Sécurité Kubernetes avec Sysdig Secure
Intégrez la sécurité et validez la conformité avec le DevOps sécurisé
NOUVEAUTÉ! Rapport 2022 d'usage et de sécurisation des applications Cloud Native
Une production en toute confiance dans Kubernetes
Sysdig Secure vous apporte la visibilité dont vous avez besoin pour sécuriser vos applications modernes créées avec des conteneurs, Kubernetes et des services cloud. Vous êtes ainsi en mesure de sécuriser le pipeline de build, de détecter et traiter les menaces pendant l’exécution, d’appliquer la segmentation réseau Kubernetes native et de valider la conformité en continu. Sysdig Secure est une offre SaaS construite sur une pile open source qui inclut Falco et Sysdig OSS.
Scan
d’images
Automatisez le scan en local dans vos outils de CI/CD sans que les images ne quittent votre environnement, et bloquez les vulnérabilités en amont du déploiement.
Conformité
continue
Validez la conformité aux normes telles que PCI, NIST et SOC2 sur l’intégralité du cycle de vie Kubernetes et des conteneurs.
Sécurité du
Runtime
Détectez les menaces ciblant les conteneurs, Kubernetes et l’infrastructure AWS grâce aux règles Falco prêtes à l’emploi basées sur les appels système, les journaux d’audit K8s et AWS CloudTrail.
Sécurité
réseau
Visualisez toutes les communications réseau entre les applications et les services. Appliquez la microsegmentation en automatisant les stratégies réseau Kubernetes natives.
Réponse aux incidents et analyse forensics
Investiguez à partir des données des appels système de bas niveau, même après la disparition du conteneur.
Prévention des images risquées via l’admission controller
Bloquez le déploiement des images non analysées ou vulnérables sur le cluster grâce à l’admission controller Sysdig. Définissez des critères basés sur des conditions flexibles (Namespace, niveau de gravité des CVE, disponibilité de corrections, taille d’image, etc.) pour l’approbation de l’image.
Sysdig Secure bloque également les vulnérabilités de manière précoce en intégrant l’analyse d’images aux pipelines CI/CD et aux registres.
Contrôle d’accès de moindre privilège pour les déploiements
PodSecurityPolicy (PSP) est un mécanisme natif de prévention des menaces et de mise en conformité dans Kubernetes. Sysdig crée automatiquement un PSP basé sur le moindre privilège pour votre application et le valide avant l’entrée en production sans aucun impact sur les performances. Avec un PSP du moindre privilège, vous pouvez réaliser les actions suivantes :
- Empêcher les pods privilégiés de démarrer et contrôler la réaffectation de privilèges
- Restreindre l’accès du pod aux namespaces, hôtes, au réseau et au système de fichiers
- Limiter les utilisateurs/groupes sous lesquels un pod peut s’exécuter
- Limiter les volumes auxquels un pod peut accéder
- Restreindre d’autres paramètres tels que les profils d’exécution ou les systèmes de fichiers en lecture seule
Validation de configuration à l’aide des critères CIS
Validez la configuration des clusters sur la base des critères CIS pour Kubernetes. Résolvez plus rapidement les violations grâce à une correction guidée. Exécutez des évaluations à la demande et générez des rapports détaillés pour réussir aisément les audits tiers.
Détection des menaces à l’exécution
Détectez les activités anormales à l’aide de stratégies alimentées par la communauté (MITRE, FIM, cryptomining, etc.) grâce au projet open source Falco. Créez des règles précises en les enrichissant du contexte issu du fournisseur cloud et des environnements Kubernetes. Gagnez du temps avec les règles prêtes à l’emploi et l’établissement de profils d’image ML, plutôt que de créer des stratégies à partir de zéro.
Sécurité API avec les journaux d’audit
Générez des alertes sur ce qui a été fait et par qui au niveau des API Kubernetes sur la base des journaux d’audit des API. Par exemple, détectez :
- La création et la destruction de pods, services, déploiements, daemonsets, etc.
- La création, mise à jour, suppression d’objets ConfigMap ou Secret
- Les tentatives d’abonnement aux points de terminaison d’audit
Microsegmentation Kubernetes native
Générez automatiquement des stratégies réseau de moindre privilège à l’aide des nombreuses métadonnées Kubernetes et des applications. Confirmez visuellement la topologie avant l’application en production. Utilisez une interface simple pour modifier facilement les stratégies sans changer manuellement le YAML.
Réponse aux incidents et analyse forensics
Réagissez aux incidents en vous appuyant sur les données granulaires enrichies des métadonnées cloud et Kubernetes. Par exemple, tracez une commande kube-exec d’un utilisateur jusqu’à l’activité système (commandes exécutées, connexions établies, activité fichiers, etc.).
Vulnérabilités dans Kubernetes
De nouvelles vulnérabilités Kubernetes continuent d'être identifiées régulièrement. Apprenez-en plus sur les dernières vulnérabilités CVE affectant vos clusters, et sur la manière d'en réduire les risques.
Détecter la vulnérabilité CVE-2020-14386 avec Falco et réduire les risques d'évasion de conteneurs
Détectez la vulnérabilité CVE-2020-8557 en utilisant Falco
Comprendre et contrôler le risque de la vulnérabilité CVE-2020-8566. Divulgation des identifiants administrateurs de clusters Ceph…
Frequently Asked Questions
Q: Qu’est-ce que Kubernetes ?
A: Kubernetes est une plateforme open source permettant de gérer de manière automatisée le déploiement de conteneurs, la montée en charge, les déploiements applicatifs et les services. Initialement développé par Google et désormais géré par la CNCF (Cloud Native Computing Foundation), Kubernetes a pour but d’automatiser les opérations, le déploiement et la montée en charge des conteneurs d’application sur des clusters de serveurs hôtes. De nombreux fournisseurs proposent désormais une version de Kubernetes sous leur marque dans leur offre de services cloud.
Q: Pourquoi utiliser Kubernetes ?
A: Les conteneurs sont un moyen très efficace de regrouper et d’exécuter vos applications. Dans les environnements de production, il est nécessaire de gérer les conteneurs exécutant ces applications en évitant toute interruption. Kubernetes orchestre non seulement les systèmes distribués de manière optimale, mais aussi la montée en charge et la continuité de service des applications conteneurisées. Kubernetes stocke et gère les informations sensibles, redémarre les conteneurs ayant échoué, automatise les lancements et les retours arrière, et administre les montages automatisés de systèmes de stockage.
Q: Qu’est-ce que la sécurité Kubernetes ?
A: Les mécanismes de sécurité Kubernetes vous protègent contre les attaques ciblant les conteneurs. Ces attaques sont souvent le fait de pirates exploitant les vulnérabilités des images de base des conteneurs, ou bien des bibliothèques applicatives tierces. Elles peuvent aussi être le fruit d’erreurs de configuration des clusters qui permettent à des activités malveillantes de passer inaperçues lors de l’exécution ou qui entraînent la non-conformité des applications cloud natives. Pour ces raisons, vos équipes doivent intégrer la sécurité et la conformité dans l’intégralité du cycle de vie Kubernetes. Les contrôles natifs comme PodSecurityPolicies contribuent à empêcher l’escalade de privilèges et bloquent les menaces lors de l’exécution. En recourant au projet open source Falco, vous pouvez détecter et signaler les activités malveillantes à l’exécution. Un outil de sécurité Kubernetes intégré à votre écosystème DevOps peut vous aider à gérer vos risques de sécurité cloud.
Q: Qu’est-ce qu’un cluster Kubernetes ?
Kubernetes rassemble plusieurs nœuds dans un cluster pour exécuter des applications cloud natives. Le cluster Kubernetes contient, au minimum, un nœud maître (master) et un nœud worker. Le nœud maître maintient l’état souhaité du cluster (par exemple, les applications qui sont exécutées et les images de conteneurs qu’elles utilisent) et il contrôle directement le nœud worker. Ce sont les nœuds worker qui exécutent les applications et les charges de travail. Lorsque vous déployez des programmes sur le cluster, le nœud maître opère une distribution intelligente du travail aux différents nœuds. Si des nœuds sont ajoutés ou supprimés, Kubernetes gère automatiquement votre cluster pour qu’il reste conforme à l’état souhaité.
Q: Quelle est la différence entre Kubernetes et Docker ?
Kubernetes et Docker sont des technologies fondamentalement différentes qui coopèrent pour créer, distribuer et monter en charge des applications conteneurisées. Docker incorpore les logiciels ou les microservices dans un conteneur pour accroître leur portabilité. Kubernetes est l’orchestrateur qui vous aide à dimensionner et à gérer une multitude de conteneurs Docker à grande échelle.
“La compatibilité immédiate de Sysdig avec Kubernetes a été décisive pour nous. La sécurité Kubernetes est en grande partie récente et elle est assez difficile à comprendre au premier abord. Sysdig apporte une aide indéniable et la gestion de la plateforme Sysdig demande très peu d’investissement, ce qui nous facilite la vie car nous pouvons ainsi nous concentrer sur le débogage de notre propre plateforme.”
RYAN STAATZ, ARCHITECTE SYSTÈMES, LOGDNA