Notions de base sur la sécurité des conteneurs : Introduction
Jordan Zebor
Lori MacVittie
Que signifie réellement la sécurité des conteneurs ?
L’adoption des conteneurs continue de s’accélérer. Nous le constatons dans les recherches menées dans tous les domaines concernés de l’informatique, ce qui représente à peu près tout. Il est incontestable que les charges de travail conteneurisées continueront de consommer les charges de travail des entreprises à la fois sur site et dans le cloud.
Presque toutes les organisations (94 %) disposant de conteneurs en production sont quelque peu ou très préoccupées par la sécurité des conteneurs. Selon le rapport State of Container Security 2019 de Tripwire , plus de la moitié (60 %) des entreprises ont été confrontées à un incident de sécurité lié à un conteneur au cours des 12 derniers mois. Plus de la moitié (54 %) des répondants ont sélectionné « les connaissances insuffisantes en matière de sécurité des conteneurs au sein des équipes » comme leur plus grande préoccupation en matière de sécurité.
Cela est peut-être dû au fait que la conteneurisation ne concerne pas uniquement un format d’emballage. Les conteneurs seuls offrent très peu d’avantages aux organisations. La force des conteneurs réside dans la possibilité de les déployer et de les gérer à l’aide de systèmes d’orchestration. C’est pourquoi ils existent depuis plusieurs décennies mais n’ont jamais été réellement adoptés jusqu’à l’apparition des offres d’orchestration.
L’adoption s’est accélérée lorsqu’il est devenu évident que les conteneurs et l’orchestration s’adaptaient naturellement à des approches comme Agile et DevOps qui encouragent la rapidité grâce à l’utilisation de pipelines de livraison et de déploiement automatisés.
Il est donc raisonnable de supposer que si l’on déploie des charges de travail dans des conteneurs, on déploie également un système d’orchestration qui fait partie d’un pipeline de livraison (CI/CD).
Il existe donc trois systèmes individuels qui doivent être pris en compte lorsque nous commençons à parler de sécurité des conteneurs : le pipeline, l’orchestration et la charge de travail.
Votre stratégie de sécurité pour les conteneurs doit également inclure ces trois éléments. Si vous ne les évaluez pas, vous vous exposez à une variété de risques, dont la plupart peuvent vous faire gagner une place que vous ne souhaitez pas sur une liste ou, pire, dans un titre que vous ne voulez pas lire. Cela rend certainement plus difficile pour les organisations de s’assurer que les équipes disposent des connaissances de sécurité appropriées et nécessaires.
C’est pourquoi j’ai fait équipe avec Sr. Jordan Zebor, ingénieur de test de la sécurité de la plateforme, vous propose une série de blogs destinés à vous aider à vous familiariser avec les bases afin que vous puissiez formuler une stratégie de sécurité des conteneurs réussie. Pour ce faire, nous allons examiner en profondeur chacun des trois composants de la sécurité des conteneurs :
- Sécurité des pipelines
Votre pipeline est l’ensemble d’outils utilisés pour automatiser la livraison des charges de travail conteneurisées au système d’orchestration. Il peut inclure des scripts Python personnalisés, Jenkins, GitHub, GitLab, etc.
- Sécurité de l'orchestration
Le système d'orchestration est utilisé pour gérer et faire évoluer les charges de travail. Le plus souvent Kubernetes, mais il peut s'agir d'un système basé sur Kubernetes comme RedHat OpenShift, AWS, Azure, Google, Mesos ou, dans certains cas, d'un système personnalisé. Dans cette série, nous nous concentrerons sur Kubernetes car c'est l'option d'orchestration la plus utilisée aujourd'hui.
- Sécurité de la charge de travail
La sécurité de la charge de travail déployée. Chaque charge de travail est un logiciel et communique avec d’autres charges de travail et peut être accessible au public. Cela inclut de plus en plus l’infrastructure et les intergiciels.
Lisez le prochain blog de la série :
Notions de base sur la sécurité des conteneurs : Pipeline