Ce que nous devons retenir du meetup avec Liz Rice sur la sécurité des conteneurs

09-10-2018 / CloudOps

Le meetup spontané qui s’est tenu au début d’octobre mettait en vedette Liz Rice, experte reconnue dans le domaine de la sécurité des conteneurs et évangéliste technique chez Aqua Security. En tant que participante active dans la fondation CNCF et coprésidente de KubeCon et de CloudNativeCon, Liz a pu faire part de son expérience approfondie des technologies infonuagiques. L’événement a eu lieu le 4 octobre dernier au Complexe Desjardins.

La soirée a commencé par une causerie au coin du feu où Robert Masse, partenaire et conseiller en gestion des risques chez Deloitte et Marc Paré, responsable de la conformité chez CloudOps, ont interviewé Liz. Il a été convenu que toutes les organisations subiront une fuite de données à un moment ou à un autre et qu’elles devraient planifier d’y remédier par une approche infonuagique qui offre des moyens de simplifier la sécurité. Un meetup de la communauté technologique suivait immédiatement où Luc St-Arnaud de chez Desjardins a fait une introduction, Ayrat Khayretdinov a fait une mise à jour du paysage de la CNCF et Liz Rice a fait une présentation sur les moyens de sécuriser les déploiements de conteneurs.

Pour commencer, Liz a expliqué comment la définition de l’infonuagique a changé au cours des dernières années et que dorénavant, elle n’inclut plus les conteneurs ni les microservices. Elle désigne maintenant des applications qui sont évolutives et automatisables et qui développent et déploient facilement des logiciels. Les conteneurs seront probablement les moyens les plus efficaces de rendre une application infonuagique, mais ils ne sont plus intrinsèques à la définition. Le fait de rendre votre application infonuagique ne la rendra pas, par défaut, plus ou moins sécuritaire, mais vous aurez plus d’outils pour sécuriser votre pipeline à l’échelle. Pour résumer la présentation de Liz, voici cinq façons qui peuvent aider à rendre plus sécuritaires vos conteneurs, s’ils font partie de votre stratégie infonuagique.

Déterminez vos objectifs. Avant de les adopter, sachez ce que vous désirez accomplir avec les conteneurs. Désirez-vous devenir plus agile ? Souhaitez-vous passer moins de temps à déployer du logiciel ? Définir vos désirs vous permettra de sauter sur toutes les occasions et d’aligner votre stratégie générale sur vos objectifs. Vous pourrez trouver ainsi des solutions adaptées à vos propres exigences particulières.

LizRice

Exposer vos données oubliées. Il est facile d’oublier les microdonnées et des failles peuvent se glisser dans des coins obscurs et inconnus. Les anciennes versions de Kubernetes dont le niveau de sécurité est faible peuvent aussi se faire oublier. Il est possible de laisser l’accès API ouvert et vulnérable. Des équipes de développement impatientes peuvent créer des TI dans l’ombre (shadow IT) en contournant les systèmes de TI hérités ; sans s’assurer que les déploiements concordent aux pratiques organisationnelles. Le code qui n’est pas connu des équipes de TI ne peut être surveillé ni sécurisé.

L’automatisation est primordiale. L’intégration des processus de sécurité aux pipelines CI/CD dépend de l’automatisation. Cela est particulièrement vrai pour les applications conteneurisées. Avec tant d’instances dans des environnements aussi volatiles, il est impossible de réparer manuellement les vulnérabilités. Grâce à l’automatisation, il est facile de vérifier les vulnérabilités quotidiennement plutôt que mensuellement, et vous ne serez pas exposés si votre expert en sécurité part en vacances !

Commencez petit. Évitez de développer une vision trop grande pour y parvenir et qui n’aboutit à rien. Déterminez les fondements de base et abordez les éléments un à la fois. Créez une configuration ou un encadrement de contrôle d’accès minimum ; vous pourrez l’élargir par la suite. Automatiser la recherche de vulnérabilités est un bon départ. Kubebench et Kubehunter peuvent être utilisés pour obtenir la visibilité sur une application. Microscanner est une bonne version gratuite du scanneur AquaSec.

Décalez-vous vers la gauche. Les cycles de vie de logiciels placent généralement le développement à gauche et la production à droite ; la sécurité est reléguée à la production. Le décalage vers la gauche signifie que les solutions et les contrôles relatifs à la sécurité descendent le long du pipeline et se rapprochent du développement. La sécurité est donc rendue beaucoup plus efficace. Si un développeur télécharge une vulnérabilité ou utilise le mauvais ensemble de progiciels, l’erreur sera détectée avant qu’elle ne se rende aux tests. Les problèmes seront découverts plus rapidement et plus facilement. Le décalage vers la gauche implique la réorganisation de votre équipe ; les équipes de la sécurité, de développement et des opérations interagissent de façon plus rapprochée et plus alignée sur les pratiques DevOPs. Votre personnel sera soit votre meilleur atout, soit votre plus grande faiblesse.

LizRice

La présentation sur la sécurité des conteneurs de Liz Rice mettait en évidence les façons dont les processus infonuagiques particuliers à la sécurité conteneurs peuvent augmenter la sécurité des piles technologiques. Lorsqu’ils sont bien faits, les conteneurs créent des îlots sécuritaires qui distribuent les risques et qui ne se fient pas aux points de défaillance. En fait, le nuage peut minimiser le rayon d’impact d’une fuite de données. En déterminant vos objectifs, en exposant vos données, en automatisant, en commençant petit et en vous décalant vers la gauche, vous pourrez saisir les occasions de sécuriser vos conteneurs offertes par les architectures infonuagiques.  

Après la causerie au coin du feu, Liz s’est déplacée dans le grand hall pour rencontrer des membres de la communauté technologique pour un meetup spécial Kubernetes et infonuagique. L’ambassadeur de la CNCF de CloudOps, Ayrat Khayretdinov, a offert un aperçu du paysage de la CNCF ainsi qu’une mise à jour de Kubernetes 1.12.

Kubernetes. Kubernetes 1.12 fut récemment publié et inclut de fabuleuses révisions. De nouvelles fonctionnalités furent ajoutées telles que des copies de volume instantanées et le soutien aux temps d’exécution via RuntimeClass. D’autres fonctionnalités ont été achevées. Par exemple, kubelet TLS bootstrap, la rotation de certificats kubelet, la politique de réseau egress IPblog, VPA et HPA avec paramètres personnalisés ou non, le cryptage au repos via KMS, et enfin, le provisionnement dynamique conscient de la topologie de volume.

Autres projets de la CNCF. Rook, un orchestrateur pour les systèmes de stockage distribués a été déplacé de la phase bac à sable vers l’étape de l’incubation. Cortex, une solution de stockage à long terme, à locataires multiples et à mise à l’échelle horizontale, a été placé dans le bac à sable. Buildpacks, une solution à usage spécifique qui sert à la conception d’application à partir du code source, fut élu comme nouveau projet CNCF et fut placé dans le bac à sable. Nous avons hâte de voir les projets qui se développent et qui évoluent avec la CNCF.

CloudOps fut enchantée de recevoir Liz Rice à Montréal et d’écouter ses propos à la causerie au coin du feu et au meetup spontané. Nous espérons vous revoir à d’autres meetups afin de discuter de tout ce qui est relatif à l’infonuagique. Nos meetups Kubernetes et infonuagiques réguliers ont lieu à chaque trois mois à Montréal, à Toronto, à Ottawa, à Québec, et à Kitchener-Waterloo. Si vous pensez participer à KubeCon et à CloudNativeCon à Seattle qui a lieu prochainement à Seattle du 10 au 13 décembre, dites-le-nous ! Nous serons commanditaires et participants.