous uniquement à l'étape en cours et ne fournissez pas de données de production pour le développement et les premiers tests.
En résumé, les concepts traditionnels de partitionnement et de segmentation sont toujours bien vivants dans les années 20, même s'il existe quelques exceptions pour les outils liés à l'automatisation informatique et à la formation de modèles d'intelligence artificielle. Le monde des zones et des scènes ne devient pas flou, il devient de plus en plus coloré et complexe.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!