Les conteneurs — une alternative légère aux machines virtuelles — sont parmi les technologies cloud les plus largement utilisées aujourd'hui, associées à DevOps et au développement logiciel agile. Une grande partie de l'engouement pour la conteneurisation peut être attribuée à son agilité, sa flexibilité et sa sécurité.
Cependant, les conteneurs présentent des préoccupations et des vulnérabilités de sécurité substantielles dans de nombreuses applications. Heureusement, les outils de sécurité des conteneurs gagnent en popularité et aident les professionnels de la sécurité à s'attaquer au problème.
DevOps déclenche une augmentation de l'utilisation des conteneurs
DevOps est une approche du développement logiciel ancrée dans la production à grande vitesse, la communication constante et l'innovation rapide. Bien que de nombreuses technologies soient utilisées par les équipes DevOps, les conteneurs sont l'un des marchés technologiques clés permettant l'expansion de DevOps.
Les conteneurs sont un moyen d'isoler et d'emballer le code, les données et les fichiers dans une unité flexible et sécurisée, isolée en termes de ressources. Ils facilitent la tâche des développeurs pour emballer, expédier et extraire du code lorsqu'ils ajoutent et mettent à jour des fonctionnalités à leurs applications DevOps.
De nombreuses entreprises, d'AWS à Tesla, adoptent la technologie des conteneurs. Les conteneurs Docker — la deuxième plateforme de gestion de conteneurs la plus évaluée sur G2 — ont été téléchargés plus de 100 milliards de fois, comptent environ 750 clients d'entreprise et alimentent près de 6 millions d'applications. De manière impressionnante, Docker a maintenu sa croissance rapide malgré l'entrée sur le marché de géants technologiques comme AWS, IBM, Google et Microsoft.
Docker a rapidement gagné du terrain car ils sont incroyablement évolutifs, faciles à créer, logiques à gérer et offrent un moyen flexible de prendre en charge le réseau défini par logiciel. Il est devenu un standard pour les équipes DevOps, recueillant de nombreux éloges sur G2. Au 6 septembre 2019, le produit a reçu des avis de près de 200 personnes, dont 192 ont évalué le produit 4,0 ou 5,0 étoiles.
Vous voulez en savoir plus sur Logiciel de scanner de vulnérabilités ? Découvrez les produits Scanner de vulnérabilités.
Préoccupations de sécurité des conteneurs non résolues
Les conteneurs ont encore des préoccupations majeures en matière de sécurité qui pourraient mettre votre entreprise et vos clients en danger.
Plus tôt cette année, Tripwire a mené une enquête qui a interrogé plus de 300 professionnels de la sécurité gérant des conteneurs dans des entreprises de taille moyenne et des grandes entreprises. Selon les résultats de l'enquête, 94 % des répondants avaient des préoccupations concernant les conteneurs.
Jerry Gamblin, chercheur chez Kenna Security, a déclaré : « Plus de 60 % des principaux fichiers Docker contenaient une vulnérabilité avec un [score de risque] supérieur à 330, et plus de 20 % des fichiers contenaient au moins une vulnérabilité qui serait considérée comme à haut risque selon le modèle de notation de Kenna et devrait être traitée dès que possible. »
Gamblin a lancé VulnerableContainers.org plus tôt cet été ; le site fournit des informations relatives aux 1 000 conteneurs les plus populaires de Docker Hub. Gamblin a passé chaque conteneur au crible d'un scanner de vulnérabilités et a publié ses résultats en ligne. Les conteneurs avec le plus de vulnérabilités étaient liés à Node.js, DynamoDB et Rancher. Chaque conteneur avait des millions de téléchargements et plus de 1 100 vulnérabilités ouvertes.
Presque tous ont déclaré vouloir des outils de sécurité supplémentaires, et près de la moitié limitent la production de conteneurs en raison de préoccupations de sécurité. Un certain nombre de problèmes peuvent causer ces risques de sécurité.
Les équipes et développeurs individuels ont le plus de contrôle sur les vulnérabilités liées aux composants internes du conteneur. Ces vulnérabilités résultent généralement de l'étiquetage interne, des packages et des bibliothèques. Un petit problème, tel qu'une étiquette d'image mal étiquetée, peut exposer une application à des centaines de vulnérabilités.
Les vulnérabilités tierces sont une autre préoccupation majeure. Elles peuvent être découvertes à l'aide de scanners de vulnérabilités, d'outils de surveillance et d'autres solutions de logiciels d'analyse des risques de sécurité. Elles peuvent également être évitées en ne téléchargeant que des images vérifiées, en exigeant la vérification de la signature des images et en appliquant un contrôle d'accès strict.
Le composant le plus important à protéger est votre noyau hôte, car les conteneurs fonctionnent dessus. Pour la plupart, le conteneur est généralement sécurisé et isolé, sauf s'il est mal conçu ou altéré par des acteurs internes. Cependant, un système hôte compromis rendra les protections natives inutiles.
L'avenir de la sécurité des conteneurs
Les technologies émergentes visent à résoudre certains problèmes de sécurité courants associés à la conteneurisation. Voici quelques exemples de fournisseurs de logiciels innovants espérant capitaliser sur le problème pressant des vulnérabilités liées aux conteneurs non résolues.
Identités d'application alimentant la sécurité cloud zéro confiance
Aporeto, une startup de sécurité cloud-native, change la façon dont les équipes envisagent la protection des conteneurs dans le cloud. Au lieu des approches traditionnelles basées sur les adresses IP, son dernier produit permet l'application de politiques de sécurité distribuées au niveau de l'application. Il est conçu pour protéger les déploiements Kubernetes multi-clusters avec des identités et des politiques individuelles pour chaque application ou charge de travail.
Les technologies traditionnelles de sécurité cloud, en revanche, reposent sur les adresses IP pour déterminer les demandes de connexion réseau approuvées et non approuvées. Bien que cette approche puisse augmenter le temps passé à gérer et configurer des pare-feux individuels, selon la portée et l'échelle de vos applications disparates, elle réduirait considérablement le temps passé à gérer les listes de contrôle d'accès IP.
Apprentissage automatique et IA pour l'auto-protection des conteneurs
Début août, Sysdig a annoncé de nouvelles fonctionnalités de produit permettant la détection d'anomalies basée sur l'apprentissage automatique et le profilage en temps réel des systèmes Kubernetes d'entreprise. L'outil aide les équipes DevOps et de sécurité à automatiser la configuration des politiques de sécurité à partir d'algorithmes d'apprentissage automatique qui traitent les activités du système de fichiers, les comportements réseau et les appels système.
De plus, l'outil permet une analyse automatisée des vulnérabilités pour l'évaluation continue des applications, des conteneurs et des images de registre. Ces capacités empêchent les équipes DevOps de mettre en production des images contenant des vulnérabilités connues, comme celles répertoriées sur VulnerableContainers.org.
Les monolithes informatiques absorbent les startups de sécurité des conteneurs
Bien que certaines entreprises ne soient pas aussi innovantes avec leurs produits hérités, les fournisseurs de sécurité de longue date achètent des startups de sécurité des conteneurs à la pointe de la technologie. En mai, Palo Alto Networks a acheté la startup de sécurité des conteneurs Twistlock pour 410 millions de dollars. L'acquisition de Red Hat par IBM pour 34 milliards de dollars en juillet semble avoir produit une nouvelle famille de solutions conçues pour la gestion, la surveillance et la sécurité des conteneurs.
Plus récemment, McAfee a annoncé son acquisition de NanoSec, une solution de protection des charges de travail d'application. McAfee a déclaré qu'il prévoyait d'utiliser la technologie sous-jacente de NanoSec pour simplifier la configuration des politiques et le contrôle d'accès réseau au sein de ses produits MVISION Cloud.
Heureusement, le jeune marché de la sécurité des conteneurs devrait passer de 1,5 milliard de dollars à plus de 6 milliards de dollars au cours des cinq prochaines années, selon Grand View Research. Espérons que cet afflux d'argent produira un marché dynamique et innovant de solutions pour s'attaquer à un autre problème de sécurité émergent pour le monde en évolution des applications cloud.
Aaron Walker
Aaron has been researching security, cloud, and emerging technologies with G2 for more than half a decade. Over that time he's outlined, defined, and maintained a large portion of G2's taxonomy related to cybersecurity, infrastructure, development, and IT management markets. Aaron utilizes his relationships with vendors, subject-matter expertise, and familiarity with G2 data to help buyers and businesses better understand emerging challenges, solutions, and technologies. In his free time, Aaron enjoys photography, design, Chicago sports and lizards.
