PRÉSENTATION DE LA SOLUTION
Automatisation de la sécurité pour DevOps avec F5 Advanced WAF
Les applications sont au centre de la stratégie numérique des organisations modernes. Selon une étude de F5 Labs, les entreprises gèrent en moyenne 983 applications, qui s'étendent souvent sur plusieurs clouds et centres de données. Les applications modernes sont généralement conçues avec des architectures distribuées et construites à l’aide de pratiques de développement agiles jusqu’au niveau des composants. Ce cadre d'intégration continue et de livraison continue (CI/CD) permet à DevOps de gérer le cycle de vie du logiciel avec rapidité et efficacité. Avec le délai de mise sur le marché comme principal indicateur de performance clé (KPI), DevOps a adopté des flux de travail et une automatisation modernes. Cependant, la sécurité est souvent laissée de côté dans le flux de travail de sécurité CI/CD.
L’absence de contrôles de sécurité des applications dans le flux de travail DevOps signifie qu’ils ne sont pas testés parallèlement au code de l’application. Par conséquent, les défauts de sécurité des applications peuvent ne pas être découverts avant que des tests opérationnels soient effectués vers la fin du cycle de développement, où la correction des défauts est beaucoup plus coûteuse. Les conséquences peuvent inclure des retards importants dans la mise sur le marché, des coûts de réparation plus élevés ou des contrôles de sécurité inadéquats.
L’introduction des tests de sécurité plus tôt dans le processus CI/CD est la solution la plus efficace pour combler l’écart entre les équipes d’application et de sécurité. Le défi consiste à y parvenir avec ampleur et efficacité, ce qui nécessite des changements culturels et technologiques qui mettent l’accent sur les tests de sécurité opérationnelle dans le cadre des phases de développement des applications.
F5 Advanced Web Application Firewall permet d' intégrer les tests de sécurité des applications opérationnelles dès le début du pipeline de développement. Cela permet de tester de manière complète les spécifications fonctionnelles et les politiques de sécurité dès le début du pipeline. L'équipe DevOps peut désormais découvrir des défauts de sécurité, soit au niveau de la politique de sécurité, soit au niveau de l'application elle-même, alors que l'application est encore en développement. Lorsque l’équipe détecte des erreurs, elle peut procéder à des corrections plus efficacement et à un coût considérablement réduit.
Principales caractéristiques
- Le déploiement et la configuration basés sur l'API déclarative permettent l'intégration avec les outils et les flux de travail DevOps
- Permet à SecOps de gérer et de fournir la sécurité sous forme de « code » à l'aide de fichiers JSON facilement lisibles pour DevOps
- L'ingestion de fichiers OpenAPI prend en charge la configuration automatisée de la sécurité des API
- L'intégration avec les Webhooks (par exemple, Slack, Teams) permet une collaboration DevOps accrue et des capacités d'automatisation avancées
- Possibilité de partager la sécurité de base entre les applications et les contrôles personnalisés par application via une politique modulaire
- Possibilité de partager des objets de stratégie entre stratégies via une référence à des fichiers partagés
Principaux avantages
- Permet de mettre les applications sur le marché plus rapidement, à moindre coût et avec une plus grande efficacité en matière de sécurité
- Déplace les tests de sécurité « vers la gauche » dans le pipeline de développement d'applications pour une correction plus rentable
- Comble le fossé opérationnel entre SecOps et DevOps
La sécurité comme code
L’intégration de la sécurité des applications dans le pipeline de développement est facilitée par l’utilisation d’API déclaratives. Ces commandes API peuvent être utilisées dans le cadre du pipeline de développement automatisé pour déployer et configurer Advanced WAF. L’automatisation peut être instrumentée via les outils que les équipes DevOps utilisent déjà, tels que GitLab, Jenkins et Bitbucket.
Les politiques de sécurité WAF peuvent également être appliquées aux instances WAF existantes en utilisant les mêmes processus d'automatisation. Les politiques de sécurité peuvent être définies comme un simple fichier JavaScript Object Notation (JSON). Le fichier peut inclure un pointeur vers le nom et l'emplacement de la politique WAF, généralement dans un référentiel tel que GitHub.
Grâce à ce cadre, l’équipe SecOps peut créer, publier et maintenir des politiques de sécurité facilement utilisées par les équipes de développement. Les politiques peuvent varier en fonction de l’application. Par exemple, l’équipe SecOps peut disposer d’une politique de base pour les applications qui protègent contre le Top 10 de l’OWASP, qui définit les risques de sécurité les plus critiques pour les applications Web. D’autres politiques peuvent être publiées pour les applications qui nécessitent des contrôles supplémentaires, qui peuvent inclure des applications qui gèrent des données sensibles ou effectuent des transactions financières. L’équipe de développement consomme ces politiques, tout comme elle consomme d’autres éléments de code d’application.
Figure 1 : Les organisations peuvent utiliser des API déclaratives pour intégrer la sécurité des applications dans le pipeline de développement automatisé afin de déployer et de configurer Advanced WAF.
Les modifications apportées au « code » de sécurité sont automatiquement intégrées, appliquées, testées et créées par l’ensemble d’outils d’automatisation du pipeline CI/CD. Cette approche déplace les contrôles de sécurité plus à gauche (plus tôt) dans le pipeline CI/CD, permettant à la sécurité d'être une responsabilité partagée tout au long du processus. Comme pour toute autre partie de l’application, cela garantit une mise en œuvre de sécurité cohérente à toutes les étapes du cycle de développement : développement, test, assurance qualité et production.
Les équipes DevSecOps interfonctionnelles peuvent utiliser des capacités d'intégration ChatOps supplémentaires (par exemple, Slack) pour augmenter leur efficacité et s'assurer qu'elles sont toujours sur la même longueur d'onde. Cependant, ChatOps peut aller au-delà de la simple messagerie et des alertes. Lorsqu'il est intégré aux outils de pipeline, ChatOps peut fournir une progression DevOps en temps réel et même lancer des actions de pipeline telles que des mises à jour de la politique WAF avancée.
Conclusion
En savoir plus sur Advanced WAF :
- Visitez F5 Advanced WAF
- Visitez la page Web de F5 Web App et de protection des API
- En savoir plus sur la chaîne d'outils d'automatisation et d'orchestration F5
- Rejoignez la communauté technique F5