Ne pas confondre vitesse et précipitation
La sécurité est souvent décrite comme une course, notamment en référence à la volonté des équipes de sécurité de garder une longueur d’avance sur les acteurs malveillants – en adoptant de nouvelles technologies et en trouvant des réponses aux nouvelles techniques et vulnérabilités. Il peut également parfois s’agir de la course pour suivre l’allure à laquelle leur propre entreprise adopte de nouvelles technologies. Quoi qu’il en soit, la sécurité est censée suivre le rythme des évolutions et protéger l’entreprise contre les menaces, quelle que soit l’orientation choisie.

Selon un rapport récemment publié par Enterprise Strategy Group, l’utilisation de Kubernetes, technologie qui existe depuis plus d’une décennie, est sur le point de franchir un cap décisif –82 % des entreprises devraient utiliser des conteneurs d’ici la fin de l’année 2024. Même si l’adoption de Kubernetes n’a pas été des plus rapides, lorsqu’une entreprise décide de sauter le pas et d’opter pour une nouvelle solution, elle doit passer par une phase d’apprentissage. Dans le cas de Kubernetes, les développeurs et les équipes de sécurité peuvent se heurter à certaines ornières masquées lorsqu’ils s’empressent de mettre au point de nouvelles applications.

Trouver le juste équilibre entre rapidité et sécurité est un dilemme commun au sein des équipes de développeurs ; quand on sait que les principales motivations de l’adoption des conteneurs sont la vitesse et l’agilité, il n’est pas surprenant de constater que l’adoption rapide de Kubernetes a entrainé l’apparition de certaines vulnérabilités. Un développement non sécurisé ne fait jamais l’objet d’une décision consciente, mais si les entreprises sont confrontées à une pression considérable concernant l’ajout de nouvelles fonctionnalités ou le développement de nouveaux produits à partir de rien, cela peut faire pencher la balance.

Contenir le chaos
Les vulnérabilités Kubernetes sont souvent la conséquence d’une mauvaise configuration lors de la phase de conception et de développement. Les délais serrés évoqués ci-dessus jouent également un rôle, mais le principal facteur réside souvent dans le manque de connaissances spécifiques liées à la technologie Kubernetes.

Le rapport publié par Aqua Security, qui a mis au jour des centaines d’environnements de conteneurs vulnérables, conclut que les failles de sécurité sont essentiellement causées par deux types de configurations défaillantes. La première implique une étape d’authentification unique pour les utilisateurs anonymes qui, lorsqu’elle est franchie, offre un accès anonymisé incluant des privilèges normalement réservés aux administrateurs. Une telle configuration est comparable à une voiture de sport dotée d’une serrure peu fiable dont les clés sont déjà sur le contact. L’autre vulnérabilité principale repose sur des clusters mal configurés qui sont publiquement accessibles sur certains emplacements. Cela permet aux acteurs malveillants de tirer avantage d’outils comme « Kubectl » afin de se connecter très simplement au cluster Kubernetes d’une entreprise et de commencer à faire des dégâts au sein du système.

Ce problème ne concerne pas uniquement les solutions Kubernetes. Les applications exposées et connectées à Internet lorsque ce n’est pas nécessaire constituent un vecteur d’attaque répandu. L’accès via Internet représente une porte supplémentaire par laquelle les attaquants peuvent s’introduire au sein des systèmes. Si cette porte n’existait pas, le problème serait résolu. C’est le mantra des politiques zero trust, qui s’appuient sur le « principe du moindre privilège » : même dans le cas des applications natives cloud, tout ne doit pas être accessible à tout moment.

Renforcer la sécurité grâce à la sauvegarde
Les professionnels du développement ou de la sécurité ne se réveillent pas un matin avec l’intention de développer des failles de sécurité au sein de leurs applications. C’est généralement la conséquence d’un manque de connaissances et de délais de développements serrés. Avec le temps et à mesure que les développeurs gagneront en expérience sur les plateformes natives cloud, ces problèmes deviendront moins fréquents. C’est pourquoi les entreprises ont d’autant plus besoin de pouvoir s’appuyer sur des processus de sauvegarde et de restauration des données robustes. La cyber-résilience repose sur de multiples niveaux. Une entreprise ne peut jamais complètement se reposer sur sa première ligne de défense (à savoir la sécurité applicative) et doit mettre en place des solutions de repli.

Malheureusement, il s’agit encore d’un domaine dans lequel les organisations qui adoptent Kubernetes ont encore beaucoup de progrès à faire. Le récent rapport d’Enterprise Strategy Group sur la protection Kubernetes mentionne que 33 % des entreprises qui exploitent cette technologie continuent de s’appuyer sur les mêmes outils et processus de protection des données que ceux qu’elles utilisent pour leurs autres applications. Cela représente un véritable problème, car les applications natives cloud nécessitent des solutions de sauvegarde également natives. Même si ces entreprises possèdent des solutions de sauvegarde en place et partent du principe que leurs données sont sécurisées, les sauvegardes traditionnelles ne sont pas conçues pour suivre les composants mobiles de Kubernetes. Cela peut entrainer des problèmes de performance ou des pertes de données lorsqu’elles tentent de restaurer les informations.

Si les solutions de sécurité et de restauration comportent fondamentalement des failles, les entreprises restent entièrement exposées aux attaques, notamment par des ransomwares. Alors que le mois de septembre 2023 a enregistré un record historique d’attaques par ransomware, les entreprises sont tenues de s’assurer qu’elles sont bien protégées. Il ne s’agit en aucun cas d’une incitation à éviter ou à arrêter l’exploitation de Kubernetes ou des applications basées sur des conteneurs. Néanmoins, la sécurité doit rattraper son retard pour suivre les nouvelles pratiques de développement, sinon les criminels vont se précipiter dans les brèches. Or il peut être difficile pour une entreprise de maîtriser seule des environnements aussi complexes. C’est pourquoi les DevSecOps ont un rôle essentiel à jouer. La collaboration entre les équipes en charge de la sécurité et du développement permet de préserver la sécurité de l’infrastructure depuis le départ et de maintenir l’activité des entreprises en les protégeant contre les interminables vagues d’attaques par ransomware.