kalafoto - Fotolia
La plateforme d’Aqua Security s’ouvre aux conteneurs en mode service
Sa nouvelle version apporte un nouveau mode de déploiement adapté aux environnements de conteneurs en mode service tels qu’AWS Fargate. Elle intègre en outre le support de fonctionnalités de sécurité avancées de Kubernetes.
Aqua Security propose de nouvelles manières de sécuriser les déploiements de conteneurs. La version 3.0 de son outil, lancée début mars, permet d’injecter le code du moteur d’analyse MicroEnforcer dans les images des conteneurs, dans leur phase de construction, pour supporter les environnements émergents de conteneur en mode service tels qu’AWS Fargate et Azure Container Instances. Dans ces environnements, où les utilisateurs n’administrent que les conteneurs et pas l’infrastructure sous-jacente, Aqua Security Enforcer n’aurait pas fonctionné correctement, car il nécessite l’accès à l’hôte du conteneur.
Pour mémoire, Aqua Enforcer analyse le comportement des conteneurs afin de déterminer leurs interactions normales avec leur environnement. Une fois un profil nominal établi, le moteur d’analyse comportementale intégré au logiciel détecte les déviances, comme un microservice qui ne devrait pas dialoguer avec autre ou un conteneur tentant de s’accaparer plus de ressources de stockage que prévu. Il peut alors mettre en œuvre plusieurs stratégies, allant de la simple alerte au blocage de l’exécution de l’application en cas de subversion du conteneur ou de son hôte. L’ensemble des règles sont paramétrables dans la console de l’outil.
Le MicroEnforcer reprend cette logique, identifiant ainsi les activités anormales. Il assure également l’injection de secrets dans les conteneurs, qu’ils sont autorisés à utiliser à l’exécution, en s’appuyant sur les entrepôts de secrets de l’entreprise. Les alertes générées par le MicroEnforcer sont remontées à la console de l’outil, qui peut ensuite les envoyer à un système de gestion des informations et des événements de sécurité (SIEM).
Aqua n’est pas le seul à avoir adopté cette approche. Un concurrent, Layered Insight, a dévoilé, en janvier dernier, une solution basée sur une architecture comparable. Mais Aqua bénéficie d’un partenariat formel avec AWS, qui lui a permis de faire la démonstration de son MicroEnforcer pour Fargate lors de l’édition 2017 de la conférence re:Invent d’Amazon. En outre, Aqua Security peut se vanter d’une approche duale, avec MicroEnforcer et Enforcer, qui manque à Layered Insight.
La version 3.0 de la plateforme d’Aqua apporte également le support des fonctionnalités de sécurité de Kubernetes 1.8 et plus avec, en particulier, le contrôle d’accès basé sur les rôles, le contrôle des images, celui des communications réseau, mais également l’audit tant de la posture de sécurité que des événements journalisés.
Le concurrent d’Aqua Twislock revendique également le support de nombreuses fonctionnalités de sécurité de Kubernetes. Mais Aqua assure supporter les fonctionnalités les plus avancées, comme la possibilité de bloquer certaines commandes adressées aux pods, que son outil aurait identifiées comme susceptibles de nuire à l’infrastructure. La version 3.0 de la plateforme d’Aqua intègre en outre la recherche de maliciels dans les images de conteneurs, en plus de la recherche de vulnérabilités connues.