Skip to main content
Retour aux questions

Qu'est-ce que la sécurité des conteneurs ?

La sécurité des conteneurs est l'utilisation d'outils et de politiques de sécurité pour protéger le conteneur, son application et ses performances, y compris l'infrastructure, la chaîne d'approvisionnement en logiciels, les outils système, les bibliothèques système et le temps d'exécution contre les menaces de cybersécurité.

Quels sont les défis liés à la sécurité des conteneurs ?

Les conteneurs vivent dans un écosystème - les conteneurs ne sont pas déployés de manière autonome au sein d'une entreprise. Les charges de travail des conteneurs sont déployées dans le cadre d'une architecture qui peut inclure des clouds publics (AWS, GCP, Azure), des clouds privés (VMware) et des clouds hybrides intégrés à des charges de travail traditionnelles composées de serveurs et de VM, tout en travaillant avec des composants sans serveur du côté du calcul. Ces entreprises peuvent également utiliser des services d'infrastructure en tant que service (IaaS) et de plateforme en tant que service (PaaS) tels que les buckets S3 ou RDS. Les charges de travail des conteneurs doivent donc être sécurisées dans le cadre d'un écosystème d'entreprise.

Les conteneurs sont éphémères : Les cycles de vie des conteneurs sont souvent mesurés en secondes, mais il existe également un degré élevé de variabilité qui rend les généralisations difficiles. Les équipes de sécurité doivent tenir compte de la sécurité et de l'intégrité des conteneurs qui peuvent n'être en ligne que pendant quelques secondes, et d'autres qui peuvent l'être pendant des semaines.

Les conteneurs sont construits et déployés dans des pipelines CI/CD DevOps. Les charges de travail des conteneurs ont tendance à être dirigées par les développeurs. Le défi pour la sécurité est de permettre aux développeurs de produire des applications qui sont BornSecure.

Gestion de la sécurité de l'informatique en nuage (CSPM)

GPSC pour les conteneurs

Skyhigh Security peut fournir des analyses comparatives CIS et d'autres évaluations des meilleures pratiques pour les temps d'exécution des conteneurs, les systèmes d'orchestration (tels que Kubernetes), les infrastructures IaaS exécutant des charges de travail de conteneurs, les configurations de stockage, les configurations de réseau, les paramètres/rôles IAM, etc. Cela vous aide :

  • Veiller à ce que la configuration de l'environnement ne soit pas une source de risque (GPSC)
  • Veiller à ce que la configuration de l'environnement ne dérive pas au fil du temps, exposant ainsi à des risques non intentionnels.

Analyse de vulnérabilité pour les conteneurs

Les conteneurs s'appuient de manière significative sur des composants tiers. Tous les composants des conteneurs doivent être évalués pour détecter les faiblesses connues ou exploitables.

L'analyse des vulnérabilités évalue les composants intégrés dans les conteneurs au moment de leur création et les analyse périodiquement pour s'assurer que les risques connus sont exposés et atténués afin de réduire le risque que des acteurs malveillants débarquent dans une charge de travail de conteneur.

NanoSegmentation

Découvrez les communications entre conteneurs sur la base des bonnes configurations connues afin de sécuriser le comportement des charges de travail complexes et dynamiques :

  • Découvrez et surveillez le comportement des communications réseau entre les processus de conteneurs d'une manière qui permette de gérer la nature éphémère des conteneurs et de ne pas dépendre de facteurs externes tels qu'une adresse IP.
  • Détecter les communications anormales et les notifier ou les bloquer en fonction des préférences de l'utilisateur.
  • Détecter les changements dans les modèles de communication entre les versions des conteneurs au fur et à mesure que l'application évolue dans le temps.
  • Exploitez les bonnes configurations connues pour sécuriser les charges de travail, au lieu de vous contenter des mauvaises configurations connues.

Skyhigh Security solution liée au cycle de vie d'un conteneur

La sécurité ne devrait pas ralentir les développeurs ou l'adoption d'architectures adaptées au cloud telles que les conteneurs. Skyhigh Security fournit une plateforme de sécurité intégrée de manière transparente qui s'intègre aux outils que les développeurs choisissent d'utiliser pour maintenir leurs applications. La sécurité des conteneurs peut fournir une défense en profondeur en garantissant une infrastructure et des moteurs d'orchestration correctement configurés, en évaluant le risque d'exploit pour le code intégré dans les conteneurs, et une méthode flexible définie par logiciel pour certifier un bon comportement connu du réseau qui peut faire face à l'environnement en évolution rapide des charges de travail des conteneurs tout au long de leur cycle de vie.

Passage à gauche : de DevOps à DevSecOps

Les conteneurs sont un type de charge de travail très centré sur le développeur. Étant donné que les développeurs ont un contrôle beaucoup plus direct sur l'architecture et les services utilisés, les équipes de sécurité ont besoin d'un moyen asynchrone d'établir une politique, d'évaluer les déploiements par rapport aux meilleures pratiques et de surveiller la dérive inévitable qui se produit dans n'importe quel environnement. Avec les conteneurs et les architectures de microservices, le nombre de variables et le rythme des changements ont considérablement augmenté par rapport aux déploiements basés sur le matériel ou les machines virtuelles, autrefois étroitement contrôlés. Les cycles de vie des conteneurs sont souvent mesurés en secondes, mais il existe également un degré élevé de variabilité qui rend les généralisations potentiellement dangereuses. Les équipes de sécurité doivent tenir compte de la sécurité et de l'intégrité des conteneurs qui peuvent n'être en ligne que pendant quelques secondes, et d'autres qui peuvent être en ligne pendant des semaines sans interruption. Skyhigh Security propose les conteneurs BornSecure qui comprennent :

  • La gestion de la sécurité de l'informatique en nuage (Cloud Security Posture Management) permet d'analyser en permanence l'environnement en nuage afin de détecter les risques de dérive. Elle est intégrée dans le pipeline DevOps (Shift Left) afin de s'assurer que le risque est résolu avant le déploiement.
  • L'évaluation des vulnérabilités des composants des conteneurs eux-mêmes pour s'assurer que les entreprises ne déploient pas de code avec des exploits connus intégrés dans le pipeline DevOps (Shift Left). Skyhigh Security comprend également une analyse périodique des artefacts des conteneurs pour détecter les nouvelles vulnérabilités affectant les conteneurs qui ont déjà été construits et qui peuvent fonctionner en production.

Les processus DevOps traditionnels : Traditionnellement, la sécurité n'est prise en compte ou vérifiée qu'après le déploiement des applications dans les environnements de production.

Aujourd'hui, les applications "cloud-native" nécessitent des conteneurs BornSecure : La sécurité est intégrée dans le pipeline DevOps, ce qui permet aux développeurs d'obtenir des informations sur la sécurité au fur et à mesure que les applications sont créées ou que le code est vérifié.

Sécurité des conteneurs 101 - Glossaire de termes

KS Enterprise Container Platform S/W Suite pour Azure basée sur k8s. Docker Une entreprise et le nom de l'outil qu'elle a conçu pour faciliter la création, le déploiement et l'exécution d'applications à l'aide de conteneurs. Nanosegmentation Une =segmentation flexible et fine basée sur le comportement observé.
Anomalie Quelque chose qui s'écarte de ce qui est standard, normal ou attendu. Dérive Accumulation de changements de configuration ou d'actions administratives au fil du temps qui peuvent introduire des risques et des écarts par rapport à la bonne configuration connue. Surface d'attaque du réseau La surface d'attaque est constituée de l'ensemble de l'environnement qu'un attaquant peut tenter d'exploiter pour mener à bien une attaque, y compris tous les protocoles, interfaces, logiciels et services déployés.
Construire Construction de quelque chose qui a un résultat observable et tangible. La construction est le processus de conversion des fichiers de code source en artefact(s) logiciel(s) autonome(s) pouvant être exécuté(s) sur un ordinateur. EKS Enterprise Container Platform S/W Suite pour Amazon basée sur k8s. Pipeline Ensemble de processus automatisés permettant aux développeurs et aux professionnels DevOps de compiler, construire et déployer leur code de manière fiable et efficace sur leurs plateformes de calcul de production.
CICD Pratiques combinées d'intégration et de livraison continues. ECS Enterprise Container Platform S/W Suite pour Amazon utilisant une orchestration propriétaire antérieure à l'adoption généralisée de k8s. Privilèges Concept qui consiste à n'autoriser les utilisateurs qu'à effectuer certaines activités. Par exemple, un utilisateur ordinaire n'a généralement pas le droit de modifier les fichiers du système d'exploitation, alors qu'un administrateur système est généralement autorisé à le faire.
CIS Benchmark Meilleures pratiques pour la configuration sécurisée d'un système cible, y compris les conteneurs et Kubernetes. Les benchmarks sont développés par un organisme à but non lucratif appelé Center for Internet Security (CIS) à travers un consensus d'experts en cybersécurité. Ephémère Propriété utilisée pour définir les conteneurs. Les conteneurs étant de courte durée, avec une durée de vie moyenne de quelques heures, ils sont dits éphémères. Référentiel (repo) Un référentiel d'images de conteneurs est une collection d'images de conteneurs apparentées, fournissant généralement différentes versions d'une même application ou d'un même service.
Conteneur Unité logicielle standard qui regroupe le code et toutes ses dépendances, de sorte que l'application fonctionne rapidement et de manière fiable d'un environnement informatique à l'autre. Une image de conteneur est un ensemble de logiciels légers, autonomes et exécutables qui comprend tout ce qui est nécessaire à l'exécution d'une application : le code, le moteur d'exécution, les outils système, les bibliothèques système et les paramètres. Prise d'empreintes digitales La possibilité de suivre les artefacts ainsi que le comportement des artefacts, permettant aux utilisateurs de voir ce qui a été fait dans une construction et comment et où cette construction est utilisée.

Forensics Une analyse post-mortem pour comprendre et contenir l'impact d'une faille de sécurité.

Shift Left L'intégration de la configuration de la sécurité et des contrôles de vulnérabilité dans le pipeline DevOps. La sécurité est introduite au fur et à mesure que le code est vérifié ou construit, plutôt que d'attendre que les systèmes soient opérationnels. Cela amène la sécurité à gauche (avant) des environnements de production, où la sécurité est traditionnellement assurée.
Registre des conteneurs Référentiel permettant de stocker des images de conteneurs. Une image de conteneur se compose de nombreux fichiers qui encapsulent une application. Les développeurs, les testeurs et les systèmes CI/CD doivent utiliser un registre pour stocker les images créées au cours du processus de développement de l'application. Les images de conteneurs placées dans le registre peuvent être utilisées à différentes phases du développement. GKE Enterprise Container Platform S/W Suite pour Google basée sur k8s.

Propriété immuable utilisée pour définir les conteneurs. Une fois créés, les conteneurs individuels ne changent pas au cours du cycle de vie.

Machine virtuelle (VM ) Environnement virtuel qui fonctionne comme un système informatique virtuel doté de son propre processeur, de sa propre mémoire, de sa propre interface réseau et de son propre stockage, créé sur un système matériel physique. Un logiciel appelé hyperviseur sépare les ressources de la machine du matériel et les distribue de manière appropriée afin qu'elles puissent être utilisées par la VM.
Container Runtime Logiciel qui exécute les conteneurs et gère les images de conteneurs sur un nœud, par exemple Docker Engine. k8s Kubernetes est parfois appelé k8s (K - huit caractères - S). Charge de travail Capacité discrète ou quantité de travail que vous souhaitez exécuter sur une instance en nuage.
DevOps Ensemble de pratiques combinant le développement de logiciels (Dev) et les opérations informatiques (Ops) qui visent à raccourcir le cycle de vie du développement des systèmes et à assurer une livraison continue avec une qualité logicielle élevée. Kubernetes (k8s) Système d'orchestration de conteneurs open-source. Il fournit une plateforme pour automatiser le déploiement, la mise à l'échelle et les opérations des conteneurs d'application sur des grappes d'hôtes. Zéro confiance Ne jamais faire confiance mais vérifier. La sécurité zéro confiance signifie que personne n'est digne de confiance par défaut, que ce soit à l'intérieur ou à l'extérieur du réseau, et qu'une vérification est exigée de toute personne essayant d'accéder aux ressources du réseau.
DevSecOps DevSecOps est l'intégration des pratiques de sécurité dans le processus DevOps. Microsegmentation Le logiciel de microsegmentation utilise la technologie de virtualisation du réseau pour créer des zones de sécurité très granulaires dans les centres de données et les déploiements en nuage, qui isolent chaque charge de travail individuelle et la sécurisent séparément.