Michael Foster de Red Hat sur le rapport Kubernetes de l’entreprise et ce que ses conclusions nous disent sur les défis de sécurité auxquels les entreprises sont confrontées.
Selon une étude récente de Red Hat, les organisations ont du mal à sécuriser les charges de travail conteneurisées, ce qui pourrait, à son tour, étouffer l’innovation.
Bien que les plates-formes d’orchestration de conteneurs comme Kubernetes sont devenus largement utilisés par de nombreuses entreprises ces dernières années, ils peuvent exposer ceux qui ne sont pas vigilants en matière de sécurité aux attaques.
Comme l’a souligné Michael Foster, responsable principal du marketing produit chez Red Hat, les attaques de la chaîne d’approvisionnement “sont une préoccupation” pour les entreprises utilisant le développement cloud natif et conteneurisé, car “le grand nombre de projets open source et de dépendances impliqués peut prendre beaucoup de temps”. travail à gérer ».
“Au lieu de cibler une seule entreprise, les cybercriminels ciblent désormais une technologie que plusieurs entreprises utilisent dans l’espoir qu’une charge utile malveillante ou une porte dérobée reste ouverte”
Chapeau rouge Rapport sur l’état de la sécurité de Kubernetes 2023 examiné certains des défis auxquels sont confrontées les entreprises qui s’appuient sur de telles plateformes. Le rapport s’appuie sur une enquête mondiale menée auprès de 600 professionnels du DevOps, de la sécurité et de l’ingénierie. Parmi les conclusions les plus notables, plus des deux tiers (67 %) des personnes interrogées ont dû ralentir l’adoption du cloud natif en raison de problèmes de sécurité. Et plus de la moitié des personnes interrogées ont rencontré un problème de chaîne d’approvisionnement logicielle lié au développement cloud natif et conteneurisé au cours des 12 derniers mois.
Comment ces problèmes peuvent-ils être atténués ? Foster a déclaré qu’il existe des outils de sécurité axés sur les conteneurs qui peuvent aider les entreprises si elles savent comment les mettre en œuvre. Bien qu’il ait averti que “les entreprises doivent comprendre l’ampleur du problème”.
Foster a énuméré certaines attaques de la chaîne d’approvisionnement qui ont fait la une des journaux ces dernières années, telles que le Attaque de SolarWinds en 2020 et le Incident du Docker Hub en 2019.
Pourquoi ces attaques sont-elles devenues si importantes ? Selon Foster, « l’écosystème devient de plus en plus imbriqué. Au lieu de cibler une seule entreprise, les cybercriminels ciblent désormais une technologie utilisée par plusieurs entreprises dans l’espoir qu’une charge utile malveillante ou une porte dérobée reste ouverte. Du point de vue d’un hacker, c’est simplement mieux pour son argent.
Comme pour la plupart des choses liées à la cybersécurité, la vigilance est essentielle. Mais rester vigilant est plus facile à dire qu’à faire et les entreprises qui se concentrent sur la transformation numérique travaillent souvent sur un certain nombre d’emplacements différents, y compris le code source, les dépendances, la création d’images, les pipelines de déploiement et la sécurité d’exécution – tout cela “un attaquant peut exploiter, », a déclaré Foster.
“Vos outils de sécurité doivent pouvoir suivre le rythme de développement si vous voulez voir les gains significatifs que les conteneurs peuvent apporter”
Il a également averti que la sécurité est parfois déclassée ou oubliée au profit de l’innovation. « Un autre défi est la concurrence pure sur le marché. Les entreprises sont chargées d’innover et de se développer rapidement, ce qui peut parfois se faire au détriment de la sécurité du produit.
“Certains des problèmes de hiérarchisation présentés dans notre rapport sur l’état de la sécurité de Kubernetes peuvent provenir d’un manque de compréhension de l’évolution du paysage de la sécurité”, a-t-il ajouté, avant d’avertir les gens de ne pas prendre des technologies comme Kubernetes pour acquises. “Les conteneurs représentent un changement de paradigme, et les entreprises doivent apprendre à sécuriser parallèlement à leurs autres avancées.”
“La sécurité est un combat constant”
Alors, quels conseils donnerait Foster aux entreprises qui cherchent à sécuriser leurs opérations sans négliger l’innovation ? “Mon conseil est d’impliquer les développeurs dans la conversation sur la sécurité, en particulier lors de l’évaluation de vos outils de sécurité.
« Les entreprises qui innovent avec des conteneurs et discutent ensuite de la sécurité sont dans une période difficile. Vos outils de sécurité doivent pouvoir suivre le rythme de développement si vous voulez voir les gains significatifs que les conteneurs peuvent apporter. »
Et, surtout, les équipes de sécurité et d’exploitation doivent « comprendre les subtilités » de Kubernetes.
« Kubernetes est un outil puissant permettant aux entreprises de faire évoluer et de sécuriser leurs charges de travail. Cependant, la possibilité de mal configurer vos clusters et d’ouvrir une porte dérobée est toujours présente. Assurez-vous de disposer des outils nécessaires pour sécuriser les microservices croissants sur Kubernetes, à la fois pour le conteneur et l’environnement », a déclaré Foster.
Il est toujours possible d’externaliser la partie sécurité à des fournisseurs de services gérés. Mais pour les entreprises qui souhaitent tout gérer en interne, elles devront certainement créer un cycle de développement logiciel sécurisé. Cela implique des éléments tels que des révisions régulières du code, des audits, des pipelines de construction et de déploiement sécurisés et des renseignements sur les menaces.
Foster a décrit la sécurité comme un “combat constant” et a mis en garde contre la complaisance.
« Dans l’ensemble, si vous répondez aux besoins de votre équipe de sécurité, que vous répétez constamment, que vous restez vigilant pendant les périodes calmes et que vous choisissez les bons outils pour le travail, c’est un bon endroit où se trouver. Un problème avec la sécurité est que si tout se passe bien, il y a moins d’incitation à changer. Dans de nombreux cas, ce n’est qu’en cas d’incendie que la sécurité est prioritaire.
10 choses que vous devez savoir directement dans votre boîte de réception chaque jour de la semaine. Inscrivez-vous pour le Bref quotidienle résumé de l’actualité scientifique et technologique essentielle de Silicon Republic.