Offre: Securisation de cluster Kubernetes

avril 24, 2018  |   Actualités   |     |   0 commentaire

De nombreuses entreprises utilisent Docker et Kubernetes pour déployer de façon moderne leurs applications.

La question qu’elles se posent souvent est de savoir quel niveau de sécurité est défini par défaut, atteignable, voire inatteignable dans une architecture microservice.

La bonne nouvelle est qu’il est possible de mettre en place une stratégie de défense en profondeur qui sera plus efficace qu’avec un cloud privé classique à base de VMs, on pense notamment :

  • à la microsegmentation de containers et de pods (cf Network Polices, Calico, Cilium),
  • au chiffrement systématique avec authentification mutuelle (mTLS avec des sidecar proxies Envoy, piloté par par un service mesh tel qu’Istio)
  • au fait de faire tourner des process avec très peu de droits, voire aucun (i.e “unprivileged”), avec les boites à outils : user / pid /network namespaces, AppArmor, SELinux, Seccomp /eBPF, Capabilities, NoNewPrivs, etc..
  • à l’immutabilité des containers
  • à la construction “rootless” d’image et l’analyse automatisée de leurs vulnérabilités

La mauvaise nouvelle est que ceci est encore assez complexe, demande une connaissance fine et mise à jour du fonctionnement de Linux, Docker et de Kubernetes. La question de la protection de l’orchestrateur (i.e le control plane) est centrale, même si des mécanismes (ex. RBAC,  Security Policies, protection des kubelets , des apiservers, de etcd ..) existent ou sont sur le point d’être implémentés.

D’ailleurs, de quel Kubernetes parle-t-on ? Il existe en effet plus d’une vingtaine de distributions certifiées par le CNCF dans un large éventail d’offre public cloud ou on-prem

Pourtant, la vélocité des développeurs ne doit pas être entravée par la mise en conformité de ces nouvelles architectures aux standards de sécurité internes, ISO27001 , PCI-DSS et aux réglementations (LPM, RGPD ..).

Il existe bien des guides génériques de sécurisation de Kubernetes, mais ce que recherchent les entreprises ce sont des préconisations immédiatement actionnables dans leur contexte spécifique.

Pour ces raisons, RANDCO, acteur indépendant fort des 2 compétences (i.e Sécurité et Docker/Kubernetes ), a conçu une offre de prestation d’accompagnement modulaire aux entreprises : séminaire, conseil,  ateliers, assistance technique et audit.

Contactez-nous pour en discuter ou pour obtenir la fiche descriptive .

Les commentaires sont fermés.