Sécurité des conteneurs avec Sysdig Secure

La sécurité et la conformité intégrées au DevOps


Obtenir la liste des points de contrôle pour sécuriser K8s

Comblez les lacunes de sécurité et de visibilité des conteneurs

Image Scanning

Scan
d’images

Automatisez l’analyse en local au sein de vos outils de CI/CD et détectez les nouvelles vulnérabilités à l’exécution.

Compliance

Conformité
continue

Validez la conformité aux normes telles que PCI, NIST et SOC2 sur l’intégralité du cycle de vie Kubernetes et des conteneurs.

Runtime Security

Sécurité du
Runtime

Détectez les menaces ciblant les conteneurs, Kubernetes et l’infrastructure AWS grâce aux règles Falco prêtes à l’emploi basées sur les appels système, les journaux d’audit K8s et AWS CloudTrail.

Incident Response and Forensics

Réponse aux incidents et analyse forensics

Investiguez à partir des données des appels système de bas niveau, même après la disparition du conteneur.

Consultez notre synthèse 2020 sur la sécurité des conteneurs. Lire maintenant

Sécurité des conteneurs avec Sysdig Secure

Sysdig Secure intègre la sécurité et la conformité dans chacune des étapes du cycle de vie des conteneurs.

Scan d’images

À l’heure où les logiciels ne sont plus créés à partir de zéro mais assemblés, vos développeurs utilisent des images de base open source et des bibliothèques tierces pour concevoir et dimensionner des applications conteneurisées. Pour aller plus loin, consultez les 12 meilleures pratiques d’analyse d’images à adopter en production.

Sysdig Secure bloquent les vulnérabilités connues de manière précoce en intégrant l’analyse aux pipelines CI/CD et aux registres. La solution signale également les nouvelles vulnérabilités identifiées au moment de l’exécution, les relie aux applications concernées et identifie l’équipe en mesure d’y remédier. Pour gagner du temps, utilisez les règles d’analyse de sécurité Docker de Sysdig. Ces règles prêtes à l’emploi détectent les vulnérabilités de gravité élevée liées ou non à l’OS, les erreurs de configuration et les mauvaises pratiques en matière de sécurité.

Sécurité du Runtime

La sécurité des conteneurs repose également sur la capacité à détecter et signaler les activités malveillantes lors de l’exécution, y compris :

  • l’utilisation de vulnérabilités non corrigées ou de nouvelles vulnérabilités zero-day
  • les configurations non sécurisées
  • les identifiants faibles ou ayant été divulgués
  • les menaces internes

Le projet open source Falco vous permet de créer des règles de détection flexibles pour définir tout comportement inattendu au sein des conteneurs. Ces règles peuvent être enrichies du contexte issu du fournisseur cloud et des environnements Kubernetes. Plutôt que de créer des stratégies à partir de zéro, vos équipes peuvent mettre à profit les nombreuses règles de détection créées par la communauté. Vous pouvez ensuite générer des alertes en associant Falco à vos workflows et processus actuels de réponse aux incidents de sécurité.

Sysdig Secure étend le moteur open source Falco et réduit le temps consacré à la création et à la gestion des stratégies de détection à l’exécution. L’apprentissage automatique définit automatiquement des profils d’images de conteneurs qui vous servent de base pour rédiger vos règles.

Conformité continue

La conformité des conteneurs est un impératif absolu avant tout déploiement en production. Les difficultés les plus fréquemment rencontrées par les équipes DevOps pour la validation de conformité des conteneurs sont les suivantes :

  • Elles ne sont pas en mesure de relier les normes de conformité à des contrôles spécifiques dans les environnements cloud
  • Elles ne parviennent pas à déterminer leur progression en termes de conformité ni leurs chances de réussite à un audit
  • Elles ignorent quelles équipes sont responsables de quels contrôles de conformité
  • Elles sont incapables de démontrer la conformité au sein des environnements de conteneurs

Toutes ces tâches de conformité demandent du temps et des ressources et finissent par ralentir le déploiement des applications. Sysdig Secure relie les normes de conformité (PCI, NIST, SOC2…) à des contrôles spécifiques pour les environnements Kubernetes et de conteneurs. Les évaluations à la demande, les tableaux de bord et les rapports facilitent la réussite aux audits tiers. Découvrez comment valider en continu la conformité des conteneurs aux normes telles que PCI, NIST et SOC2 sur l’intégralité du cycle de vie Kubernetes et des conteneurs.

Réponse aux incidents

En matière de réponse aux incidents, la nature distribuée et dynamique des environnements Kubernetes et de conteneurs rend la recherche des causes plus difficile. Il s’agit pour vos équipes de trouver le juste milieu pour définir des stratégies d’exécution précises sans se laisser submerger par les alertes.

Pour identifier la cause racine d’un événement malveillant au sein d’un conteneur, votre outil de sécurité des conteneurs doit vous fournir des éléments de preuve détaillés. Sysdig met à votre disposition des données d’analyse forensics complètes en s’appuyant sur les appels système Linux qui sont essentiels pour une analyse post mortem exhaustive, même après la disparition du conteneur. Ces données de bas niveau vous permettent de répondre aux questions délicates concernant les fichiers modifiés, les commandes exécutées, les connexions établies et bien plus encore. Découvrez comment capturer un instantané de l’activité avant et après l’attaque au sein des conteneurs, et comment conduire une réponse aux incidents et une investigation approfondie.

Intégration à votre processus DevOps

Sysdig est une plateforme open source « SaaS-first » qui s’intègre automatiquement à votre pile DevOps existante.

Créer

Vulnérabilités
Configuration

Outils de CI/CD

Le scanning d'image de Sysdig Secure s'intègre directement à l'intérieur de votre pipeline CI/CD et empêche les images contenant des vulnérabilités ou des erreurs de configuration d'être déployées.

Registre

Le scanning d'images de Sysdig Secure supporte tous les registres compatibles Docker V2. Il garantit une posture toujours à jour face aux risques, et il identifie les images qui doivent être corrigées si de nouvelles vulnérabilités sont découvertes.

Exécuter

Métriques
Événements
Politiques de sécurité

Applications

Sysdig fournit la sécurité à l'exécution, ainsi que la supervision de l'infrastructure et des applications, vous aidant à déployer plus rapidement les applications cloud en production.

Cloud

Sysdig sécurise et surveille les conteneurs sur de multiples plateformes cloud.

La vision par services de Sysdig renrichit les données des conteneurs avec des méta-données provenant des fournisseurs de cloud.

Orchestrateur

Sysdig supporte tous les orchestrateurs, de multiples distributions Kubernetes, ainsi que les plateformes managées

La vision par services de Sysdig enrichit les données des conteneurs avec des méta-données provenant de Kubernetes ou d'autres orchestrateurs. Sysdig utilise les fonctions natives de Kubernetes pour appliquer les politiques de sécurité et la prévention des menaces.

Infrastructure

La vision par services de Sysdig fournit une visibilité étendue de l'activité des conteneurs via un modèle d'instrumentation léger qui collecte les données de bas niveau des appels systèmes.

Réagir

Alertes
Journaux
d’audit
Événements
Capture des
appels système

Alertes

Configurez des alertes sur l'échec de scan des images, la détection d'activité anormale à l'exécution, la résolution des problèmes, etc; en utilisant les outils de notification dont vous vous servez déjà (e.g., Slack, PagerDuty, SNS, etc.).

Intégrations SIEM et SOAR

Sysdig renvoie automatiquement les événements dans votre outil de SIEM, donnant ainsi aux opérateurs du SOC un visibilité étendue sur les incidents concernant les conteneurs et Kubernetes.

SaaS

Hébergement privatif

Sysdig Secure DevOps Platform

Exécutez en toute confiance des applications cloud native en production grâce à la plateforme Sysdig Secure DevOps. Avec Sysdig, vous pouvez embarquer la sécurité dans vos applications, en valider la conformité, et maximiser leurs performances et leur disponibilité. La plateforme Sysdig est basée sur l'Open Source, et délivre la scalabilité, les performances, et la facilité d'usage dont les entreprises ont besoin.

Commencez votre essai gratuit de 30 jours en quelques minutes !

Accès complet à toutes les fonctionnalités. Aucune carte bancaire ne vous sera demandée.

Frequently Asked Questions

Q: Qu’est-ce que la sécurité des conteneurs ?

A: Le processus de sécurité des conteneurs consiste à mettre en œuvre la sécurité et la conformité à chacune des étapes du cycle de vie des conteneurs. Cela implique d’analyser les images de conteneurs dans les pipelines CI/CD et les registres, ainsi que de veiller à la sécurité d’exécution pour les conteneurs et les serveurs hôtes. La réponse aux incidents grâce à des données d’investigation complètes qui capturent toute l’activité au sein du conteneur est un autre élément clé de ce processus. Les contrôles de conformité doivent permettre aux équipes de réussir un audit à tout moment.

Q: Comment puis-je sécuriser Kubernetes ?

A: La protection des applications déployées dans Kubernetes nécessite de sécuriser plusieurs composants du cluster. Les vulnérabilités dans vos packages de base liés ou non à l’OS et utilisés par les développeurs pour créer des applications peuvent être exploitées. Il est donc nécessaire d’analyser les images et de réaliser l’intégration via des admission controllers afin d’empêcher les déploiements d’images risqués. Un autre composant doit impérativement être sécurisé : l’ensemble des fonctions d’administration de Kubernetes (à savoir le gestionnaire de contrôleurs, etc.). Accessible via l’API Kubernetes, il nécessite une surveillance et un audit de sécurité de toute l’activité survenant au niveau du serveur d’API. Pour en savoir plus sur la manière de sécuriser Kubernetes, téléchargez notre liste de points de contrôle pour sécuriser Kubernetes.

Q: Comment puis-je sécuriser le serveur hôte ?

A: Même lorsque vous exécutez des conteneurs, vous devez vous assurer que votre serveur hôte est correctement sécurisé (accès restreint et authentifié, communication chiffrée, etc.). Nous recommandons l’utilisation de l’outil d’audit Docker Bench pour vérifier que la configuration de sécurité est conforme aux bonnes pratiques. Par ailleurs, il est important de veiller à ce que votre système de base reste à jour et de limiter le nombre de systèmes hôtes centrés sur les conteneurs pour réduire la surface d’attaque. Vous en saurez plus en lisant cet article : Sécurité Docker : 7 vulnérabilités

Q: Comment puis-je mettre en œuvre la sécurité des conteneurs sur AWS (ECS, EKS, Fargate) ?

A: La sécurité des conteneurs AWS nécessite d’être mise en œuvre à chacune des phases du cycle de vie des conteneurs. Il s’agit notamment d’automatiser l’analyse d’images au niveau du registre avec Amazon ECR, mais également au niveau des pipelines CI/CD à l’aide d’outils tels qu’AWS CodeBuild et CodePipeline. La sécurité durant l’exécution en production sur EKS et ECS détecte et bloque les vulnérabilités et menaces zero-day telles que les tentatives d’escalade de privilèges. La détection des menaces à l’aide d’AWS CloudTrail et Falco contribue à vous avertir des changements suspects concernant, par exemple, les autorisations utilisateur AWS, les buckets S3, les clés d’accès, etc. Les contrôles de conformité sur l’ensemble de votre infrastructure AWS et du cycle de vie de vos applications sont primordiaux pour respecter les normes de conformité réglementaire. Enfin, l’enregistrement de l’activité des conteneurs à un niveau détaillé vous aidera à comprendre les événements et à conduire des investigations même après la disparition des conteneurs.

Q: Comment puis-je mettre en œuvre la sécurité des conteneurs sur RedHat OpenShift ?

A: OpenShift est une plateforme de conteneurs sécurisée pour les entreprises. Sysdig renforce les contrôles de sécurité des conteneurs intégrés à OpenShift avec une analyse d’images étendue, une sécurité d’exécution et des capacités d’investigation des conteneurs pour réduire le risque lié aux déploiements de conteneurs stratégiques à grande échelle.

Q: Comment puis-je mettre en œuvre la sécurité des conteneurs sur Google Cloud ?

A: La sécurisation des conteneurs sur Google Cloud exécutés dans des solutions telles que GKE et Cloud Run nécessite une protection tout au long du cycle de vie des conteneurs. Il s’agit notamment d’automatiser l’analyse d’images au niveau du registre GCR, mais également au niveau des pipelines CI/CD à l’aide d’outils tels que Google Cloud Build. La sécurité d’exécution en production avec GKE et Cloud Run détecte et bloque les vulnérabilités et menaces zero-day telles que les tentatives d’escalade de privilèges. Les contrôles de conformité sur l’ensemble de votre infrastructure Google Cloud et du cycle de vie de vos applications sont primordiaux pour respecter les normes de conformité réglementaire. Enfin, l’enregistrement de l’activité des conteneurs à un niveau détaillé vous aidera à comprendre les événements et à conduire des investigations même après la disparition des conteneurs.

“Nous avons une petite équipe et un vrai modèle DevOps dans lequel nous avons tous plusieurs casquettes. Avec Sysdig, cela a été vraiment facile, car il n'y a pas eu à faire de concession entre sécurité et rapidité d'exécution.”

Vice-Président de l'ingénierie à Stella Connect