La transformation num\u00e9rique exige une grande agilit\u00e9 et pousse de mani\u00e8re d\u00e9cisive \u00e0 l'utilisation d'environnements DevOps, car DevOps offre une innovation acc\u00e9l\u00e9r\u00e9e, une plus grande flexibilit\u00e9 et une complexit\u00e9 r\u00e9duite lors du d\u00e9veloppement et de la mise \u00e0 disposition d'applications. Avec les impl\u00e9mentations DevOps, les entreprises veulent donc en premier lieu r\u00e9aliser des avantages commerciaux. Mais elles n\u00e9gligent trop souvent la s\u00e9curit\u00e9 - une grave erreur, car DevOps \u00e9largit consid\u00e9rablement la surface d'attaque pour les cyber-attaques.<\/p>\n
Lorsque les entreprises utilisent des mod\u00e8les DevOps, davantage de comptes et de donn\u00e9es d'acc\u00e8s privil\u00e9gi\u00e9s sont g\u00e9n\u00e9r\u00e9s et partag\u00e9s de mani\u00e8re automatis\u00e9e \u00e0 travers des \u00e9cosyst\u00e8mes professionnels en r\u00e9seau. Ces donn\u00e9es d'acc\u00e8s - jusqu'\u00e0 pr\u00e9sent souvent insuffisamment prises en compte et s\u00e9curis\u00e9es - comprennent les comptes de service, les cl\u00e9s de cryptage, d'API et de SSH, les secrets des conteneurs ou les mots de passe int\u00e9gr\u00e9s dans le code de programme, qui se trouve souvent aussi dans des d\u00e9p\u00f4ts centraux.<\/p>\n
Les donn\u00e9es d'acc\u00e8s privil\u00e9gi\u00e9es suppl\u00e9mentaires utilis\u00e9es, associ\u00e9es \u00e0 des personnes, des services ou des applications, constituent in\u00e9vitablement une cible lucrative pour un attaquant externe ou un initi\u00e9 malveillant. Enfin, ils permettent un contr\u00f4le total de l'ensemble de l'infrastructure informatique d'une entreprise.<\/p>\n
Le risque de s\u00e9curit\u00e9 pour les entreprises est encore accru par l'utilisation de nombreux outils d'orchestration et d'automatisation, tels que les outils d'int\u00e9gration continue (Continuous Integration) et de livraison continue (Continuous Delivery) ou les d\u00e9p\u00f4ts de code source comme GitHub dans les projets DevOps. Le d\u00e9fi est que les outils utilis\u00e9s dans la cha\u00eene d'outils DevOps comme Ansible, Chef, Puppet ou Jenkins n'offrent pas de normes communes et que les entreprises doivent donc prendre des mesures de s\u00e9curit\u00e9 individuelles et sp\u00e9cifiques pour chaque outil.<\/p>\n
En particulier, les flux de travail pour le contr\u00f4le d'acc\u00e8s aux donn\u00e9es d'acc\u00e8s privil\u00e9gi\u00e9es varient consid\u00e9rablement. Par cons\u00e9quent, de nombreuses entreprises n'ont pas de strat\u00e9gie de contr\u00f4le d'acc\u00e8s, ont des strat\u00e9gies incoh\u00e9rentes ou manuelles, ce qui signifie que les failles de s\u00e9curit\u00e9 sont in\u00e9vitables et que les attaquants les recherchent de mani\u00e8re automatis\u00e9e, tout comme le code est g\u00e9n\u00e9r\u00e9 dans le pipeline DevOps.<\/p>\n
Seule une pile de s\u00e9curit\u00e9 DevOps permet d'y rem\u00e9dier avec succ\u00e8s, et c'est l\u00e0 que la s\u00e9curit\u00e9 informatique est sollicit\u00e9e. Elle doit aider les \u00e9quipes DevOps \u00e0 mettre en place une s\u00e9curit\u00e9 \u00e9lev\u00e9e gr\u00e2ce \u00e0 une approche syst\u00e9matique. Les outils et les pratiques DevOps et de s\u00e9curit\u00e9 doivent \u00eatre int\u00e9gr\u00e9s afin d'\u00e9tablir une protection efficace des donn\u00e9es privil\u00e9gi\u00e9es. Une collaboration \u00e9troite entre les \u00e9quipes DevOps et les \u00e9quipes de s\u00e9curit\u00e9 est donc la premi\u00e8re \u00e9tape pour construire avec succ\u00e8s une plateforme de s\u00e9curit\u00e9 \u00e9volutive et mettre en \u0153uvre une strat\u00e9gie DevSecOps capable de suivre le rythme de l'environnement dynamique et de l'\u00e9volution rapide de la technologie.<\/p>\n
L'administration de tous les outils et donn\u00e9es d'acc\u00e8s DevOps devrait se faire sous le toit d'une telle plateforme de s\u00e9curit\u00e9. Il est essentiel de g\u00e9rer et de s\u00e9curiser de mani\u00e8re centralis\u00e9e et automatique toutes les donn\u00e9es d'acc\u00e8s confidentielles utilis\u00e9es dans un pipeline DevOps, telles que les cl\u00e9s de chiffrement et d'API, les mots de passe de base de donn\u00e9es ou les certificats de s\u00e9curit\u00e9 de la couche de transport (TLS).<\/p>\n
Bien entendu, les secrets individuels qui s\u00e9curisent les acc\u00e8s dans la production DevOps y sont \u00e9galement g\u00e9r\u00e9s de mani\u00e8re automatis\u00e9e et dynamique. La protection de toutes les donn\u00e9es d'acc\u00e8s utilis\u00e9es par les machines, les syst\u00e8mes et les personnes devrait se faire dans un syst\u00e8me de stockage hautement disponible et s\u00e9curis\u00e9 (Vault), un serveur sp\u00e9cialement \"durci\" qui offre une protection fiable contre les acc\u00e8s non autoris\u00e9s gr\u00e2ce \u00e0 plusieurs couches de s\u00e9curit\u00e9 diff\u00e9rentes.<\/p>","protected":false},"excerpt":{"rendered":"
Les entreprises utilisent de plus en plus DevOps pour d\u00e9ployer des applications de mani\u00e8re efficace. DevOps promet de r\u00e9duire les d\u00e9lais de mise sur le march\u00e9, d'am\u00e9liorer la qualit\u00e9 des produits et d'augmenter la satisfaction des clients, mais il entra\u00eene \u00e9galement de nouveaux risques de s\u00e9curit\u00e9.<\/p>","protected":false},"author":1249,"featured_media":50414,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[24421,7,26129],"tags":[1013,451],"coauthors":[23133],"class_list":["post-55212","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-devops-kolumne","category-meinung","category-mag-1811","tag-agilitaet","tag-devops","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",400,180,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",600,270,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps.jpg",600,270,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/07\/DevOps-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"
Unternehmen nutzen verst\u00e4rkt DevOps zur effizienten Applikationsbereitstellung. DevOps verspricht eine k\u00fcrzere Time-to-Market, verbesserte Produktqualit\u00e4t und h\u00f6here Kundenzufriedenheit, bringt aber auch neue Sicherheitsrisiken mit sich.<\/p>\n","category_list_v2":"DevOps Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 18-11<\/a>","author_info_v2":{"name":"Michael Kleist, CyberArk","url":"https:\/\/e3mag.com\/fr\/author\/michael-kleist\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/55212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/1249"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=55212"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/55212\/revisions"}],"predecessor-version":[{"id":153128,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/55212\/revisions\/153128"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/50414"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=55212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=55212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=55212"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=55212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}