DevSecOps

Prisma® Cloud automatise la sécurité des infrastructures et applications cloud-native en l’intégrant directement aux outils de développement.

Le développement d’applications cloud-native est un processus si rapide et complexe que les équipes de sécurité ont souvent du mal à tenir la cadence. La solution vient pourtant des pratiques DevOps elles-mêmes, tant elles sont propices à l’automatisation de la sécurité des applications et des infrastructures avant leur déploiement.

Découvrez comment évoluer vers une approche « shift-left » de la sécurité du cloud

Un seul et même outil pour la sécurité des infrastructures IaC, des images de containers et du code source sur les environnements cloud modernes.

Prisma Cloud embarque une sécurité complète sur l’ensemble du cycle de développement logiciel. La plateforme identifie les vulnérabilités, les erreurs de configuration et les violations de conformité dans les modèles IaC, les images de containers et les référentiels Git. Ses capacités d’analyse s’appuient en outre sur l’apport d’une communauté open-source ainsi que sur des années d’expertise des containers et de la recherche sur les menaces. En centralisant la visibilité et les contrôles de politiques, les équipes d’ingénierie logicielle protègent la stack directement depuis leurs outils, tandis que les équipes de sécurité veillent à l’intégrité du code source déployé.
  • Prise en charge de différents langages, environnements d’exécution et frameworks
  • Contrôles homogènes, du développement à l’exécution
  • Intégration aux outils DevOps
  • Analyse des infrastructures IaC
    Analyse des infrastructures IaC
  • Analyse des images de containers
    Analyse des images de containers
  • Policy-as-Code
    Policy-as-Code
  • Détection des dérives
    Détection des dérives
  • Analyse des secrets
    Analyse des secrets
  • Gestion des vulnérabilités des référentiels Git
    Gestion des vulnérabilités des référentiels Git
  • Conformité des licences open-source
    Conformité des licences open-source

LA SOLUTION PRISMA CLOUD

Notre approche du DevSecOps

Analyse de l’Infrastructure as Code (IaC)

De par sa nature même, l’IaC permet de sécuriser l’infrastructure cloud directement dans le code, avant que cette dernière n’atteigne l’environnement de production. Prisma Cloud rationalise la sécurité tout au long du cycle de développement logiciel, grâce d’une part à ses fonctions d’automatisation et d’autre part à son intégration aux workflows dans les outils DevOps (modèles Terraform, CloudFormation, Kubernetes, Dockerfile, Serverless et ARM).

  • Inspection automatique des configurations cloud dans le code

    Ajoutez des contrôles automatisés afin de détecter toute erreur de configuration à chaque étape du cycle de développement.

  • Outil et communauté open-source

    Checkov, l’outil d’analyse IaC open-source de Bridgecrew, bénéficie du soutien d’une communauté active et a déjà été téléchargé plusieurs millions de fois.

  • Intégration des vérifications de configuration dans les outils de développement

    Bridgecrew s’intègre nativement aux environnements IDE, aux systèmes VCS et aux outils CI/CD pour aider les développeurs à sécuriser le code dans leurs workflows.

  • Contextualisation des erreurs de configuration

    Bridgecrew piste automatiquement les dépendances de ressources IaC, ainsi que les auteurs des modifications les plus récentes pour améliorer la collaboration au sein des équipes de grande taille.

  • Feedback et corrections automatiques du code

    Automatisez les commentaires de révision du code ainsi que la correction des pull requests et des commits pour éliminer les mauvaises configurations.

Analyse de l’Infrastructure as Code (IaC)

Analyse des images de containers

Les images de containers sont un composant essentiel des applications cloud-native. Cependant, elles contiennent souvent des ressources qui échappent au contrôle des développeurs, notamment les systèmes d’exploitation et les configurations. Grâce à Prisma Cloud, les équipes de sécurité renvoient un feedback actionnable et établissent des garde-fous visant à protéger ces images contre les vulnérabilités et les violations de conformité.

  • Identification des vulnérabilités dans les images de containers

    Utilisez twistcli pour détecter les vulnérabilités au sein des OS et des packages open-source intégrés aux couches d’images des containers.

  • Statut des correctifs et conseils de remédiation

    Indiquez aux développeurs l’état d’avancement de la correction, la version minimale à remédier et le délai écoulé depuis la publication du correctif afin de prioriser la mise à jour des packages.

  • Signalement et blocage des vulnérabilités selon le niveau de gravité

    Instaurez des garde-fous pour bloquer les images contenant des vulnérabilités dépassant le seuil de sévérité admis, avant leur mise en production.

  • Mise en conformité des containers dans le code

    Vérifiez la conformité des dépendances et des configurations de vos images de containers au regard de benchmarks comme le CIS, puis confirmez l’absence de malwares dans l’environnement de développement.

  • Fiabilité des images de containers

    Sécurisez votre supply chain d’images de containers en analysant l’environnement de développement et en recourant à des registres de confiance.

  • Intégration tout au long du cycle de développement logiciel

    Étendez les commentaires de sécurité et les garde-fous aux outils CI/CD, aux systèmes VCS et aux registres.

Analyse des images de containers

Policy-as-Code

Les tests de sécurité traditionnels sont confiés à des équipes distinctes, qui utilisent des outils disparates. Cette approche cloisonnée rend donc les contrôles extrêmement difficiles à répliquer. Les politiques sous forme de code (Policy-as-Code) de Prisma Cloud intègrent des contrôles de sécurité en amont, directement dans le code. Ils sont faciles à reproduire, sous gestion de version et testés par rapport aux référentiels de code live.

  • Conception et contrôle des politiques dans le code

    Définissez, testez et gérez sous version les check-lists, les skip-lists et les politiques personnalisées basées sur les graphes dans Python et YAML pour les modèles IaC.

  • Déploiement et configuration des comptes et agents dans le code

    Utilisez Terraform pour intégrer des comptes, déployer des agents et configurer des politiques d’exécution, notamment l’ingestion et la protection basées sur les fichiers OpenAPI et Swagger.

  • Correctifs prêts à l’emploi et personnalisés

    Prisma Cloud embarque des centaines de correctifs personnalisés intégrés sous forme de code et vous permet d’ajouter vos propres corrections pour les ressources cloud et les modèles IaC.

  • Intégration directe du feedback

    Les modèles IaC affichent des commentaires et des correctifs automatiques pour les pull/merge requests.

Policy-as-Code

Détection des dérives

Pour être pleinement efficace, l’Infrastructure as Code doit être parfaitement synchronisée avec les environnements cloud. Néanmoins, les situations d’urgence et les équipes cloisonnées peuvent induire des écarts de configuration entre les environnements d’exécution et l’infrastructure IaC. Pour éviter ce phénomène, Bridgecrew veille au respect des bonnes pratiques GitOps et offre des capacités rapides d’identification et de remédiation.

  • Détection des différences entre les clouds

    Bridgecrew fournit une méthode simplifiée pour identifier les écarts entre l’IaC et les environnements cloud dont AWS, Azure et GCP.

  • Représentation des dérives sous forme de code

    Bridgecrew convertit automatiquement l’état du cloud en code. Ainsi, vous pouvez comparer la différence entre l’état d’exécution cloud et les modèles IaC.

  • Alignement simplifié du code et des ressources cloud

    Une fois les erreurs de configuration décelées, Bridgecrew inclut des métadonnées pour identifier rapidement la ligne de code devant être corrigée, puis désigner le développeur assigné à cette tâche.

Erkennung von Abweichungen

Analyse des secrets

Les attaquants n’ont besoin que d’un bref instant pour détecter et détourner des identifiants exposés en ligne. Grâce à Prisma Cloud, vos équipes recourent aux signatures et à l’heuristique pour repérer et supprimer les secrets contenus dans les modèles IaC et les images de containers, dans les environnements de développement et pendant la compilation.

  • Détection des secrets au sein des modèles IaC

    Identifiez les mots de passe et les jetons dans les modèles IaC au sein des environnements IDE, des CLI, des hooks pre-commit et des outils CI/CD.

  • Identification des secrets dans les images de containers

    Repérez les secrets codés en dur dans les images de containers, les registres et les analyses CI/CD.

  • Différentes méthodes de repérage des secrets

    Utilisez des expressions régulières, des mots clés ou des identificateurs basés sur l’entropie afin de localiser les secrets tels que les clés d’accès AWS et les mots de passe des bases de données.

Analyse des secrets

Gestion des vulnérabilités des référentiels Git

Aujourd’hui, le code applicatif repose très souvent sur des dépendances open-source. Le manque de visibilité et les « breaking changes » empêchent les développeurs d’utiliser les derniers packages qui réduisent les vulnérabilités. Prisma Cloud apporte la solution en identifiant les vulnérabilités présentes dans les dépendances open-source issues des référentiels Node.js, Python, Java et Go.

  • Nomenclature de composants logiciels

    Prisma Cloud repère les dépendances présentes dans les référentiels et dresse la nomenclature logicielle (SBOM) des packages utilisés.

  • Comparaisons avec les bases de données open-source et propriétaires

    Prisma Cloud analyse les référentiels Git et autres pour détecter les vulnérabilités au sein des packages. Des bases de données publiques, telles que la NVD, ainsi que la fonctionnalité Intelligence Stream de Prisma Cloud sont ensuite utilisées à titre de comparaison.

  • Conseils de remédiation intégrés

    Les résultats d’analyse comprennent l’état d’avancement de la correction, la version minimale à remédier et le délai écoulé depuis la publication du correctif afin de prioriser la mise à jour des bibliothèques.

Gestion des vulnérabilités des référentiels Git

Conformité des licences open-source

Chaque entreprise possède ses propres politiques d’utilisation de licences open-source. Toutefois, n’attendez pas une inspection manuelle pour découvrir la non-conformité d’une bibliothèque de ressources logicielles libres : Prisma Cloud répertorie pour vous les licences open-source afin d’identifier leurs dépendances. La plateforme peut alors signaler ou bloquer les commits de référentiels grâce à des règles personnalisables.

  • Évitez les coûts liés aux violations de licences open-source

    Signalez et bloquez les builds basés sur des licences de packages open-source dans les dépendances Node.js, Python, Java et Go.

  • Analysez les référentiels Git et autres

    Prisma Cloud s’intègre nativement à GitHub mais peut aussi analyser n’importe quel type de référentiel via twistcli.

  • Utilisez des règles par défaut ou personnalisées pour les alertes et le blocage

    Définissez des seuils d’alerte et de blocage en fonction du type de licence pour répondre aux exigences internes propres au copyleft et aux ressources permissives.

Conformité des licences open-source