Frédéric Pillet : LACEWORK, du code au cloud
De formation ingénieur informaticien, Frédéric Pillet est attaché aux nouvelles technologies et les approches novatrices comme le DevOps ou le zéro trust. Ancien de Dynatrace et Splunk, il a récemment rejoint Lacework, séduit par les nouvelles perspectives que sa solution ouvre sur la sécurité du cloud.
Sécurité du cloud et ses enjeux
Contrairement à ce que l’on pourrait penser, le sujet de la sécurité dans le cloud n’est pas entièrement celui de l’équipe sécurité.
En effet, dès l’introduction sur la présentation des enjeux de la sécurité dans le cloud, Frédéric donne le ton en marquant une frontière nette entre ce que l’on connait de la sécurité et celle du cloud en devenir.
Dans un premier temps, les risques qui différent dû à une surface d’attaque étendue, en évolution et pas toujours sondable de prime abord.
L’importance étant d’avoir une maîtrise et une diminution de son exposition au sein de son infrastructure Cloud.
Ensuite, un contexte, où, une équipe de sécurité souvent restreinte fait face à une multitude de risques tout en essayant continuellement de savoir où se concentrer. Le but étant de ne pas accumuler des problèmes sur des problèmes, mais d’unifier les outils et la méthode.
Une volonté de diminuer les coûts dans un environnement « Dollarovore » tout en simplifiant le quotidien des équipes via une consolidation qui tend à rendre la sécurité plus affermie et pérenne.
Une collaboration, qui affirme que la sécurité dans le Cloud est un sport d’équipe où la jouer solo est une grosse erreur. La sécurité n’est pas experte du cloud, il faut donc se battre avec les bonnes armes. Le cloud amène beaucoup d’automatisation et permet de déplacer les contrôles en amont sans ralentir le travail des développeurs (intégration des analyses dans les pipelines).
Enfin, la détection, car on ne peut couvrir tous les risques et qu’il est inéluctable que toute entreprise se fera un jour attaquer. En réponse cela, l’analyse comportementale est indispensable dans ce type d’environnement.
Couvrir l’ensemble des besoins de sécurité
Du Build au Run, plusieurs besoins sont mis en lumière :
La sécurité du code, ou identifier tous les assets et détecter les mauvaises configurations, violations de conformité ou vulnérabilités du code en phase d’intégration est essentiel.
La gestion des vulnérabilités, qui porte la mission centrale de découverte des vulnérabilités des hosts et conteneurs de la conception à l’exécution.
La posture de sécurité, qui via l'évaluation des risques (risk assessment) va identifier tous les actifs, détecter les mauvaises configurations, et les violations de conformité garce à une surveillance multi-cloud.
La détection des menaces, qui permet de détecter les comportements malveillants en run en analysant en continue tous les comportements des utilisateurs et des entités cloud (machine learning).
LACEWORK Solution
Dès le début de la présentation de la solution LACEWORK, nous comprenons rapidement que celle-ci vient se positionner en réponse au défi de la gestion des vulnérabilités en intégrant une approche CNAPP (Cloud Native Application Protection Plateform).
L’objectif, apporter de la clarté dans la visibilité et la gestion des vulnérabilités, ainsi qu’une correction des plus risquées en amont de la chaine de production (démarche shift left).
CNAPP, CWPP & CSPM
La démonstration de Frédéric nous amène sur un cas d’usage scannant les vulnérabilités d’un projet Infra as code et son workload (Host, Node k8s, Containers) qui introduit la fonction CWPP (Cloud Workload Protection Platform).
Via un dashboard résumant la sortie du scan, on constate la clarté dans la mise en lumière des points de douleurs (identification de haute vulnérabilité, CVE Score, Gestion du risque). D’une part, la réduction du bruit de vulnérabilité via la corrélation des données cloud, et d’autre part l’identification et la vulgarisation des risques remontés via une combinaison de sources de données de vulnérabilité publiques et commerciales.
Cette combinaison se traduit par un texte explicatif et pédagogique sur les critères relevés, permettant de répondre aux premières questions de gestion : Quelle est la vulnérabilité ? Comment puis-je la résoudre ?
De plus, au-delà de la gestion des vulnérabilités, le dashboard nous permet d’afficher des alertes en lien avec la posture de sécurité adoptée sur notre Cloud Provider.
La solution va permettre de définir un état souhaité en termes de sécurité cloud via une liste de bonne pratique (S3 bucket non ouvert en flux public, connexion à un compte AWS avec un non-root user…) et examiner les données de logs du Cloud Provider afin de remonter en alerte tout comportement déviant.
On parlera ici de CSPM (Cloud Security Posture Management) offrant une multitude de bénéfice comme, une meilleure visibilité dans l’identification des risques de sécurité, une amélioration de la conformité des réglementations (RGPD, HIPAA..), une réduction des risques, et une meilleure collaboration entre les équipes des sécurité et d’exploitation grâce à une plateforme centralisée.
IA de Lacework
Pour finir, avec ce qui peut s’apparenter à la cerise sur le gâteau, LACEWORK a développé un assistant GenAI (intelligence artificielle générative) plus communément appelé Vulnerability Chatbot Assistant.
Ce Chatbot Assistant s’appuyant sur la puissance de l’IA générative, va simplifier la compréhension et le traitement des alertes de conformité, en favorisant ainsi une approche proactive de la gestion des risques par simple échange épistolaire.
Assez impressionnant, mais LACEWORK ne s’arrête pas là ! Les outils d’IA générative étant uniquement efficace dans l’exploitation de données fiables. Lacework a créé une architecture unique (hébergée On Premise) qui lui permet de gérer l’immense volume, la vitesse et la variété des données cloud afin de détecter les menaces connues et inconnues.
La combinaison des informations générées par l’apprentissage automatique de Lacework Polygraph avec la technologie d’assistance LLM offre donc aux clients un avantage considérable qui leur permet d’obtenir de meilleurs résultats, plus rapidement.
Cyril Cuvier : NEUVECTOR, sécurisez vos déploiements avant et pendant leur exécution
Administrateur système de métier sur plus de 10 années en Production et Cloud Architect, Cyril a ensuite franchi la barrière pour « rejoindre le côté obscur de la force chez des constructeurs » sur des rôles d'avant-vente et commercial VMware chez DELL Technologies, puis Solution Architect chez Lenovo avant de rejoindre SUSE France sur un rôle d'avant-vente autour des thématiques DEVOPS.
NEUVECTOR Solution
Pur technicien de métier et de cœur, Cyril passe outre les enjeux et les différents besoins en termes de sécurité pour se concentrer essentiellement sur la présentation de la solution NEUVECTOR et sa puissance de frappe concernant la sécurisation des conteneurs en temps réel et tout au long de leur cycle de vie.
Profilage des risques & gestion des vulnérabilités
Tout comme ces concurrents, NEUVECTOR va permettre aux utilisateurs de bénéficier de la gestion de posture de sécurité adoptée sur leur Cloud Provider (CSPM) en fournissant, via des outils robustes, une assurance de conformité des conteneurs par l’automatisation d’audits de sécurité et de génération de rapports détaillés (risks score) facilitant le maintien des conformités en vogue (PCI, HIPAA…).
Cloud Workload Protection Plateform
La solution offre également un scan sur tout type de workload et registry, détectant les vulnérabilités dans les environnements cloud et permettant de hiérarchiser les risques critiques afin de bloquer les voies d'attaque.
Facilité d’intégration
Bénéficiant de l’expérience de Rancher (SUSE), NEUVECTOR offre une intégration parfaite avec les outils de CI/CD et solution d’orchestration de conteneurs permettant une automatisation fluide des workflows et une facilité d’implémentation et d’application de politique de sécurité tout au long du cycle de développement.
Cependant, NEUVECTOR se démarque et excelle dans le domaine de la détection et la prévention des intrusions, et c’est sur ce sujet que Cyril nous propose une mise en situation dans un contexte de vie bien connu de tous.
Sécurisation des conteneurs en temps réel
Pour bien rentrer dans ce contexte, Cyril nous propose de faire une analogie entre la sécurisation des conteneurs en temps réel et la gestion de la sécurité d’une boite de nuit ! (L’occasion de fouler le dance floor dans le cadre professionnel).
A l'image d'un videur de boîte de nuit, qui part du principe où le non-risque est inexistant la nuit et où la confiance zéro est prônée, il résume en trois règles distinctes ce qu'il appelle le « automated behavioral-based zero-trust » ou encore la confiance zéro automatisée basée sur le comportement, à savoir :
-
Discover : identifie le comportement des applications (learning mode)
-
Monitor : alerte au premier comportement anormal d’une application
-
Protect : refuse tout comportement anormal d’une application
Une fois le contexte explicité, Cyril passe à une démonstration qui va nous permettre de voir en temps réel l’application de ce principe sur la sécurisation des conteneurs.
Admission Control
Tout comme le ferait un gérant de boite de nuit, une liste de règle validant ou non une autorisation d’entrée (règles de contrôle) est communiquée en amont. L’exemple qui nous est donné de cette configuration est :
-
Refus de tout déploiement portant des images non scannées
-
Scan obligatoire du Docker registry
-
Règle du contrôle d’admission basé sur le CVE scoring (Common Vulnerability Scoring)
Une fois les règles établies, on va pouvoir, tout comme au sein d’une boite de nuit ou le gérant souhaite appliquer une règle d’admission spécifique, peaufiner notre configuration en ajoutant une règle qui portera le refus de tout CVE score High, et d’un nombre de CVE.
Pour revenir à notre analogie, pas de basket et pas de groupe de plus de 6 personnes !
Discover
Le briefing étant passé, chaque videur se met en position et ouvre grand les yeux afin de rentrer en mode apprentissage des comportements.
Grâce à un système avancé de détection, la solution va scanner en continu le trafic réseau et les activités des conteneurs mais aussi inspecter les processus au sein des conteneurs.
Lors de l’analyse des comportements, cette étape permet de créer les règles de comportement autorisées pour les conteneurs. Une fois la découverte avancée et les règles enregistrées (exemple : pas de curl sur url depuis le Pod identifié), nous laissons place à l’étape de monitoring.
Monitoring
Cette étape va, dès détection d’un comportement déviant des règles apprises, créer un security event de ce comportement et catégoriser cette nouvelle règle apprise en Warning.
Exemple : un curl sur une url depuis le Pod.
Notre videur alerte d’un comportement anormal et se tient prêt à passer à l’action !
Protect
Notre soirée bat son plein et notre videur est à l’apogée de sa concentration, prêt à mettre en quarantaine tout comportement déviant déjà détecté.
NEUVECTOR offre une stratégie de défense full stack, qui sécurise non seulement le trafic réseau, mais aussi inspecte et contrôle les processus au sein des conteneurs. C’est cette approche multicouche qui garantit une sécurité complète permettant de bloquer les comportements anormaux.
Exemple : le retour de l’exécution d’un curl depuis le Pod
Ce comportement ayant déjà été détecté et identifié comme déviant, dès son apparition, le processus curl est bloqué et le conteneur portant ce processus est mis en quarantaine afin d’éviter toute propagation de vulnérabilité.
Analyze
NEUVECTOR offre la possibilité de visualiser les connexions autorisées ou bloquées et d’identifier les comportements suspects via une vue détaillée du trafic réseau entre vos conteneurs ou les violations se distinguent avec des codes couleurs (Network Map).
On souligne également la possibilité de lister tous nos assets (namespaces, pods, services), de créer et gérer des règles personnalisées pours les conteneurs, d’évaluer les risques de sécurité associés à vos images, nodes ou conteneurs via un dashboard dédié affichant les vulnérabilités, de gérer les configurations incorrects et autres, et pour finir de vérifier la conformité des conteneurs sur des normes spécifiques comme PCI-DSS (La norme de sécurité de l’industrie des cartes de paiement) ou HIPAA (Protection des informations sensible sur la santé des patients) .
Cette mise en situation nous permet de nous rendre compte que la gestion de la sécurité de nos conteneurs en temps réel n’est pas une chose aisée et surtout une affaire d’instant !
NEUVECTOR vient répondre précisément à ce besoin en se démarquant d’une belle manière.
Conclusion : Le DevOps D-DAY 2023, le défi de la sécurisation du Cloud
Les années se suivent et se ressemblent de moins en moins dans l’écrin du Vélodrome. La philosophie et la méthodologie DevOps a laissé place à ses camarades FinOps et DevSecOps tout comme l’euphorie laisse place au sérieux.
Fini le temps ou la nouveauté nous apparaissait dénuée de tout problème et de complexité, il est désormais l’heure de faire les comptes et de s’assurer de ne plus être malmenés comme certains l’ont appris à leurs dépens.
L’émergence du cloud nous a vite confronté à de nouvelle problématique en termes de sécurité et de gestion de ressources affichant une nécessité d’adaptation aux nouvelles mœurs régies par ce continent nuageux.
Comme toute découverte de nouvelles terres, les travaux engagés nécessitent de nouvelles règles et de nouveaux outils afin de tirer au mieux les bénéfices de ce que l’on savait faire sur notre ancien continent.
Le DevOps Day de cette année 2023 reflète parfaitement cette amorce du changement ainsi que le retour d’expérience de plusieurs années de Cloud Exploitation avec la validation de principe robuste (shif left, think automation, CNAPP) et l’émergence de nouveaux outils centralisé (NEUVECTOR, LACEWORK) répondant aux défis des enjeux sur la sécurité et de la réduction des coûts Cloudien.
Cependant, cette édition nous laisse aussi constater une perte de vitesse dans l’intérêt porté à la philosophie DevOps et à son application, ce qui ne peut être qu’un frein si la culture ne suit pas le rythme de la technologie.