Réaliser une évaluation adéquate
La première étape pour mettre en œuvre des mesures de sécurité adaptées aux projets DevOps est de faire une évaluation appropriée. Il est essentiel pour une organisation de comprendre les risques associés à la migration et aux infrastructures de fournisseurs de solutions cloud. A l’issue de cette évaluation, les équipes DevOps doivent se poser plusieurs questions. Tout d’abord, qui partage la responsabilité de ce projet ? Il faut tenir compte de toutes les parties qui utiliseront la solution et qui joueront un rôle dans son fonctionnement une fois qu’elle sera accessible. Ensuite, quels sont les contrôles qui peuvent être utilisés avec l’infrastructure actuelle, et quels sont ceux qui doivent être encore mis en œuvre ? Une fois qu’une initiative CWS est en exécution active, il faut mettre en œuvre les capacités de sécurité que l’entreprise est en mesure de mettre en œuvre immédiatement et les protections encore absentes. Enfin, quels sont les contrôles de sécurité qui s'inscrivent dans le cadre de la gestion des risques ? Une fois l’évaluation terminée, les contrôles de sécurité doivent être en adéquation avec les initiatives de gestion des risques. Procéder à cette évaluation permet aux équipes de sécurité et aux développeurs DevOps de mieux se protéger contre les cyberattaques avant et pendant le déploiement (ce qui est particulièrement important dans les environnements DevOps modernes).Reconnaître l’attrait que présentent les environnements d’infrastructures cloud pour les cybercriminels
Dans le paysage DevOps actuel, plusieurs raisons poussent les cybercriminels à cibler davantage les environnements virtualisés, et en particulier les environnements Linux. Premièrement, plus de 90% des charges de travail présentes dans les environnements cloud ou cloud hybrides (à la fois serveurs et conteneurs) s’exécutent sur des distributions basées sur Linux. Comment cela se fait-il ? Ces distributions sont plus efficaces et plus simples à gérer, consomment moins de ressources et sont intrinsèquement conçues pour servir un objectif précis. Cela signifie qu’elles sont élaborées de manière plus générique et plus conventionnelle, rendant plus facile pour les cybercriminels de reproduire un environnement. Deuxièmement, les charges de travail basées sur Linux sont systématiquement les plus négligées dans toutes les infrastructures (beaucoup de gens pensent que parce que Linux est en open source, l’équipe n’est pas responsable de sa sécurisation). Troisièmement, la plupart des distributions sont hébergées dans le royaume de l’open source, ce qui signifie qu’il n’y a pas d’engagement réel à fournir des mises à jour et des correctifs de sécurité, puisque ces distributions sont jugées vulnérables par nature. Au moment de déployer une solution dans un environnement Linux ou un autre environnement en open source, les équipes DevOps devraient être particulièrement attentives aux risques de sécurité et à ce que ce type d’environnements impliquent en termes d’objectifs de sécurité à long terme.Étapes pour la protection et le déploiement des applications basées sur des conteneurs
En gardant ces informations à l’esprit, des environnements virtualisés plus sécurisés peuvent être conçus et déployés en suivant quelques étapes clés. Lorsqu’une initiative DevOps est développée, la sécurité doit s'intégrer à chaque étape du projet de déploiement. Il est important de tenir compte des diverses capacités, telles que la détection et la réponse gérées (MDR) et la détection et la réponse étendues (XDR), dans le cadre du processus d’évaluation ayant lieu préalablement au déploiement afin d’évaluer les menaces, les erreurs de configuration et les vulnérabilités de manière proactive. Ensuite, lorsque les conteneurs sont prêts pour l’exécution, des mesures de sécurité pour la protection à l’exécution doivent être mises en place. Concevoir des environnements de conteneurs avec des protections, mais s’ils ne sont pas pas convenablement sécurisés à l’exécution, ces conteneurs restent vulnérables en cas de violation réussie. L’entreprise est responsable des données que ses applications traitent dans le cloud, que celui-ci lui appartienne ou non. Lorsque d’autres utilisateurs adoptent une technologie, la sécurisation des données hébergées devient une responsabilité partagée. Chacune de ces étapes garantira des environnements plus fiables et plus faciles à utiliser.Les contrôles de sécurité en soi ne sont qu’un élément technologique. Les contrôles de sécurité, dans une configuration idéale, devraient être en phase avec les processus et le développement des produits. Se préparer au déploiement ne devrait pas signifier sacrifier les contrôles de sécurité au profit d’un déploiement plus rapide ou plus efficace. De plus, les ingénieurs DevOps à l’origine de ces contrôles doivent être capables de comprendre la technologie, les protocoles et les risques – ainsi que la façon dont tirer efficacement parti de ces technologies pour les utiliser à leur plein potentiel. En comprenant comment protéger au maximum les initiatives DevOps, les équipes de développement seront finalement à même de concevoir des environnements de conteneurs plus efficaces et plus sécurisés.
Par Yasser Fuentes, Technical Product Manager (Cloud) chez Bitdefender