Libérez DevOps en toute sécurité avec NGINX Modern Application Security

À l’heure actuelle, le concept de « DevSecOps » est familier à presque tous ceux qui travaillent dans le développement de logiciels modernes, avec sa promesse de renforcer fondamentalement la sécurité des applications ainsi que d’atténuer les frictions entre les équipes DevOps et de sécurité .

Dans un modèle DevSecOps, la sécurité est déplacée vers la gauche et intégrée directement dans le processus de développement et de déploiement DevOps. En particulier, la sécurité est intégrée à chaque phase du pipeline d’intégration continue/déploiement continu (CI/CD) pour aider à identifier les failles de sécurité plus tôt. Contrairement aux modèles de sécurité traditionnels, DevSecOps place la sécurité au cœur du développement, aidant à identifier les problèmes plus proches de leur point d'origine, à réduire les révisions coûteuses (et chronophages) et à empêcher les vulnérabilités d'atteindre la production.

Mais malgré la poussée vers DevSecOps, les équipes de sécurité semblent toujours être à la traîne par rapport au rythme de DevOps. Selon le rapport DevSecOps Insights 2020 de snyk, 48 % des développeurs estiment toujours que la sécurité est une contrainte majeure à leur capacité à fournir rapidement des logiciels.

Pourquoi la sécurité des applications est-elle encore trop lente ?

Même si la plupart des entreprises savent où doit se situer leur posture de sécurité, l’intention et la réalité sont deux choses très différentes. Selon le rapport The State of DevSecOps de Contrast Security pour 2020, plus de 99 % des organisations sont obligées d'admettre que leur application moyenne en production présente au moins 4 vulnérabilités, tandis que près de 80 % signalent plus de 20 vulnérabilités dans les applications en cours de développement. Ainsi, même si 70 % des équipes de sécurité interrogées dans le cadre de l'enquête mondiale DevSecOps 2021 de GitLab déclarent avoir déplacé la sécurité vers la gauche et collaborer plus étroitement que jamais avec les développeurs, il est clair que d'importantes lacunes de sécurité subsistent.

Au cours de nos échanges avec les clients de NGINX, nous avons découvert trois grands défis qui continuent de ralentir ou de bloquer l’adoption des pratiques DevOps par les équipes de sécurité :

1. Un périmètre distribué en constante évolution
   Contrairement à il y a 20 ans, les équipes de sécurité sont rarement chargées de défendre un seul périmètre facile à sécuriser . Au lieu de cela, ils doivent sécuriser les applications développées et déployées par les équipes DevOps qui ont toute liberté pour choisir les environnements, les plateformes et les outils qui les aident à itérer le plus rapidement possible. Les pratiques DevOps sont excellentes pour l’innovation, mais constituent une mauvaise nouvelle pour les professionnels de la sécurité qui doivent protéger une gamme de services, de points de terminaison et d’appareils communiquant entre eux via des API. En fait, seulement la moitié des personnes ayant répondu à l’ enquête GitLab déclarent disposer de processus de surveillance et de protection des applications créées à l’aide de stratégies de développement modernes, notamment des microservices et des conteneurs.

2. Incapacité à automatiser et à intégrer la politique de sécurité dans les pipelines CI/CD
   La transformation au sein des différentes équipes ne se produit pas à la même vitesse, et la plupart des outils hérités disponibles pour les équipes de sécurité n'ont pas été conçus pour un environnement décalé vers la gauche. En conséquence, les équipes de sécurité sont obligées de s’adapter et d’intégrer dans le pipeline des outils peu adaptés à l’automatisation et aux infrastructures modernes. Pire encore, ces outils manquent de fonctionnalités en libre-service, de sorte que les développeurs et les ingénieurs DevOps doivent attendre que la sécurité termine un audit manuel des politiques et des processus pour avancer.

3. Il est difficile d’obtenir une visibilité centralisée et des informations sur la sécurité
   La majorité des applications d’entreprise sont non seulement distribuées, mais disposent également de zones de propriété distribuées, chacune utilisant des outils différents. Cela rend extrêmement difficile l’obtention d’une visibilité consolidée sur la posture de sécurité au sein de l’organisation. Au lieu de rechercher la cause profonde des problèmes, les équipes de sécurité perdent souvent du temps à essayer de consolider et de corréler les données provenant de différents endroits.

Et bien sûr, la plupart des entreprises ne surmontent pas ces obstacles pour une simple poignée d’applications : elles jonglent avec des centaines de produits et de services répartis entre plusieurs équipes exécutant leurs propres piles technologiques, chaînes d’outils et processus, qui nécessitent tous des audits et des contrôles pour garantir que les vulnérabilités ne laissent pas la porte ouverte aux attaques.

Les équipes d'entreprise se tournent vers les opérations de plate-forme

Alors, que pouvez-vous faire pour aider vos équipes de sécurité des applications à devenir plus agiles tout en permettant aux développeurs de continuer à évoluer rapidement mais en toute sécurité ?

La dure réalité est que si vous ne parvenez pas à trouver un moyen de relever les défis évoqués ci-dessus, vous ne pourrez pas faire évoluer vos pratiques et vos processus. Itérer plus rapidement peut sembler être la victoire dont tout le monde a besoin, mais la seule façon de continuer à faire évoluer DevOps jusqu'à son plein potentiel est de rendre la sécurité aussi fluide et adaptable que possible tout au long du cycle de vie du développement logiciel.

De plus en plus, nous voyons des organisations adopter une approche que nous appelons – suivant l’exemple de Gartner – Platform Ops . Le concept de base est de fournir des capacités DevOps via une plateforme conçue pour répondre aux exigences des équipes internes de l'entreprise. L’utilisation de plateformes internes réduit non seulement le risque de perdre du temps sur des tâches redondantes, mais aide également plusieurs équipes de produits à collaborer de manière continue et efficace sans être ralenties.

Dans le cadre d’un modèle Platform Ops, les équipes de sécurité fournissent des politiques consommables en libre-service aux équipes de développement. De plus, les outils de sécurité sont entièrement intégrés au processus de livraison des applications. De cette façon, les développeurs peuvent déployer plus rapidement tout en respectant les meilleures pratiques, la gouvernance et les exigences d’accès définies par des experts en sécurité compétents.

Le grand avantage pour les équipes de sécurité des applications est que Platform Ops crée un environnement dans lequel les développeurs ne perçoivent plus la sécurité comme un obstacle qui les ralentit, mais plutôt comme une partie intégrante des processus et des outils qu’ils utilisent déjà. Cela motive les équipes de livraison d’applications à adopter des modèles qui garantissent une meilleure sécurité pour l’entreprise dans son ensemble.

Comment NGINX aide

Chez NGINX, nous reconnaissons l’importance de fournir des outils, tels qu’un pare-feu d’application Web (WAF), qui peuvent facilement se déplacer vers la gauche pour assurer la sécurité n’importe où dans les processus de développement et s’intégrer pleinement aux pipelines CI/CD. Il est également essentiel de disposer de solutions légères qui ne monopolisent pas le processeur ni ne ralentissent les performances.

Nous avons également constaté que les équipes de développement et DevOps sont beaucoup plus heureuses lorsque la sécurité est une barrière plutôt qu’une porte . Lorsque la sécurité fournit des contrôles et des politiques solides et cohérents sur une plateforme partagée en libre-service, il devient plus facile pour les équipes de développement et de sécurité de s’aligner sur les directives avec un minimum d’interaction et d’interruption.

Voici comment la plateforme d’application NGINX offre exactement cela :

• NGINX App Protect WAF est un WAF léger et moderne que vous pouvez déployer partout où vous créez et gérez des applications. Construit sur la technologie WAF leader du marché de F5, App Protect WAF protège contre les 10 principales menaces OWASP et d'autres menaces avancées, quelle que soit l'architecture ou l'environnement de déploiement, qu'il soit cloud, hybride, conteneurisé basé sur des microservices ou sur site. Déployé en tant que module dynamique pour NGINX Plus , App Protect WAF vous permet d'automatiser la configuration et les politiques de sécurité afin qu'elles puissent être provisionnées directement dans votre pipeline CI/CD.

• NGINX App Protect DoS fournit une protection automatisée et adaptative pour identifier et prévenir les attaques par déni de service (DoS) . Soutenu par les experts en sécurité de F5, App Protect DoS utilise l’apprentissage automatique adaptatif et la détection d’anomalies intégrée pour protéger vos applications et microservices contre les attaques de la couche applicative. Que vous ayez besoin d'arrêter une attaque ciblée ou simplement d'empêcher une mauvaise configuration involontaire de perturber les performances de l'application, App Protect DoS offre une protection sans intervention qui s'intègre parfaitement aux architectures d'applications, aux outils de développement et aux frameworks modernes.

• Le module complémentaire NGINX Controller App Security<.htmla> pour le module Controller Application Delivery vous permet d'améliorer la productivité des développeurs sans compromettre les opérations et la conformité en matière de sécurité. Controller App Security offre une protection fiable des applications et une visibilité centralisée des menaces au niveau de la couche applicative qui peut être standardisée sur les applications et API basées sur HTTP exécutées dans des environnements multicloud. Il permet également aux équipes de sécurité de fournir des directives pré-approuvées que les développeurs et les équipes DevOps utilisent en libre-service pour ajouter facilement une protection d'application à leurs applications.

• La sécurité avancée du module de gestion des API du contrôleur NGINX permet une sécurité des API distribuées pour les applications modernes :

  • NGINX App Protect WAF peut désormais être colocalisé avec des passerelles API offrant une gestion du trafic API et une sécurité pour les environnements distribués. Grâce à l'architecture découplée de NGINX, où le plan de données (composé de passerelles API et désormais de NGINX App Protect WAF) n'a aucune dépendance d'exécution sur le plan de contrôle, NGINX offre les meilleures performances et la meilleure sécurité de sa catégorie pour vos API hébergées sur site ou dans un cloud public, privé ou hybride.
  • Le module complémentaire NGINX Controller App Security pour le module de gestion des API intègre de manière transparente une sécurité renforcée avec les passerelles API NGINX déployées n'importe où : systèmes nus, machines virtuelles, conteneurs et environnements cloud. Prêt à l'emploi, le module complémentaire protège contre les 10 principales vulnérabilités de sécurité des API OWASP et d'autres telles que l'injection SQL et l'exécution de commandes à distance (RCE). Il valide les types de fichiers autorisés et les codes d'état de réponse et vérifie les fichiers JSON, XML et cookies mal formés. Le module complémentaire détecte également les techniques d’évasion utilisées pour masquer les attaques et garantit la conformité avec les RFC HTTP.

Prêt à rendre la sécurité facile et sans douleur ?

Démarrez des essais gratuits de 30 jours de NGINX Plus avec NGINX App Protect et NGINX Controller , découvrez nos offres dans le cloud ( AWS , Google Cloud Platform , Microsoft Azure ) et inscrivez-vous au cours dirigé par un instructeur Introduction à NGINX App Protect .