Depuis ses débuts, One Mount Group privilégie les investissements en matière d'infrastructure cloud et d'outils SaaS. Il a néanmoins maintenu son VPN sur site, qui permettait un accès à distance aux ressources du groupe. À mesure que l'entreprise se développait, et alors que le travail à distance s'imposait en tant que norme, cet équipement physique commença à engendrer certaines frustrations, devenues trop impérieuses pour rester ignorées.
Le VPN se révélait très gourmand en temps pour les membres de l'équipe informatique One Mount Group, notamment en matière de configuration et de dépannage. Il pouvait en outre faire preuve de lenteur ou d'un manque de fiabilité, en particulier concernant le trafic vers les applications SaaS. Le déploiement de mesures de contrôle sur certaines applications spécifiques ou groupes d'utilisateurs pouvait se montrer si fastidieux que les administrateurs accordaient parfois « l'accès à tout », laissant ainsi l'entreprise ouverte aux menaces liées aux mouvements latéraux.
Avec le temps, One Mount finit par reconnaître la nécessité de réduire cet excès de confiance et d'adopter les bonnes pratiques (comme le refus d'accès par défaut) afin de permettre au groupe d'adopter le travail à distance et les initiatives de type « Bring-Your-Own-Device » (BYOD).
One Mount utilisait les services Cloudflare d'amélioration des performances depuis sa création, afin de protéger ses propriétés web externes. Le groupe vit là une opportunité d'étendre cette sécurité à ses opérations internes, par la mise en œuvre de notre plate-forme Zero Trust. Plus spécifiquement, cette plate-forme (nommée Cloudflare for Teams) comprend une solution d'accès réseau Zero Trust permettant de protéger les applications dans les environnements cloud, sur site et SaaS, ainsi que notre solution de passerelle web sécurisée, Secure Web Gateway, conçue pour protéger les utilisateurs contre les menaces circulant sur Internet.
En outre, afin de faciliter la personnalisation du code nécessaire au renforcement des performances et de la sécurité, One Mount devait ajouter la solution Cloudflare Workers, un produit offrant aux développeurs un environnement d'exécution serverless leur permettant de créer des applications entièrement nouvelles ou d'enrichir les applications existantes grâce au déploiement de code personnalisé à la périphérie, sans devoir configurer ou entretenir une infrastructure.
One Mount a commencé son parcours au sein de l'univers Zero Trust en protégeant ses applications internes basées sur le web, avant de sécuriser progressivement de plus en plus d'applications, en termes de volume et de diversité. Cette extension de la sécurité impliquait récemment de tirer parti des capacités de proxy de transfert proposées par Cloudflare afin de rationaliser l'authentification aux ressources traditionnelles (comme celles de partage de fichiers), autrefois uniquement accessibles « sur le réseau » au sein d'une agence physique One Mount.
Aujourd'hui, One Mount protège des centaines d'applications pour des centaines de collaborateurs (employés ou indépendants) et de sous-traitants. L'entreprise anticipe également l'abandon intégral de son VPN dans un avenir proche. Par la suite, l'entreprise envisage d'automatiser la quasi-totalité de ses procédures de protection des applications par l'intermédiaire d'une approche « infrastructure-as-code » (l'infrastructure en tant que code) prise en charge par Cloudflare.
« L'adoption du Zero Trust fut un choix très simple à faire. Notre objectif consiste à nous imposer comme une entreprise « tout Internet », afin de disposer de toutes les ressources nécessaires dans le cloud », déclare Phạm Anh Liêm, directeur de la cybersécurité. « Nous ne souhaitons pas nous voir limités par le périmètre d'un réseau d'entreprise. C'est la raison pour laquelle la plate-forme Zero Trust de Cloudflare s'est révélée aussi bien adaptée à nos besoins. »
One Mount apprécie singulièrement la flexibilité de Cloudflare, notamment concernant l'intégration simultanée de plusieurs fournisseurs d'identité. Cloudflare simplifie la définition de politiques basées sur le groupe et l'identité, en particulier par rapport au processus fastidieux et source d'erreurs que constitue la configuration d'un VPN.
« Cloudflare nous a fait gagner beaucoup de temps », affirme Liêm. « Nous le constatons chaque fois que nous développons une nouvelle application. Il est devenu tellement simple et facile d'ajouter des protections en fonction du fournisseur d'identité que nous avons choisi. »
Cette même flexibilité d'intégration des fournisseurs d'identité s'étend aux intégrations de logiciels de protection des points de terminaison (Endpoint Protection, EPP). Plus spécifiquement, One Mount s'appuie sur l'intégration de Cloudflare à son fournisseur EPP préféré pour définir des politiques d'accès tenant compte des appareils et établies selon le principe du moindre privilège. L'extension de la visibilité et de la sécurité résultant de cette intégration permet à One Mount d'adopter pleinement le modèle BYOD. L'entreprise prévoit d'ailleurs de déployer le client Cloudflare pour appareils sur l'ensemble des points de terminaison des collaborateurs d'ici la fin 2021.
« Avec un si grand nombre de collaborateurs en télétravail, il devient impossible de faire confiance à chaque appareil. Nous devons donc nous assurer que chaque requête adressée à nos systèmes est validée à l'aide des facteurs adéquats avant d'accorder un éventuel accès », précise Liêm.
One Mount étend cette approche Zero Trust à la navigation Internet en appliquant des filtres et en élargissant la visibilité aux connexions sortantes de ses utilisateurs. Avant le passage à Cloudflare, les utilisateurs n'étaient protégés des logiciels malveillants et des destinations Internet risquées que lorsqu'ils se trouvaient dans les locaux d'une agence physique du groupe.
« Nous souhaitons que nos collaborateurs soient protégés à chaque instant de leur navigation sur Internet, pas uniquement lorsqu'ils utilisent le réseau de l'entreprise », indique Liêm.
À mesure que l'entreprise se développe, One Mount se réjouit d'avoir fait appel à Cloudflare pour faire évoluer son approche Zero Trust fondée sur le cloud.
« Nous sommes l'une des premières entreprises du Vietnam à proposer des services financiers numériques intégralement hébergés sur un cloud public », déclare Liêm, « et Cloudflare constitue un partenaire essentiel de nos aspirations en matière d'adoption du modèle Zero Trust. »
One Mount s'appuie sur la plate-forme serverless Cloudflare Workers pour divers scénarios d'utilisation, dont le délestage du traitement en back-end, la prise en charge de tâches inhabituelles de fort volume et le développement de solutions de sécurité périmétriques destinées au contrôle dynamique des accès, à l'établissement dynamique de listes d'autorisation pour les adresses IP et à la détection des fraudes. Ces cas d'utilisation se révèlent pratiquement tous cruciaux pour les opérations internes de l'entreprise.
« Workers nous offre les éléments essentiels dont nous avons besoin pour faire face à l'ensemble de nos scénarios d'utilisation, même les plus ardus », note Phạm Anh Liêm. « Il s'agit vraiment d'un choix judicieux pour nos besoins en matière de solutions serverless. »
One Mount a intégré le pare-feu WAF et le service d'atténuation des attaques DDoS de Cloudflare à Workers afin de prévenir les fraudes pendant les promotions spéciales. One Mount organise, par exemple, des promotions virtuelles pendant lesquelles des millions d'utilisateurs sont en compétition pendant un court laps de temps afin d'obtenir des bons promotionnels ou d'acheter des produits en édition limitée. En utilisant Workers pour intégrer du code personnalisé au pare-feu WAF et à la protection contre les attaques DDoS, One Mount s'assure que des acteurs malveillants ne puissent pas utiliser de scripts automatisés pour s'emparer des bons ou des produits, au détriment des clients légitimes.
Cloudflare Workers permet à One Mount d'utiliser facilement la puissance de traitement afin d'exécuter la logique au plus près des utilisateurs finaux, avant de faire usage du pare-feu WAF de Cloudflare pour bloquer les activités abusives, le tout sans se soucier de faire évoluer l'infrastructure sous-jacente. Sans Workers, il deviendrait extrêmement difficile pour One Mount de concevoir, mettre en œuvre et faire évoluer automatiquement ces protections sur son back-end sans affecter l'expérience utilisateur.
« Workers permet à nos développeurs de rédiger du code et d'en constater immédiatement les effets », remarque Phạm Anh Liêm. « Cette solution a considérablement réduit nos coûts de développement et d'exploitation, et ainsi radicalement transformé la manière dont nous concevons nos produits. »
Les collaborateurs d'One Mount Group disposent désormais d'un accès sécurisé à des centaines d'applications internes.
Les collaborateurs sont protégés contre les menaces circulant sur Internet, peu importe l'endroit où ils se trouvent.
La solution Cloudflare Workers réduit considérablement les coûts de développement et d'exploitation, tout en permettant à One Mount de résoudre des problèmes complexes.
“L'adoption du Zero Trust fut un choix très simple à faire. Nous désirons nous imposer comme une entreprise « tout Internet » et disposer de toutes les ressources nécessaires dans le cloud. Nous ne souhaitons pas nous voir limités par le périmètre d'un réseau d'entreprise. C'est la raison pour laquelle la plate-forme Zero Trust de Cloudflare s'est révélée aussi bien adaptée à nos besoins.”
Phạm Anh Liêm
Directeur de la cybersécurité
“Nous sommes l'une des premières entreprises du Vietnam à proposer des services financiers numériques intégralement hébergés sur un cloud public et Cloudflare constitue un partenaire essentiel de nos aspirations en matière d'adoption du modèle Zero Trust.”
Phạm Anh Liêm
Directeur de la cybersécurité