L’ère des conteneurs a la sécurité à emporter dans le cadre de sa chaîne d’approvisionnement

La pile de déploiement et de gestion des microservices s’avère très efficace pour les entreprises qui tirent parti des capacités du cloud pour évoluer et s’adapter. Les conteneurs (souvent aux côtés de Kubernetes) reposent sur ce tissu élastique avec des workflows DevOps et CI/CD agiles qui font passer le code du développement à la production dans des délais courts.

Un problème important avec la vitesse de transition des environnements de laboratoire à domicile à la production en quelques années seulement est que la technologie des conteneurs est généralement DevOps, et non axée sur SecOps. L’atmosphère collégiale de confiance dans la communauté du développement au sens large n’a pas tellement fermé les yeux sur les mauvais acteurs, mais simplement pas pris en compte les implications des activités potentielles des acteurs malveillants.

La vulnérabilité de gravité critique Log4Shell de décembre dernier en est un bon exemple. Cette vulnérabilité permet aux attaquants d’exécuter à distance du code malveillant sur des systèmes qui exécutent certaines versions du framework de journalisation Log4j2 Java. En moins d’une semaine, il y avait presque 1,3 million de tentatives pour exploiter la faille sur plus de 44 % des réseaux d’entreprise dans le monde.

Les cyberattaques d’aujourd’hui deviennent de plus en plus sophistiquées. Les attaquants n’ont besoin que d’une seule vulnérabilité à exploiter et même les systèmes les plus fortifiés peuvent être compromis. Les recherches de Forrester ont constaté qu’en 2021, 35 % des attaques exploitaient des vulnérabilités logicielles et 32 ​​% obtenaient un accès non autorisé en utilisant des chaînes d’approvisionnement et des tiers. 32% des attaques ont utilisé un exploit d’application.

Les pratiques de sécurité traditionnelles axées sur les exceptions, les listes de refus, les signatures et l’analyse des vulnérabilités ne sont pas suffisantes car elles ont tendance à être réactives, se concentrent uniquement sur les problèmes connus et ne peuvent pas évoluer. De plus, les outils de sécurité qui fonctionnent sur la base d’un périmètre de sécurité prédéfini ne seraient pas adaptés aux applications conteneurisées. La rapidité et la facilité de création de réseaux virtuels, des centaines de pods de conteneurs avec des adresses IP éphémères et des clusters Kubernetes répartis dans des centres de données, des environnements cloud et périphériques brouillent la notion de périmètre de sécurité unique.

Au lieu de cela, nous devons adopter une approche proactive et mettre en œuvre des contrôles de sécurité Zero Trust. Cela signifie ne pas faire confiance à toutes les activités par défaut. Ensuite, déclarez explicitement ce qui est acceptable et fournissez le moins de privilèges à vos applications conteneurisées. Tout ce qui est anormal à ce qui est défini comme acceptable doit être bloqué. Essentiellement, vous définissez plusieurs périmètres de micro-sécurité pour vos applications conteneurisées.

L’émergence des rôles DevSecOps dans de nombreux lieux de travail (Un TCAC de plus de 24 % dans les rôles du secteur est prévu pour 2028) montre que de nombreuses entreprises sont conscientes qu’il existe un bon potentiel pour combiner la sécurité avec votre pipeline CI/CD. En déplaçant la sécurité jusqu’au stade le plus précoce du pipeline, vous pouvez considérablement améliorer l’efficacité, réduire les coûts et produire des applications sécurisées.

Dès le moment où la technologie des conteneurs a commencé à émerger, les meilleures plates-formes de sécurité natives conçues pour les applications cloud natives ont commencé à apparaître. SUSE NeuVector est l’un des plus connus d’entre eux. Sa présence légère dans les environnements Kubernetes protège les applications tout au long du cycle de vie des conteneurs, du développement à l’assurance qualité en passant par les environnements de production. Avec NeuVector, les entreprises peuvent facilement utiliser la politique en tant que code pour créer des environnements de conteneurs de confiance zéro qui sont activement analysés pour détecter les vulnérabilités. Il est capable d’inspecter votre trafic de conteneurs en temps réel pour identifier les attaques, protéger les données sensibles et vérifier l’accès aux applications afin de minimiser la surface d’attaque. Le côté positif ici pour les développeurs est que la protection peut être assurée à travers le pipeline CI/CD par des modifications relativement insignifiantes des fichiers de configuration. Une fois atteint, l’environnement de développement peut être abordé comme d’habitude.

Pour offrir des expériences numériques sécurisées et gagner la confiance des clients, les entreprises doivent respecter les normes les plus élevées en matière de développement et de pratiques de sécurité et se préparer à tous les types de vecteurs de menace. Dans les cycles de développement natifs du cloud, la sécurité doit être une préoccupation dès le début, mais elle ne doit pas être un obstacle à l’agilité qu’offre la technologie native du cloud. Les plates-formes de cybersécurité telles que NeuVector créent le type d’environnement d’auto-apprentissage et de confiance zéro qui simplifie la sécurité de la chaîne d’approvisionnement, du développement à la production.

En savoir plus sur, SUSE NeuVector.

Vishal est ici sur LinkedIn : https://www.linkedin.com/in/vishalghariwala/