Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

Sécuriser l’infrastructure en intégrant la sécurité de l’infrastructure en tant que code (IaC) dans les flux de travail des développeurs.

image
MAHESH NAWALE
mai 06, 2022 - 5 Min de lecture

L’infrastructure en tant que code (IaC) est largement adoptée par les entreprises pour gérer et provisionner facilement leurs infrastructures sur le cloud et automatiser leur processus de déploiement. Elle permet aux ingénieurs de créer, provisionner, mettre à l’échelle, mettre à jour ou supprimer rapidement des ressources d’infrastructure sur des plateformes cloud à l’aide d’outils d’automatisation. 

Une automatisation poussée s’accompagne d’un potentiel de risque élevé. Si l’infrastructure en tant que code a apporté des gains d’efficacité exponentiels aux équipes de développement, elle a également engendré de nouveaux risques de sécurité. Heureusement, avec la bonne approche, ces risques peuvent être atténués.

 

Risque de sécurité associé à l’IaC

Les développeurs, qui ne sont généralement pas des experts en sécurité, sont soumis à une pression constante pour publier de nouvelles applications et mises à jour. Cette tendance à la « livraison » de nouveaux produits les oblige à donner la priorité à la rapidité et à l’innovation, souvent au détriment de la sécurité.

La priorité accordée par les développeurs à la rapidité, combinée à l’automatisation qu’offre l’IaC, est propice à la propagation rapide des problèmes de sécurité. Une erreur commise dans un modèle IaC finit par se propager à toute l’infrastructure provisionnée à partir de ce modèle. Si cela procure une efficacité exceptionnelle aux développeurs, cela amplifie également les erreurs, y compris les erreurs de sécurité. Une seule erreur de configuration d’un modèle IaC peut être automatiquement appliquée à des centaines, voire des milliers de charges de travail cloud, multipliant par 100 ou plus l’impact de cette erreur de configuration. 

De plus, les modèles d’IaC non sécurisés peuvent étendre la surface d’attaque et ouvrir la voie à des vecteurs d’attaque critiques. Les groupes de sécurité, les ports ouverts, les services accessibles au public ainsi que le stockage et les bases de données accessibles sur Internet sont autant d’éléments critiques qui doivent être surveillés en permanence. Des environnements en constante évolution et l’utilisation de nombreux outils peuvent entraîner une dérive de configuration et une violation de la conformité. 

En raison du risque d’erreurs de configurations dans l’infrastructure cloud, il est essentiel de disposer d’une solution qui garantit aux développeurs d’IaC une visibilité et un retour d’information en temps réel avant de créer des environnements cloud. Autre avantage : l’identification et la résolution des problèmes de sécurité dès le début du cycle de développement sont plus rapides et requièrent moins de ressources. 

 

Solution : améliorer la protection grâce à une sécurité intégrée

Dans ce contexte, l’équipe chargée de la sécurité et de la conformité doit travailler main dans la main avec les développeurs pour intégrer la sécurité IaC aux outils de développement et DevOps, ainsi qu’aux processus quotidiens dans les environnements distribués, sans ralentir la vitesse de publication ou les performances. Avec une plateforme de sécurité cloud et un cadre de politique adaptés, toutes les équipes peuvent mieux collaborer en utilisant les mêmes politiques à chaque étape du cycle de vie de l’infrastructure cloud. Cela permet également à toutes les équipes impliquées d’atteindre leurs objectifs et leurs buts

Principaux avantages : assurer la cohérence et la sécurité des versions grâce à une collaboration étroite entre les équipes

Avantages pour les développeurs : 

  • Examens de sécurité automatisés : les développeurs peuvent rester maîtres de leurs outils et fournir un code sécurisé. Ils peuvent analyser leur code par rapport aux politiques standard et aux contrôles de configuration afin de valider sa capacité à détecter les erreurs de configuration et les violations. Cela les aide à identifier les nouvelles violations et les erreurs de configuration susceptibles d’être évitées, notamment les résultats de réussite ou d’échec, les politiques violées et les ressources non conformes, le tout assorti de conseils de correction. 
  • Accélération de l’innovation : les développeurs peuvent consacrer plus de temps à innover et passer moins de temps à collaborer avec les équipes de sécurité pour, notamment, essayer de comprendre les normes de sécurité et documenter les rapports de conformité. 

Avantages pour les équipes de sécurité : 

  • Surveillance continue : les équipes de sécurité peuvent évaluer en permanence les risques, accélérer les examens, détecter les violations et empêcher que du code IaC non sécurisé atteigne la production.
  • Hiérarchisation des risques et élimination de la lassitude face aux alertes : la hiérarchisation automatique des risques avec un contexte riche permet aux développeurs de se concentrer sur les violations les plus critiques. Les propriétaires de code peuvent être informés des violations critiques avec des alertes en temps quasi réel concernant les problèmes de sécurité IaC grâce à l’intégration aux outils existants.
  • Expériences de développement enrichies : guidez les développeurs vers une résolution rapide des problèmes, ce qui permet de gagner du temps et d’économiser des ressources tout en s’adaptant aux nouveaux risques de sécurité et aux modifications de la conformité réglementaire. Les équipes de sécurité peuvent également appliquer des politiques et des contrôles cohérents pour empêcher la dérive de la configuration et l’altération de la configuration IaC par un accès non autorisé.
  • Réduction des frictions entre les équipes : les frictions entre les équipes de sécurité et de développement sont considérablement réduites, car le retour d’information sur la sécurité est fourni dans l’environnement de développement (IDE) lorsque le code est composé, ce qui donne au développeur l’assurance que la construction n’échouera pas à cause d’infractions à la sécurité.
  • Réduction de la charge de travail et cohérence de la sécurité : des garde-fous automatisés réduisent la charge des équipes et des ressources de sécurité dans leurs efforts pour empêcher la provision de code à risque, même s’il n’est pas pris en compte par le développeur.

Avantages pour l’équipe de GRC/conformité :

  • Assurance continue de la conformité : grâce aux contrôles de sécurité de l’IaC, tout code qui enfreint les exigences de conformité peut être signalé et traité dès le début du cycle de vie de l’infrastructure. Les processus de conformité et de sécurité sont ainsi rationalisés. Cela permet à l’équipe chargée de la conformité d’assurer une conformité continue avec un minimum d’efforts et d’intervention manuelle.

De plus, tout code qui enfreint les exigences de conformité peut être signalé et traité dès le début du cycle de vie de l’infrastructure. 

 

Sécuriser l’IaC avec Zscaler

L’analyse IaC de Zscaler prend en charge les outils IaC les plus courants, notamment Terraform. Cela permet d’intégrer et d’incorporer en quelques minutes la sécurité IaC directement dans les flux de travail des développeurs. De plus, l’analyse IaC permet de : 

  • Analyser les modèles d’infrastructure en tant que code (IaC) (par exemple, HashiCorp HCL, AWS CloudFormationTemplate, manifeste d’application Kubernetes YAML) avant qu’ils ne soient envoyés au contrôle des sources pour détecter les variables par défaut ou les erreurs de configuration, les vulnérabilités et les déploiements non sécurisés qui violent les normes de sécurité
  • Comparer les configurations aux bonnes pratiques de sécurité et aux contrôles de conformité de l’IaC
  • Identifier les erreurs de configuration, les vulnérabilités, les violations des politiques et faciliter la hiérarchisation des risques
  • S’intégrer aux systèmes de gestion des demandes pour générer des alertes en temps quasi réel sur les violations et les erreurs de configuration qui déclenchent des flux de travail de notification, et fournir des conseils aux développeurs sur les mesures de remédiation et les corrections de code pour une résolution rapide et des déploiements sécurisés

Conclusion

Comme vous pouvez le constater, il est préférable d’automatiser le processus de sécurité IaC en intégrant la sécurité IaC dans les flux de travail des développeurs afin que la responsabilité de la sécurité soit partagée entre les développeurs, la sécurité et les équipes de la GRC. Il s’agit d’un scénario gagnant-gagnant pour les équipes DevOps, de sécurité et de la GRC. Il accélère le déploiement sécurisé et réduit les erreurs de configuration et de conformité tout en améliorant la sécurité globale de l’entreprise

 

En savoir plus

Commencez par une démo de Zscaler IaC et une évaluation gratuite de la sécurité de votre pipeline DevOps.

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.