Les applications cloud natives présentent des menaces de sécurité distinctes. Dans ce VB Spotlight, découvrez tout ce que vous devez savoir sur le verrouillage de vos conteneurs et de Kubernetes à travers toutes les phases du cycle de vie de développement, le parcours DevSecOps idéal et bien plus encore.
Regardez gratuitement sur -demandez maintenant.
Les conteneurs, et Kubernetes en particulier, sont conçus sur mesure pour exécuter les microservices qui permettent d’étendre l’adoption du cloud plus efficacement et de la rendre plus abordable. Ils se sont également révélés essentiels pour conserver les applications et rester agiles, permettant des mises à jour et un déploiement rapides. Mais les conteneurs et Kubernetes présentent également des dangers et des obstacles distincts en matière de sécurité tout au long de toutes les phases du cycle de vie de l’avancement, et une collaboration entre DevOps et la sécurité est cruciale, déclare Neil Carpenter, principal évangéliste technique chez Orca Security.
« Sécurité « Ils reconnaissent désormais que leurs outils et processus existants ne couvrent pas le nouveau monde magique des applications et des conteneurs cloud : ils tentent de rattraper leur retard et c’est un domaine dangereux », déclare Carpenter. « Comprendre ce que fait DevOps, faire partie du groupe et construire des ponts est certainement un produit en ligne dans une image plus large, mais c’est le fondement d’une position forte en matière de sécurité. »
Un aperçu de risques de sécurité des conteneurs
L’exécution d’un conteneur comporte deux étapes, et la détection et la suppression des dangers nécessitent d’être actifs dans les deux, ainsi qu’une collaboration entre le groupe de sécurité informatique et le groupe DevOps. . La première étape intègre l’avancement du conteneur, puis tout ce qui se passera une fois qu’il sera opérationnel.
Avant le déploiement
La toute première étape la moitié est généralement un processus piloté par DevOps, les concepteurs composant le code et l’enregistrant. L’automatisation est utilisée pour le filtrage, la construction d’images de conteneurs et leur redéploiement dans le pipeline pour le filtrage et l’acceptation des utilisateurs, puis en production. Le DevOps se développe grâce à l’automatisation, déclare Carpenter, et le même problème n’est jamais résolu deux fois : la solution est automatisée et elle se résout d’elle-même à l’avenir.
« Pour les experts en sécurité informatique, ce monde axé sur le DevOps est une marque. – nouveau pour nous », dit Carpenter. « Cependant, l’évaluation des vulnérabilités est au cœur du fonctionnement des équipes de sécurité informatique. Par conséquent, rechercher les vulnérabilités critiques et les corriger avant qu’elles ne deviennent un problème est formidable à la fois pour le groupe de sécurité et pour les groupes de développement. La mise en place d’un processus collectif nous rend tous bien meilleurs. . »
De nombreux ingénieurs DevOps utilisent l’infrastructure en tant que code (IAC), ce qui signifie écrire le code d’intelligence artificielle qui automatise des tâches telles que le déploiement, le suivi de la charge, la mise à l’échelle automatique, l’exposition des ports, etc. Et ce même code peut être utilisé pour être publié dans n’importe quelle variété d’environnements. Il est essentiel d’analyser la sécurité des artefacts IAC dans le pipeline de développement et d’essayer de trouver les configurations problématiques : elles peuvent être capturées et bloquées avant même leur déploiement.
Une fois qu’il est opérationnel
Le tout premier défi d’un conteneur en cours d’exécution est de s’assurer qu’il est libéré et configuré en toute sécurité. Contrairement aux machines virtuelles, qui sont sécurisées les unes des autres, les conteneurs ne constituent pas une frontière de sécurité. Un ingénieur exécutant un conteneur chanceux, ou s’exécutant en tant que root, peut lire et composer d’autres conteneurs fonctionnant exactement sur la même machine.
Les dangers dépendent également du travail lui-même, qui est une cible mouvante. Même si vous l’analysez régulièrement, de toutes nouvelles vulnérabilités vitales peuvent se cacher au coin de la rue. Les développeurs doivent avoir une vue complète du travail en cours de chaque conteneur pour rechercher des habitudes anormales, des connexions sortantes imprévues et l’exécution de procédures imprévues, en plus de se tenir au courant des nouveaux risques potentiels. Comment DevOpschange les personnes et les procédures
La préoccupation la plus cruciale pour fournir des applications cloud sécurisées n’est pas la procédure ou l’innovation, mais plutôt le rapprochement des personnes et la suppression des frontières.
« Je pense que, traditionnellement, les responsables de la sécurité, les concepteurs et les DevOps sont en fait des ennemis naturels », déclare Carpenter. « Cela ne fonctionnera pas dans un monde d’applications cloud, car une grande partie de la responsabilité de trouver et de résoudre les problèmes traverse ces lignes. »
Une vulnérabilité d’exécution de code à distance dans une application Tomcat exécutée sur Les machines virtuelles présentent exactement la même vulnérabilité que les conteneurs exécutés sur Kubernetes dans le cloud ; ce qui est différent, c’est qui va le réparer et le processus pour le réparer. L’équipe de sécurité ne peut pas détecter les vulnérabilités des conteneurs : elle doit créer un ticket pour les développeurs, et sa réparation nécessite un ensemble de personnes et de processus totalement différents qui sont assez étrangers à la plupart des équipes de sécurité.
» Il est crucial de bâtir des ponts », déclare Carpenter. « Du point de vue de la sécurité, nous devons comprendre comment fonctionne ce nouveau monde et tous les éléments qui y sont impliqués. Du côté DevOps, ils doivent comprendre pourquoi l’élément de sécurité est important, et ils doivent proposer des options d’une manière qui s’intègre au travail qu’ils effectuent actuellement, tout en orientant ce qu’ils font actuellement. «
La deuxième partie concerne la sécurité, en développant le processus de bout en bout et l’intégration des services de sécurité, de manière à ne pas interrompre ou entraver la façon dont DevOps fonctionne pour l’entreprise.
« Ne tuez pas l’agilité », déclare-t-il. « Automatisez les choses pour que tout soit à portée de main, là où nous en avons besoin, quand nous en avons besoin. Lorsque cela est possible, proposez un contexte expliquant pourquoi quelque chose est essentiel ou pourquoi quelque chose est insignifiant. Soyez polyvalent là où vous le pouvez. Disposez de processus d’exception rapidement gérables, contrôlables et logiques. Ne soyez pas le moteur du « non » ou de tout ce que les individus utilisent pour désigner la sécurité. Trouvez cet équilibre des risques qui nous permet de continuer à avancer. »
Pour une analyse approfondie de la manière dont les équipes de sécurité et DevOps peuvent gérer les risques vitaux, les outils et services qui peuvent aider à atténuer les problèmes de sécurité au sein des groupes et comment aborder les conteneurs du point de vue de la sécurité à tous les niveaux de maturité, ne manquez pas ce VB Spotlight.
Inscrivez-vous pour voir gratuitement à la demande !
Agenda
- Procédures de sécurité pour chaque phase du cycle de vie de l’avancement des applications
- Bonnes pratiques pour la structure et l’exécution de conteneurs protégés – à partir d’une base protégée images pour corriger les vulnérabilités de la gestion des secrets
- Analyse IaC pour identifier les erreurs de configuration dans les fichiers YAML de déploiement Dockerfiles et Kubernetes
- À quoi devrait ressembler un parcours DevSecOps parfait
- Les outils et plates-formes qui prennent en charge une sécurité et une conformité plus puissantes
Intervenants
- Neil Carpenter, évangéliste technique principal , Whale Security
- Jason Patterson, architecte de solutions partenaire principal, Amazon Web Services
- Louis Columbus, modérateur, VentureBeat
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
