kalafoto - stock.adobe.com
Sécuriser les conteneurs améliore la posture globale de l’entreprise
Nombreux sont ceux qui se sont inquiétés de risques de sécurité additionnels aux premières heures des conteneurs. Mais leur mise en production crée des opportunités de renforcement des pratiques de sécurité.
Les conteneurs sont passés d'un risque potentiel pour la sécurité à une opportunité pour celle-ci. Certes, sans une configuration et une administration minutieuses, des vulnérabilités peuvent permettre à un attaquant de sortir d'un conteneur pour accéder à l'hôte sous-jacent, avec de graves conséquences. Mais entre de bonnes mains, la manière dont les conteneurs permettent une isolation granulaire des processus applicatifs individuels, et les concepts d'infrastructure immuable, peuvent renforcer la sécurité informatique dans son ensemble.
« Par le passé, lorsqu’il n’y avait pas de conteneurs, les équipes d'exploitation pouvaient aller apporter des changements [aux serveurs individuels], et parfois ces changements n'étaient pas cohérents, ils n'étaient pas appliqués partout, ce qui pouvait induire erreurs et problèmes », explique Ross Hosman, RSSI de Recurly, un fournisseur de services de gestion de facturation et d’abonnements. Tout en précisant : « nous recherchons l'uniformité et l’élasticité, et permettons à nos développeurs d'aller beaucoup plus vite ».
L'uniformité des ressources de calcul a également contribué à la sécurité des conteneurs, tout comme les outils qui automatisent l'application des politiques de sécurité. Recurly, qui compte plus de 2 000 clients entreprises, dont Sling TV et CBS, est spécialisée dans les transactions à haut volume et à grande vitesse. Pour suivre le rythme de ses activités, la meilleure approche en matière de sécurité des conteneurs consiste à ne pas interférer avec les développeurs, estime Ross Hosman : « je peux prendre un conteneur, l’exécuter, en établir un profil, et dire “il fait ces appels réseau, il exécute ces binaires et utilise ces packages” et interdire au conteneur de faire autre chose. C’est une chose que nous n’avions pas avec les serveurs virtuels ou physiques, à moins de se pencher sur les règles de SELinux, en profondeur. Mais ce n’était pas aussi automatisé qu’aujourd’hui ».
Des outils qui simplifient surveillance et dépannage
Recurly utilise les modèles Terraform pour installer automatiquement les agents d’Aqua Security dans ses clusters GKE lors du déploiement. L’outil d’analyse d'images de conteneurs d'Aqua est également intégré au pipeline CI/CD, de sorte que les failles éventuelles interdisent tout déploiement en production. La solution d’Aqua empêche également les développeurs de déployer des images de conteneurs provenant de l'extérieur du registre des conteneurs de l'entreprise.
Une fois que les applications atteignent l'environnement Kubernetes de production, les politiques de sécurité appliquées par Aqua limitent l’accès à une lecture seule. Cela améliore et accélère le développement d'applications et permet de dépanner plus rapidement qu'avec les machines virtuelles – précédemment, les équipes de sécurité de Recurly restreignaient plus étroitement ces accès sans les outils d’automatisation de l’inscription en liste blanche disponibles pour les conteneurs. Qui plus est, comme les conteneurs séparent les processus applicatifs de l'hôte sous-jacent, les administrateurs peuvent verrouiller plus strictement l'hôte lui-même avec des outils tels que le système d'exploitation optimisé pour les conteneurs de Google.
Ross Hosman ne cache pas son optimisme : « aujourd’hui, nous avons des hôtes immuables, donc même si vous sortez d'un conteneur et que vous montez sur un hôte, bonne chance. Vous ne pourrez rien exécuter, rien installer, ni pivoter sur quoi que ce soit, et si on redémarre l'hôte, tout sera réinitialisé ».
L'objectif de Recurly est d’éviter les réponses humaines aux alertes, qu'il s'agisse de surveillance de la production ou de problèmes de sécurité des conteneurs, au profit d’une réponse corrective automatisée : « il y a tellement d'entreprises qui sont coincées dans ce modèle d'alerte et de réponse où il faut qu'un ingénieur intervienne en cas de problème, mais ce n'est pas assez rapide dans le cloud. Il faut quatre minutes à quelqu'un pour trouver une clé dans GitHub et commencer à faire lancer des instances – si nous voyons [quelque chose comme ça] il va y avoir une alerte, mais notre but est d'y remédier, automatiquement, en 60 secondes ».
Looker centralise la sécurité en environnement multi-cloud
Les conteneurs ont d'abord séduit les développeurs parce qu'ils extraient les processus applicatifs de l'infrastructure sous-jacente. Le code applicatif gagne en portabilité, du développement, à la production en passant par le test. Mais la séduction a opéré bien au-delà.
« Lorsque j'ai commencé ici, il y a presque deux ans, nous [utilisions] des instances EC2 classiques dans AWS. Mais l'année dernière, la décision a été prise de diversifier les environnements cloud utilisés, en s’appuyant sur Kubernetes », explique Richard Reinders, directeur des opérations de sécurité chez Looker, un spécialiste du décisionnel.
Richard Reinders a d'abord appréhendé la gestion de Kubernetes dans AWS, GCP et Azure comme un défi. Puis il a commencé à voir ses avantages lorsque Looker a mis en production les outils de sécurité des conteneurs de Stackrox, et Sumo Logic, au premier trimestre 2019. Ainsi, il surveille en continu les conteneurs en cours d'exécution, ainsi que les images avant leur déploiement. Les alertes sont générées plus rapidement, et elles sont plus précises.
Looker verrouille commandes et conteneurs
Comme Recurly, Looker utilise les outils de sécurité des conteneurs pour automatiser leur configuration et le dépannage. Les conteneurs sont là aussi appréhendés comme des ressources immuables, éliminant ainsi l’application de correctifs et de mises au niveau des conteneurs, et établissant une liste blanche des commandes qui peuvent être exécutées.
« Nous ne voulons pas détecter si une commande particulière est exécutée – nous voulons connaître toutes les commandes exécutées pour établir une liste blanche des commandes spécifiques que nous approuvons », explique Richer Reinders. « Nous pouvons l'utiliser pour les connexions réseau, les processus et un certain nombre d'autres choses grâce aux investissements que nous avons faits au fil du temps [pour personnaliser Sumo Logic] ».
Stackrox apporte également une visibilité bienvenue pour la tenue des rapports de conformité et la documentation dans des environnements cloud multiples. La jeune pousse a d’ailleurs renforcé ces caractéristiques à la suite des premières demandes de Looker. L'acquisition de Looker par Google, qui devrait être finalisée plus tard cette année, affectera la gestion de ses conteneurs. Mais Looker n'a pas voulu commenter la fusion en cours.