Fotolia

Sécurité de Kubernetes : SUSE libère le code de NeuVector

Comme à son habitude après un rachat, SUSE a ouvert le code source de la plateforme de sécurisation de conteneurs NeuVector. Un mouvement qui a des avantages et autant d’inconvénients.

À la fin du mois d’octobre 2021, SUSE Rancher a racheté NeuVector, une société fondée en 2015 en Californie, spécialisée dans la sécurisation et la conformité des environnements Kubernetes. Le 18 janvier, le fournisseur a annoncé l’ouverture du code de la solution récemment acquise. Il a opté pour une licence Apache 2.0.

NeuVector développe une plateforme de sécurisation d’exécution des conteneurs. Outre un outil de scans des images intégré aux solutions CI du marché (CircleCI, Jenkins), l’éditeur mise depuis ses débuts sur l’inspection approfondie des paquets réseau (Deep Packet Inspection ou DPI) jusqu’à la couche application pour surveiller les connexions entre les conteneurs ainsi que le trafic est-ouest.

Au départ conçu pour Docker, NeuVector a étoffé sa solution afin de la présenter comme un pare-feu pour Docker et Kubernetes. NeuVector ne s’appuie pas sur un agent, mais repose sur plusieurs conteneurs (dont un contrôleur DaemonSet) compatibles avec la plupart des distributions Kubernetes et les CMP (Containers management platform) du marché (Red Hat OpenShift, VMWare Tanzu, GKE, Amazon EKS, Microsoft Azure AKS, etc.) pourvu qu’elles soient associées à des plug-ins réseau (ou SDN) tels que weave, flannel ou calico.

Une plateforme complète, sur le papier

Sans plonger dans les entrailles de la solution, il faut comprendre que NeuVector propose des interfaces (console Web, API REST, plug-in CLI) permettant de découvrir, surveiller et protéger les activités réseau entre les différents nœuds d’un système conteneurisé. La plateforme trouve automatiquement des groupes d’hôtes ou de conteneurs internes ou externes (par exemple, ceux nécessaires à l’exécution d’une application) ou permet d’en configurer et d’y appliquer des règles de sécurité.

Les règles peuvent être créées automatiquement ou manuellement. Par défaut, NeuVector détecte les attaques DDoS, les injections SQL, ou encore le tunnelling. Un système de prévention de perte de données à base de filtres inspecte certains paquets à la recherche de données sensibles non chiffrées (fiche client, numéro de carte bancaire, etc.). La plateforme doit aussi détecter automatiquement les escalades de privilèges, le scan de ports, le reverse Shell. L’outil identifie le comportement « normal » de l’environnement à surveiller, puis crée des règles de whitelisting ou de blacklisting.

De leur côté les équipes DevOps et DevSecOps peuvent importer ou exporter sous forme de CRDs (des fichiers YAML) depuis ou vers la plateforme afin d’appliquer les règles dès la livraison du code en production. Depuis la console, un ensemble de tableaux de bord permet de visualiser des scores de risques, les résultats des scans (un conteneur nommé Updater contient une base de données CVE très régulièrement mise à jour), ou encore des benchmarks CIS. Un set de filtres sert à vérifier la conformité à différents règlements (PCI, HIPAA, RGPD). Enfin, il est possible d’intégrer NeuVector avec un SIEM (dont celui de Splunk), ou avec les plateformes d’observabilité, même maison (NeuVector dispose d’un exportateur vers Prometheus couplé à des tableaux de bord Grafana).

Sécurité : un doute plane sur l’open source

Ce passage à une licence open source, une étape normalisée chez SUSE, semble provoquer un changement de culture chez NeuVector. Pas plus tard que le 13 octobre dernier, l’éditeur annonçait l’obtention de deux brevets, l’un pour la notation des risques du cycle de vie des conteneurs, et le second pour la protection des Service Mesh (Istio et Linkerd 2). L’entreprise vantait le fait d’être propriétaire de huit brevets et attendait la validation d’IP supplémentaires. Sans forcément remettre en cause ces propriétés intellectuelles, sous l’ère SUSE, la plateforme de sécurité devra être compatible avec les distributions de Kubernetes certifiées par la Cloud Native Computing Foundation (CNCF) et son code est accessible depuis GitHub.

« Nous sommes convaincus que cette initiative contribuera à stimuler l’innovation de l’écosystème dans le domaine de la sécurité de Kubernetes, un secteur traditionnellement dominé par des solutions propriétaires aux codes sources fermés », écrit Sheng Liang, président de l’ingénierie et de l’innovation chez SUSE, cofondateur et ex-PDG de Rancher, dans un communiqué de presse.

Pour SUSE Rancher, c’est aussi un moyen de s’équiper d’une plateforme de sécurité intégrée à sa CMP, lui permettant de monétiser le support associé. Il vient de le faire avec SUSE Liberty Linux, une technologie et une offre de support pour sécuriser différentes distributions Linux. Une approche qui n’est pas nouvelle chez les concurrents.

Pour rappel, Red Hat a acquis StackRox en janvier 2021, un concurrent de NeuVector, et a lancé la communauté open source liée à l’outil de sécurité en mai 2021 (« première étape » avant l’ouverture de la solution), en sus de promouvoir le projet KubeLinter, une solution d’analyse des fichiers YAML et des Helms charts ouverte par StackRox avant le rachat.

Mais le fournisseur allemand ne veut pas se fâcher avec les partenaires proposant des solutions similaires à ses clients. Aqua Security, Palo Alto Networks ou encore Sysdig – porteur du populaire projet open source Falco incubé par la CNCF – ont tous au catalogue des offres de protection des conteneurs.

Aussi, les responsables de SUSE et NeuVector y vont prudemment : seul le code de la préversion de la v5 de NeuVector a été libéré.

Lors de l’annonce du rachat de StackRox, certains clients communs de StackRox et Red Hat, dont un Chief Software Officer de l’US Air Force, s’étaient inquiétés du passage à une licence open source pour des raisons de sécurité. De leur côté, Aqua Security et Sysdig conservent des briques propriétaires.

Enfin, l’incident industriel Log4j pourrait provoquer des mouvements sur ce marché, entre renfermements propriétaires et investissements massifs dans la sécurité des projets open source.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)