Pour les développeurs de logiciels qui créent principalement leurs applications sous la forme d’un ensemble de microservices déployés à l’aide de conteneurs et orchestrés avec Kubernetes, un tout nouvel ensemble de considérations de sécurité a émergé au-delà de la phase de création.
Contrairement au durcissement d’un cluster , la défense au moment de l’exécution dans des environnements conteneurisés doit être dynamique : rechercher en permanence des comportements inattendus dans un conteneur après sa mise en production, comme la connexion à une ressource inattendue ou la création d’un nouveau socket réseau.
Bien que les développeurs aient désormais tendance à tester plus tôt et plus souvent (ou décaler vers la gauche, comme on l’appelle communément), les conteneurs nécessitent une protection globale tout au long du cycle de vie et dans des environnements disparates, souvent éphémères.
« Cela rend les choses vraiment difficiles à sécuriser », a déclaré à InfoWorld l’analyste de Gartner Arun Chandrasekaran. « Vous ne pouvez pas avoir de processus manuels ici ; vous devez automatiser cet environnement pour surveiller et sécuriser quelque chose qui ne peut vivre que quelques secondes. Réagir à des choses comme ça en envoyant un e-mail n’est pas une recette qui fonctionnera. »
Dans son livre blanc 2019 « BeyondProd : Une nouvelle approche de la sécurité cloud native « , Google a expliqué comment « tout comme un périmètre de sécurité le modèle ne fonctionne plus pour les utilisateurs finaux, il ne fonctionne plus non plus pour les microservices », où la protection doit s’étendre à « comment le code est modifié et comment les données utilisateur dans les microservices sont accessibles ».
Alors que les outils de sécurité traditionnels se concentraient sur la sécurisation du réseau ou des charges de travail individuelles, les environnements cloud natifs modernes nécessitent une approche plus globale que la simple sécurisation de la construction. Dans cette approche holistique, l’hôte, le réseau et les points de terminaison doivent être constamment surveillés et protégés contre les attaques. Cela inclut généralement la gestion dynamique des identités et les contrôles d’accès au réseau et à la sécurité du registre.
L’impératif de sécurité d’exécution
Chandrasekaran de Gartner a identifié quatre aspects clés de la sécurité cloud native :
- Cela commence toujours par la sécurisation des fondations en durcissant les clusters.
- Mais cela s’étend ensuite à la sécurisation de l’exécution du conteneur et à la mise en place d’une surveillance et d’une journalisation suffisantes.
- Ensuite, le processus de livraison continue doit être sécurisé, ce qui signifie utiliser des images de conteneur de confiance, des graphiques Helm sécurisés et des configurations qui sont constamment analysées pour détecter les vulnérabilités. En plus de cela, les informations privilégiées doivent être sécurisées en gérant efficacement les secrets.
- Enfin, la couche réseau doit être sécurisée, de Transport Layer Security (TLS) au code d’application lui-même et à toute gestion de posture de sécurité cloud en place, en définissant efficacement l’état idéal et en recherchant constamment les écarts par rapport à cet état.
Dans un article d’InfoWorld 2021, Karl-Heinz Prommer, architecte technique de la compagnie d’assurance allemande Munich Re, a identifié qu' »un outil de sécurité Kubernetes efficace doit être capable de visualiser et de vérifier automatiquement la sécurité de toutes les connexions au sein de l’environnement Kubernetes, et bloquer toutes les activités inattendues. … Avec ces protections d’exécution, même si un attaquant pénètre dans l’environnement Kubernetes et démarre un processus malveillant, ce processus sera immédiatement et automatiquement bloqué avant de faire des ravages. »
Rencontrez les startups de sécurité d’exécution
Naturellement, les principaux fournisseurs de cloud (Google Cloud, Amazon Web Services et Microsoft Azure) mettent tout en œuvre pour intégrer ce type de protection dans leurs services Kubernetes gérés. « Si nous le faisons correctement, les développeurs d’applications ne devraient pas avoir à faire grand-chose, cela devrait être intégré à la plate-forme gratuitement », a déclaré Eric Brewer, vice-président de Google, à InfoWorld.
Cela étant dit, même ces mastodontes des nuages ne peuvent espérer sécuriser seuls ce nouveau monde. « Aucune entreprise ne peut résoudre ces problèmes à elle seule », a déclaré Brewer.
Aujourd’hui, une cohorte en croissance rapide de fournisseurs, de startups et de projets open source émerge pour essayer de combler cet écart. « Il existe un écosystème croissant de startups dans cet espace », a déclaré Chandrasekaran. « Les aspects de base du renforcement du système d’exploitation ou de la sécurisation de l’environnement d’exécution deviennent un peu banalisés, et les principaux fournisseurs de cloud offrent cela intégré à la plate-forme. »
L’opportunité pour les startups et les projets open source a donc tendance à se concentrer sur des fonctionnalités plus avancées, telles que la protection de la charge de travail dans le cloud, la gestion de la sécurité et la gestion des secrets, souvent avec des capacités d’alerte et de correction basées sur l’apprentissage automatique « intelligentes » superposées comme point de différenciation.
Deepfence
Take Deepfence, qui a été cofondé en 2017 par Sandeep Lahane, un ingénieur logiciel qui a précédemment travaillé chez FireEye et Juniper Networks. Deepfence se concentre sur ce qui se passe pendant l’exécution en intégrant un capteur léger dans n’importe quel microservice qui peut « mesurer votre surface d’attaque, comme une analyse MRA pour vos actifs cloud », a déclaré Lahane à InfoWorld. Deepfence a pour mission de « monétiser le remède à cette douleur, la protection d’exécution pour déployer des défenses ciblées », a-t-il déclaré.
Deepfence a rendu open source son outil sous-jacent ThreatMapper en octobre 2021. Il analyse , mappe et classe les vulnérabilités des applications, quel que soit l’endroit où elles s’exécutent. Désormais, la startup cherche à développer sa plateforme pour couvrir l’ensemble des risques de sécurité d’exécution.
Sysdig
Sysdig est un autre fournisseur émergent dans cet espace, ayant créé l’outil de sécurité d’exécution open source Falco .
Similaire à ThreatMapper, Falco se concentre sur la détection de comportements inhabituels au moment de l’exécution. « Falco facilite la consommation des événements du noyau et enrichit ces événements avec des informations de Kubernetes et du reste de la pile native du cloud », sa page GitHub se lit. « Falco dispose d’un riche ensemble de règles de sécurité spécialement conçues pour Kubernetes, Linux et le cloud natif. Si une règle est violée dans un système, Falco enverra une alerte informant l’utilisateur de la violation et de sa gravité. »
» J’ai réalisé que le monde changeait et que les techniques que nous utilisions auparavant n’allaient pas fonctionner dans le monde moderne « , a déclaré Loris Degioanni, directeur technique de Sysdig à InfoWorld. « La détection de paquets ne suffit pas lorsque vous n’avez plus accès au réseau. … Nous avons donc commencé par réinventer les données que vous pouvez collecter pour les conteneurs en vous installant sur un point de terminaison cloud et en collectant les appels système, ou plus simplement, le processus d’une application interagissant avec le monde extérieur. »
Degioanni a comparé la sécurité d’exécution à la protection de votre propre maison, qui commence par la visibilité. « C’est la caméra de sécurité de votre infrastructure conteneurisée », a-t-il déclaré.
Sécurité aquatique
Fondée en 2015, la startup israélienne Aqua Security s’appuie également sur un projet open source, Tracee . Basé sur la technologie eBPF, Tracee permet une surveillance de sécurité à faible latence des applications au moment de l’exécution, en signalant les activités suspectes au fur et à mesure qu’elles se produisent.
« Au moment où j’ai vu que les conteneurs emballaient tout à l’intérieur et que les utilisateurs cliquent sur un bouton pour les exécuter, il était évident pour moi d’y intégrer également la sécurité, donc en tant que développeur, je n’ai pas à attendre », a déclaré Aqua Directeur technique Amir Jerbi. Les développeurs « ne sont pas des professionnels de la sécurité, et ils ne savent pas comment se protéger contre les attaques sophistiquées, ils ont donc besoin d’une couche de sécurité simple où ils peuvent déclarer leurs besoins simples. C’est là qu’intervient la protection de l’exécution. »
Autres fournisseurs de sécurité d’exécution
Les autres sociétés opérant dans cet espace incluent Anchore, Lacework, TwistLock de Palo Alto Networks, StackRox de Red Hat, NeuVector de Suse et Snyk.
L’open source est crucial pour l’adhésion des développeurs
Un facteur commun à ces entreprises est l’importance des principes open source. « Les clients de cet espace se soucient de l’open source et ne veulent pas déployer des solutions entièrement propriétaires », a déclaré Chandrasekaran de Gartner. « Ils veulent travailler avec des entreprises qui participent activement aux communautés open source et fournissent des solutions commerciales en plus des logiciels open source, car c’est le fondement de la technologie cloud native. »
C’est un sentiment partagé par les dirigeants de toutes les startups avec lesquelles InfoWorld s’est entretenu. « Dans la communauté cloud native, l’accent est mis en grande partie sur l’open source. Ils apprécient que les fournisseurs aient une grande empreinte et une grande contribution dans l’open source, afin qu’ils puissent essayer des choses, voir ce que vous faites et contribuer en retour », a déclaré Aqua’s Jerbi. « Nous sommes une entreprise commerciale, mais nombre de ces produits sont basés sur l’open source. »
Pour Phil Venables, RSSI de Google Cloud, l’approche open source de la sécurité cloud native est essentielle pour résoudre un problème aussi complexe. « Nous ressemblons de plus en plus à un système immunitaire numérique », a-t-il déclaré à InfoWorld : collecte de renseignements à partir de nos propres systèmes internes, des grandes entreprises clientes, des chasseurs de menaces, des équipes rouges et programmes publics de primes aux bogues. « Cela rend nous prêts à répondre à toute vulnérabilité et à repousser les choses dans des projets open source, nous avons donc une grande ouverture pour découvrir les choses et y répondre. »
Cette approche ouverte et transparente de la sécurité d’exécution sera essentielle dans un futur où les applications distribuées sont accompagnées de menaces distribuées de manière unique. Les géants du cloud continueront d’intégrer cette protection dans leurs plateformes, et une nouvelle classe de startups se battra pour offrir une protection complète. Mais, pour l’instant, la voie à suivre pour les praticiens chargés de sécuriser leurs applications conteneurisées via la production reste difficile à parcourir.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
