ReInvent 2021 : AWS relance la compétition autour du DevSecOps
Les entreprises devraient bénéficier des nouvelles fonctionnalités DevSecOps d’AWS, même si elles ne les utilisent pas, car les analystes estiment qu’elles constituent un référentiel par rapport auquel les éditeurs tiers pourront se différencier.
La terminologie DevSecOps désigne une pratique organisationnelle émergente qui infuse la cybersécurité dans le processus de développement des applications dès les premières étapes. Des éditeurs spécialisés tels que GitLab, GitHub, CloudBees, JFrog et Atlassian proposent des fonctionnalités DevSecOps telles que la détection des secrets et l’intégration des vulnérabilités de sécurité dans les chaînes d’outils DevOps.
Les mises à jour apportées cette semaine aux outils DevSecOps d’AWS sont intervenues au milieu d’un flot d’annonces lors de la conférence annuelle reInvent de l’hyperscaler. Le service AWS CodeGuru Reviewer, qui utilise le machine learning pour identifier les bugs dans le code Java et Python, peut désormais détecter automatiquement les secrets tels que les mots de passe et les clés API encore présents dans le code. Et il peut guider les développeurs sur la façon de transférer ces données sensibles vers AWS Secrets Manager à la place. Cette fonctionnalité, CodeGuru Reviewer Secrets Detector, est disponible gratuitement pour les utilisateurs actuels de CodeGuru.
AWS a également présenté un remaniement de l’outil de supervision de la sécurité AWS Inspector qui utilise l’agent existant AWS Systems Manager plutôt qu’un mécanisme de déploiement distinct afin de simplifier l’administration. Cet AWS Inspector nouvelle génération permet d’effectuer la découverte automatique des ressources pour les instances Amazon EC2 et les référentiels Amazon Elastic Container Registry. Il peut déclencher la correction automatique des vulnérabilités de sécurité sur les ressources AWS via Systems Manager et EC2 Image Builder.
AWS Inspector s’intègre aussi aux outils de workflow DevSecOps tels qu’Atlassian Jira via le bus d’événements serverless Amazon EventBridge. Une période d’essai gratuite de 15 jours permet de tester Inspector ; ensuite, le prix varie en fonction du nombre d’instances EC2 et de conteneurs que les utilisateurs analysent chaque mois, à partir de 1,25 dollar par instance.
Un nouveau référentiel pour les éditeurs DevSecOps
Aucun de ces ajouts n’a déjà été vu ailleurs sur le marché, mais pour les entreprises engagées auprès du fournisseur cloud, ces changements pourraient aider les équipes informatiques à consolider le nombre d’outils distincts qu’elles doivent gérer et à accélérer le démarrage de leurs pratiques DevSecOps.
« La plupart des nouveaux services AWS sont en retard en termes de caractéristiques et de fonctionnalités par rapport à ceux proposés par les éditeurs DevOps qui se concentrent uniquement sur un produit », remarque Larry Carvalho, un consultant indépendant spécialisé dans le cloud computing. « Cependant, pour ceux qui ont besoin d’un démarrage rapide, les services DevOps d’AWS semblent convenir. »
Même pour les utilisateurs qui s’en tiennent à des produits tiers offrant une prise en charge multicloud, une caractéristique de plus en plus cruciale pour les éditeurs indépendants de logiciels DevOps, le fait que des fonctionnalités DevSecOps plus avancées soient désormais disponibles en natif – et à un prix relativement bas – à partir d’une plateforme de cloud computing, va les mettre au pied du mur en matière de tarification et d’innovation, selon les analystes.
« Chaque fois que les fournisseurs cloud lancent de nouvelles solutions dans un secteur particulier, ils placent très haut le niveau de commodité », déclare Stephen Elliot, analyste chez IDC. « Si vous êtes un éditeur sur ces marchés, vous devez être 10 fois meilleur que cela ».
Pour de nombreuses grandes entreprises, il ne s’agira pas nécessairement de ne choisir qu’un seul outil DevSecOps, ajoute Stephen Elliot. La plupart des entreprises utiliseront plusieurs logiciels, et les équipes qui se concentrent sur les déploiements AWS peuvent trouver les services DevSecOps natifs d’AWS plus faciles à utiliser que les solutions tierces, envisage-t-il.
Cependant, une concurrence accrue est aussi généralement une bonne nouvelle pour les décideurs IT en matière de tarification, remarque Larry Carvalho.
« Cette forme de concurrence permet de s’assurer que les clients ont des options tout en gardant les éditeurs sur le qui-vive pour rester devant AWS à la fois en termes de prix et de fonctionnalités », lance-t-il.
Le lancement de Secrets Detector cette semaine semble conforme à la stratégie globale d’AWS pour CodeGuru, que le fournisseur de cloud a lancé en 2019, d’après un analyste expert en DevSecOps.
« L’ajout de la détection des secrets est une progression intéressante en matière de sécurité qui semble avoir été prévue dès le départ avec CodeGuru, qui est à cheval sur la qualité du code, les performances des applications et la sécurité des applications », explique Daniel Kennedy, analyste chez 451 Research, une division de S&P Global.
La mise à disposition de telles fonctionnalités DevSecOps en natif, pour les services cloud largement utilisés d’AWS, pourrait contribuer à renforcer les meilleures pratiques de sécurité auprès d’organisations IT en proie à une explosion des menaces de cybersécurité, ajoute Daniel Kennedy.
« La détection des secrets fait absolument partie d’autres outils, et l’entrée d’AWS sur n’importe quel marché va provoquer quelques perturbations », anticipe-t-il. « Mais les clés codées en dur continuent d’être un problème dans la sécurité des applications, malgré le fait que cette pratique soit considérée comme une mauvaise idée. La couverture de la plupart des problèmes courants qui émergent, plus les détections spécifiques à l’environnement, pourrait [aider] les entreprises qui ne font pas actuellement de revue de code pour ce qui entre en production. »
AWS verse lui aussi dans la consolidation des outils DevSecOps
Entre-temps, bien que l’approche DevSecOps se soit d’abord concentrée sur l’aide aux développeurs pour écrire des applications sécurisées dès le départ, ces derniers mois, les fournisseurs tels que JFrog ont commencé à pousser les métriques de sécurité en production du côté « droit » de la chaîne d’outils DevOps, c’est-à-dire dans les boucles de rétroaction des développeurs.
La version remaniée d’AWS Inspector suit également cette tendance tout comme les outils de gestion de l’infrastructure du géant du cloud. Il y a un mouvement général à la consolidation entre les domaines précédemment spécialisés de la surveillance de la sécurité et les outils de monitoring et d’observabilité axés sur les performances dans le cadre de DevSecOps. Ce ne serait pas fini : les analystes anticipent une forte progression de cette unification des solutions.
Les outils de surveillance et d’observabilité AWS offrent déjà des liens entre ces mondes historiquement séparés, notamment des intégrations de longue date entre Inspector, CloudTrail et CloudWatch. Les utilisateurs peuvent aussi configurer des alarmes CloudWatch pour les événements liés à la sécurité, tels que les modifications des politiques de gestion des identités et des accès (IAM) ou chaque fois que de nouveaux comptes IAM sont créés ou supprimés.
Cependant, un analyste s’attend à ce qu’AWS ajoute davantage de fonctionnalités préemballées qui fusionnent la sécurité et l’observabilité dans les prochaines versions, dans des domaines tels que la sécurité des identités et des accès.
« Les changements de politique sont une chose, mais le ciblage des vulnérabilités dans les architectures ou les processus IAM est devenu une caractéristique des attaques, comme la falsification des jetons [SAML, Security Assertion Markup Language] ou la compromission des services d’annuaire », note Scott Crawford, analyste chez 451 Research. « C’est un domaine qui fait l’objet d’une attention accrue ».