Recherche

Sécurité IaC (Infrastructure-as-Code)

Identifiez et corrigez les erreurs de configuration au sein des modèles IaC tels que Terraform, CloudFormation, ARM, Kubernetes et autres.
Demandez une démo
Sécurité IaC (Infrastructure as Code), image au premier plan

L’IaC permet aux ingénieurs de déployer, d’optimiser et de gérer les versions d’infrastructures cloud tout en exploitant les processus DevOps. Ce type d’architecture offre en outre la possibilité d’améliorer proactivement la posture cloud afin de réduire la charge de travail des équipes opérationnelles et de sécurité.

L’infrastructure cloud-native évolue

Si les entreprises se tournent aujourd’hui vers les infrastructures IaC, c’est avant tout pour gagner en agilité. Mais à défaut de système de sécurité cloud-native en phase avec ces nouvelles technologies, ce changement de paradigme ne fait qu’élever leur niveau de risque. Tout l’enjeu consiste donc à améliorer la posture de sécurité du cloud sans ralentir les développeurs.

Le DevOps progresse à un rythme effréné

Dans le domaine du DevOps, le rythme du changement se mesure non plus en mois, mais en quelques jours seulement. Cette accélération spectaculaire s’explique par l’adoption de méthodologies Agile et d’outils et processus CI/CD à fort degré d’automatisation. D’où l’importance d’une sécurité intégrée tout au long de la chaîne de développement. À défaut, c’est tout le cycle de lancement qui s’en trouve perturbé.

Une sécurité réactive n’est pas évolutive

Les cycles d’inspection « en cascade » rompent les workflows Agile et soumettent les développeurs à des allers-retours incessants entre leurs différents outils. Quant à la résolution des problèmes dans l’environnement d’exécution, elle ne fait que surcharger un département SSI déjà débordé. En prenant le virage du « shift-left » pour régler les problèmes de sécurité à la source, les développeurs et équipes de sécurité gagnent un temps précieux.

Sécurité IaC automatisée

Cortex® Cloud analyse les modèles IaC pour détecter les erreurs de configuration et les secrets exposés sur l’ensemble du cycle de développement. Ainsi, la plateforme fait de la sécurité une partie intégrante des environnements de développement intégré (IDE), des outils d’intégration continue, des référentiels et des environnements d’exécution. Cortex Cloud automatise l’application du policy-as-code en amont, ce qui permet d’éviter toute mise en production de code non sécurisé et d’appliquer automatiquement des correctifs.
  • Gouvernance continue pour l’application des politiques dans le code
  • Intégration aux workflows et outils DevOps
  • Correction automatisée des erreurs de configuration via les pull requests
  • Un fort soutien communautaire
    Un fort soutien communautaire
  • Intégrations intuitives pour les développeurs
    Intégrations intuitives pour les développeurs
  • Correctifs automatiques
    Correctifs automatiques
  • Garde-fous intégrés
    Garde-fous intégrés
  • Benchmarks de conformité
    Benchmarks de conformité
  • Sécurité des secrets
    Sécurité des secrets
Solution

Notre approche de la sécurité IaC

Un fort soutien communautaire

La sécurité IaC de Cortex Cloud s’appuie sur le projet open-source Checkov, l’outil de policy-as-code aux deux millions de téléchargements, qui détecte les erreurs de configuration dans les modèles IaC (Terraform, CloudFormation, Kubernetes, Helm, ARM, infrastructures sans serveur, etc.). Les utilisateurs bénéficient de plusieurs centaines de politiques prêtes à l’emploi, auxquelles ils peuvent ajouter leurs propres règles personnalisées. Cortex Cloud enrichit Checkov par son expérience utilisateur simplifiée et ses fonctionnalités dédiées aux entreprises.

  • Détection des erreurs de configuration

    Checkov compare les modèles IaC à des centaines de politiques prêtes à l’emploi (basées notamment sur les benchmarks du CIS et sur les normes HIPAA et PCI), ainsi qu’à des contrôles fournis par la communauté.

  • Politiques appliquées en contexte

    Checkov inclut des contrôles basés sur les graphes qui autorisent plusieurs niveaux de relations entre les ressources. Des politiques complexes peuvent ainsi être appliquées, comme par exemple un degré de gravité supérieur pour les ressources en connexion directe à Internet.

  • Extension des fonctionnalités et des intégrations

    Checkov est extensible par nature, ce qui permet d’y ajouter des politiques et balises personnalisées, ainsi que des CLI dédiées pour les outils d’intégration continue et de DevOps.

  • Intégration à Cortex Cloud

    Cortex Cloud enrichit les fonctionnalités open-source de Checkov en fournissant un historique des analyses, des intégrations supplémentaires, des corrections automatiques et intelligentes, et plus encore.

Un fort soutien communautaire

Intégration au pipeline

Pour accélérer la résolution des problèmes, le plus simple est d’impliquer les développeurs dans le processus de remédiation. C’est pourquoi Cortex Cloud fournit du feedback directement dans les outils DevOps, y compris les environnements IDE, les outils d’intégration continue (CI) et les systèmes de contrôle de versions (VCS).

  • Feedback rapide tout au long du cycle de développement

    Cortex Cloud s’intègre aux IDE, aux outils CI et aux systèmes VCS pour inclure du feedback et des garde-fous directement dans les programmes qu’utilisent vos développeurs.

  • Correction simplifiée grâce aux commentaires de revue de code

    L’intégration native aux VCS permet d’inclure des commentaires à chaque nouvelle pull request, ce qui facilite la découverte et la correction des problèmes de sécurité présents dans le code.

  • Vue centralisée des problèmes de sécurité IaC

    Cortex Cloud offre une vue unifiée des erreurs de configuration et des secrets exposés détectés au sein des référentiels analysés. La plateforme inclut en outre des filtres ainsi qu’une fonction de recherche pour repérer aisément les blocs de code et leurs auteurs.

  • Actions de remédiation intégrées aux workflows DevOps

    Les intégrations aux outils de collaboration et de support permettent de créer des tickets et de générer des alertes afin d’inclure les remédiations dans les tâches DevOps.

L’IaC intégrée au pipeline

Feedback actionnable et en contexte

Alors que les développeurs se démènent pour tenir des délais toujours plus serrés, toute notification de violation de politique sans autre forme d’explication ne fait qu’ajouter à leur frustration. C’est pourquoi Cortex Cloud inclut des actions de remédiation automatiques et fournit les détails nécessaires pour accélérer la correction des erreurs de configuration.

  • Contextualisation des politiques et de la visibilité

    Cortex Cloud détecte les infractions aux politiques émanant des ressources et de leurs dépendances. Les politiques peuvent par ailleurs être contextualisées afin de faciliter la gestion des priorités (p. ex, un degré d’urgence élevé pour les violations de politique sur des ressources exposées à Internet).

  • Conseils de remédiation actionnables

    Chaque violation de politique est présentée avec des explications et des consignes spécifiques pour corriger l’erreur de configuration.

  • Suivi du code et identification de ses auteurs pour accélérer la remédiation

    La traçabilité permet de remonter des ressources cloud vers les modèles IaC et les développeurs ayant modifié le code. Ceci facilite et accélère le travail de remédiation.

  • Workflows GitOps

    La remontée des erreurs de configuration cloud jusqu’au code source permet de corriger les problèmes du runtime directement dans le code, préservant ainsi les avantages propres aux modèles IaC en matière d’évolutivité et d’auditabilité.

Feedback actionnable et en contexte

Garde-fous

Les développeurs sont tellement sous pression qu’ils ont tendance à privilégier la solution de facilité. De même, par souci de rapidité, les ingénieurs peuvent être amenés à corriger les erreurs directement dans les environnements cloud, ce qui génère des dérives de configuration par rapport aux modèles IaC. La bonne approche consiste, d’une part, à sécuriser le pipeline pour créer des infrastructures IaC approuvées et, d’autre part, à respecter les pratiques GitOps en installant des garde-fous automatisés.

  • Blocage des problèmes graves pour éviter leur ajout aux référentiels et leur déploiement

    Les intégrations aux workflows DevOps permettent de neutraliser le code mal configuré et les secrets exposés en leur bloquant tout accès aux référentiels ou aux processus de déploiement.

  • Blocage des builds selon des critères personnalisés

    Définissez des seuils de blocage pour chaque référentiel, des règles d’exclusion pour chaque politique et des règles de suppression pour chaque ressource.

  • Ajout de politiques personnalisées

    Insérez vos propres règles spécifiques via Python, YAML ou l’éditeur de politiques intégré (p. ex., des politiques basées sur les graphes autorisant plusieurs niveaux de relations entre les ressources).

  • Informations actionnables sur les échecs de déploiement

    Chaque analyse comprend une revue de code, avec une liste des erreurs de configuration ainsi que des consignes de remédiation et des correctifs automatiques des problèmes identifiés dans vos pull requests.

Garde-fous et prévention des dérives de configuration

Autres capacités de sécurité des applications

GESTION DE LA POSTURE DE SÉCURITÉ DES APPLICATIONS

Bloquez les risques avant la mise en production et résolvez rapidement les problèmes à la racine.

En savoir plus

ANALYSE DE LA COMPOSITION LOGICIELLE (SCA)

Fonctionnalités ultra précises et contextualisées de sécurité du code et de conformité des licences open-source

En savoir plus

SÉCURITÉ DE LA SUPPLY CHAIN LOGICIELLE

Renforcez vos pipelines CI/CD, réduisez votre surface d’attaque et protégez votre environnement de développement d’applications.

En savoir plus

SECRETS SECURITY

Analyse full-stack et multidimensionnelle des secrets sur tous les référentiels et tous les pipelines

En savoir plus

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité