DevOps - Les risques sont sous-estimés

La transformation numérique exige une grande agilité et pousse de manière décisive à l'utilisation d'environnements DevOps, car DevOps offre une innovation accélérée, une plus grande flexibilité et une complexité réduite lors du développement et de la mise à disposition d'applications. Avec les implémentations DevOps, les entreprises veulent donc en premier lieu réaliser des avantages commerciaux. Mais elles négligent trop souvent la sécurité - une grave erreur, car DevOps élargit considérablement la surface d'attaque pour les cyber-attaques.

Lorsque les entreprises utilisent des modèles DevOps, davantage de comptes et de données d'accès privilégiés sont générés et partagés de manière automatisée à travers des écosystèmes professionnels en réseau. Ces données d'accès - jusqu'à présent souvent insuffisamment prises en compte et sécurisées - comprennent les comptes de service, les clés de cryptage, d'API et de SSH, les secrets des conteneurs ou les mots de passe intégrés dans le code de programme, qui se trouve souvent aussi dans des dépôts centraux.

Les données d'accès privilégiées supplémentaires utilisées, associées à des personnes, des services ou des applications, constituent inévitablement une cible lucrative pour un attaquant externe ou un initié malveillant. Enfin, ils permettent un contrôle total de l'ensemble de l'infrastructure informatique d'une entreprise.

Le risque de sécurité pour les entreprises est encore accru par l'utilisation de nombreux outils d'orchestration et d'automatisation, tels que les outils d'intégration continue (Continuous Integration) et de livraison continue (Continuous Delivery) ou les dépôts de code source comme GitHub dans les projets DevOps. Le défi est que les outils utilisés dans la chaîne d'outils DevOps comme Ansible, Chef, Puppet ou Jenkins n'offrent pas de normes communes et que les entreprises doivent donc prendre des mesures de sécurité individuelles et spécifiques pour chaque outil.

En particulier, les flux de travail pour le contrôle d'accès aux données d'accès privilégiées varient considérablement. Par conséquent, de nombreuses entreprises n'ont pas de stratégie de contrôle d'accès, ont des stratégies incohérentes ou manuelles, ce qui signifie que les failles de sécurité sont inévitables et que les attaquants les recherchent de manière automatisée, tout comme le code est généré dans le pipeline DevOps.

Comment lutter contre ces évolutions ?

Seule une pile de sécurité DevOps permet d'y remédier avec succès, et c'est là que la sécurité informatique est sollicitée. Elle doit aider les équipes DevOps à mettre en place une sécurité élevée grâce à une approche systématique. Les outils et les pratiques DevOps et de sécurité doivent être intégrés afin d'établir une protection efficace des données privilégiées. Une collaboration étroite entre les équipes DevOps et les équipes de sécurité est donc la première étape pour construire avec succès une plateforme de sécurité évolutive et mettre en œuvre une stratégie DevSecOps capable de suivre le rythme de l'environnement dynamique et de l'évolution rapide de la technologie.

L'administration de tous les outils et données d'accès DevOps devrait se faire sous le toit d'une telle plateforme de sécurité. Il est essentiel de gérer et de sécuriser de manière centralisée et automatique toutes les données d'accès confidentielles utilisées dans un pipeline DevOps, telles que les clés de chiffrement et d'API, les mots de passe de base de données ou les certificats de sécurité de la couche de transport (TLS).

Bien entendu, les secrets individuels qui sécurisent les accès dans la production DevOps y sont également gérés de manière automatisée et dynamique. La protection de toutes les données d'accès utilisées par les machines, les systèmes et les personnes devrait se faire dans un système de stockage hautement disponible et sécurisé (Vault), un serveur spécialement "durci" qui offre une protection fiable contre les accès non autorisés grâce à plusieurs couches de sécurité différentes.