Sécurité IaC (Infrastructure as Code)

Identifiez et corrigez les erreurs de configuration au sein des modèles IaC tels que Terraform, CloudFormation, ARM, Kubernetes et autres.
Infrastructure as Code (IaC) Security Front
Infrastructure as Code (IaC) Security Back

L’IaC permet aux ingénieurs de déployer, d’optimiser et de gérer les versions d’infrastructures cloud tout en exploitant les processus DevOps. Ce type d’architecture offre en outre la possibilité d’améliorer proactivement la posture cloud afin de réduire la charge de travail des équipes opérationnelles et de sécurité.

Découvrez comment évoluer vers une approche « shift-left » de la sécurité du cloud

Sécurité IaC automatisée

La solution open-source Bridgecrew de Prisma Cloud analyse des modèles IaC pour identifier les erreurs de configuration sur l’ensemble du cycle de développement. Ainsi, elle fait de la sécurité une partie intégrante des environnements de développement intégré (IDE), des outils d’intégration continue, des référentiels et des environnements d’exécution. Bridgecrew automatise l’application du policy-as-code en amont, ce qui permet d’éviter que des erreurs de configuration ne partent en production, tout en fournissant des correctifs automatiques.
  • Gouvernance continue pour l’application des politiques dans le code
  • Intégration aux workflows et outils DevOps
  • Correction automatisée des erreurs de configuration via les pull requests
  • Un fort soutien communautaire
    Un fort soutien communautaire
  • Intégrations intuitives pour les développeurs
    Intégrations intuitives pour les développeurs
  • Correctifs automatiques
    Correctifs automatiques
  • Garde-fous intégrés
    Garde-fous intégrés
  • Détection des dérives
    Détection des dérives
  • Benchmarks de conformité
    Benchmarks de conformité

LA SOLUTION BRIDGECREW DE PRISMA CLOUD

Notre approche de la sécurité IaC

Un fort soutien communautaire

Bridgecrew s’appuie sur le projet open-source Checkov, l’outil de policy-as-code aux deux millions de téléchargements, qui détecte les erreurs de configuration dans les modèles IaC (Terraform, CloudFormation, Kubernetes, Helm, ARM, infrastructures sans serveur, etc.). Les utilisateurs bénéficient de plusieurs centaines de politiques prêtes à l’emploi, auxquelles ils peuvent ajouter leurs propres règles personnalisées. Bridgecrew améliore Checkov par son expérience utilisateur simplifiée et ses fonctionnalités dédiées aux entreprises.

  • Détection des erreurs de configuration

    Checkov compare les modèles IaC à des centaines de politiques prêtes à l’emploi – basées notamment sur les benchmarks du CIS –, ainsi qu’à des contrôles fournis par la communauté.

  • Politiques appliquées en contexte

    Checkov inclut des contrôles basés sur les graphes qui autorisent plusieurs niveaux de relations entre les ressources. Des politiques complexes peuvent ainsi être appliquées, comme par exemple un degré de gravité supérieur pour les ressources en connexion directe à Internet.

  • Extension des fonctionnalités et des intégrations

    Checkov est extensible par nature, ce qui permet d’y ajouter des politiques et balises personnalisées, ainsi que des CLI dédiées pour les outils d’intégration continue et de DevOps.

  • Intégration à Bridgecrew

    Bridgecrew enrichit les fonctionnalités open-source de Checkov en fournissant un historique des analyses, des intégrations supplémentaires, des corrections automatiques et plus encore.

Un fort soutien communautaire

L’IaC intégrée au pipeline

Pour accélérer la résolution des problèmes, le plus simple est d’impliquer les développeurs dans le processus de remédiation. C’est pourquoi Bridgecrew injecte du feedback dans toute la chaîne DevOps, y compris les environnements IDE, les outils d’intégration continue (CI) et les systèmes de contrôle de versions (VCS). La plateforme propose également des fonctionnalités additionnelles d’agrégation et de reporting.

  • Feedback rapide tout au long du cycle de développement

    Bridgecrew s’intègre aux IDE, aux outils CI et aux systèmes VCS pour inclure du feedback et des garde-fous directement dans les programmes qu’utilisent vos développeurs.

  • Correction simplifiée grâce aux commentaires de revue de code

    L’intégration native aux VCS permet d’inclure des commentaires de revue de code à chaque nouvelle pull request, ce qui facilite la découverte et la correction des erreurs de configuration.

  • Visibilité centrale sur les erreurs de configuration dans le code

    Bridgecrew offre une vue unifiée des erreurs de configuration détectées au sein des référentiels analysés. La plateforme inclut en outre des filtres ainsi qu’une fonction de recherche pour repérer aisément les blocs de code et leurs auteurs.

  • Actions de remédiation intégrées aux workflows DevOps

    Les intégrations aux outils de collaboration et de support permettent de créer des tickets et de générer des alertes afin d’inclure les remédiations dans les tâches DevOps.

L’IaC intégrée au pipeline

Feedback actionnable et en contexte

Alors que les développeurs se démènent pour tenir des délais toujours plus serrés, toute notification de violation de politique sans autre forme d’explication ne fait qu’ajouter à leur frustration. C’est pourquoi Bridgecrew inclut des actions de remédiation automatiques et fournit les détails nécessaires pour accélérer la correction des erreurs de configuration.

  • Contextualisation des politiques et de la visibilité

    Bridgecrew détecte les infractions aux politiques émanant des ressources et de leurs dépendances. Les politiques peuvent par ailleurs être contextualisées afin de faciliter la gestion des priorités (p. ex, un degré d’urgence élevé pour les violations de politique sur des ressources exposées à Internet).

  • Conseils de remédiation actionnables

    Chaque violation de politique est présentée avec des explications et des consignes spécifiques pour corriger l’erreur de configuration.

  • Suivi du code et identification de ses auteurs pour accélérer la remédiation

    La traçabilité permet de remonter des ressources cloud vers les modèles IaC et les développeurs ayant modifié le code. Ceci facilite et accélère le travail de remédiation.

  • Workflows GitOps

    La remontée des erreurs de configuration cloud jusqu’au code source permet de corriger les problèmes du runtime directement dans le code, préservant ainsi les avantages propres aux modèles IaC en matière d’évolutivité et d’auditabilité.

Feedback actionnable et en contexte

Garde-fous et prévention des dérives de configuration

Les développeurs sont tellement sous pression qu’ils ont tendance à privilégier la solution de facilité. De même, par souci de rapidité, les ingénieurs peuvent être amenés à corriger les erreurs directement dans les environnements cloud, ce qui génère des dérives de configuration par rapport aux modèles IaC. La bonne approche consiste, d’une part, à sécuriser le pipeline pour créer des infrastructures IaC approuvées et, d’autre part, à respecter les pratiques GitOps en installant des garde-fous visant à favoriser la détection et la correction des dérives.

  • Blocage des graves erreurs de configuration pour éviter leur ajout aux référentiels et leur déploiement

    Les intégrations aux outils CI permettent de neutraliser le code mal configuré en lui bloquant tout accès aux référentiels ou aux processus de déploiement.

  • Blocage des builds selon des critères personnalisés

    Définissez des seuils de blocage pour chaque référentiel, des règles d’exclusion pour chaque politique et des règles de suppression pour chaque ressource.

  • Ajout de politiques personnalisées

    Insérez vos propres règles spécifiques via Python, YAML ou l’éditeur de politiques intégré (p. ex., des politiques basées sur les graphes autorisant plusieurs niveaux de relations entre les ressources).

  • Informations actionnables sur les échecs de déploiement

    Chaque analyse comprend une revue de code, avec une liste des erreurs de configuration ainsi que des consignes de remédiation et des correctifs automatiques des problèmes identifiés dans vos pull requests.

  • Détection et neutralisation des dérives de configuration

    Bridgecrew compare les configurations dans l’environnement d’exécution aux modèles IaC pour identifier les changements effectués directement dans les environnements cloud. La plateforme remonte alors jusqu’au modèle initial afin de synchroniser le code et le cloud.

Garde-fous et prévention des dérives de configuration

Benchmarks de conformité

Intégrez les processus de mise en conformité dès la phase de développement. Bridgecrew et la communauté à l’origine de Checkov ont établi un mapping entre les principaux benchmarks et les modèles IaC. Vous pouvez ainsi vérifier le niveau de conformité avant le déploiement de l’infrastructure cloud.

  • Détection des infractions aux benchmarks du CIS

    Bénéficiez d’un audit continu des configurations IaC au regard des benchmarks du CIS (Center for Internet Security).

  • Comparaison avec d’autres grands référentiels

    Évaluez vos configurations IaC au regard des exigences des normes SOC2, HIPAA, PCI DSS et plus encore.

  • Piste d’audit basée sur l’historique des ressources

    Examinez l’historique des modifications de ressources IaC ayant engendré des problèmes et déclenché une action de remédiation.

  • Exportation des rapports propres à chaque framework

    Les rapports produits pour chaque benchmark peuvent être exportés dans un fichier PDF préformaté à des fins d’audits internes ou externes.

Benchmarks de conformité

Modules de gestion de la posture de sécurité cloud (CSPM)

Visibilité, conformité et gouvernance

Surveillez toutes vos ressources cloud en continu pour détecter les erreurs de configuration, les vulnérabilités et autres menaces qui pèsent sur votre sécurité. Simplification du reporting de conformité

Détection des menaces

Misez sur le machine learning et la Threat Intelligence pour détecter et contextualiser les menaces de sécurité à plus haut risque.

Sécurité des données

Surveillez en continu les menaces visant les systèmes de stockage dans le cloud, régissez les accès aux fichiers et neutralisez les attaques par malware.

Sécurité IaC

Intégrez et automatisez la sécurité IaC dans les workflows de développement.