Qu’est-ce que la sécurité de l’IaC ?

Pourquoi la sécurité de l’infrastructure en tant que code est-elle importante ?

Les exigences commerciales et l’adoption du DevOps accélèrent plus que jamais la livraison et le déploiement des applications. Cette tendance peut avoir un effet négatif sur la conformité et la sécurité, deux domaines où les réglementations et les cybermenaces évoluent constamment.

Des vulnérabilités peuvent apparaître dans l’environnement de production lorsque les développeurs ne connaissent pas les exigences de conformité ou que celles-ci sont inaccessibles. Les entreprises doivent remédier à cette situation en rapprochant les équipes chargées de la sécurité et celles chargées du DevOps, car la responsabilité de la sécurité incombe de plus en plus aux ingénieurs DevOps.

Le problème vient d’une dépendance aux processus manuels et aux outils cloisonnés qui ne peuvent pas suivre le rythme du développement et des cycles de publication continus. Vous devez fournir à vos développeurs une plateforme collaborative et fluide qui leur permet d’identifier et de résoudre rapidement les problèmes afin qu’ils puissent appliquer des politiques de sécurité et de conformité cohérentes, sans sacrifier la vitesse.

La sécurité de l’IaC doit :

• Analyser le code à la recherche d’erreurs de configuration, de vulnérabilités et de déploiements non sécurisés qui enfreignent les normes de sécurité
• Comparer les configurations aux bonnes pratiques de sécurité et aux contrôles de conformité
• Alerter et guider les développeurs/ingénieurs concernant les mesures correctives et les déploiements sécurisés
• Appliquer les garde-fous en rejetant les demandes d’extraction et les builds CI/CD comportant des vulnérabilités critiques directement dans les outils qu’ils utilisent et en bloquant les violations potentielles le cas échéant

Avant d’approfondir l’importance de la sécurité de l’IaC, voyons exactement ce qu’est l’IaC et en quoi elle est importante pour les opérations modernes.

Qu’est-ce que l’infrastructure en tant que code ?

L’infrastructure en tant que code (IaC) est un code descriptif, généralement écrit en langage de balisage (JSON, YAML, etc.) ou en langage propriétaire (par exemple, Terraform HCL), utilisé pour provisionner et gérer les configurations des ressources d’infrastructure cloud. L’infrastructure en tant que code améliore la productivité et l’agilité, réduit les erreurs humaines, standardise le déploiement et assure le contrôle des versions de la configuration de l’infrastructure.

Les outils d’IaC se présentent sous de nombreuses formes : des plateformes de gestion d’infrastructure dédiées aux outils de gestion de configuration en passant par les solutions open source, les options disponibles sont légion. Parmi les plus populaires, citons HashiCorp Terraform, AWS CloudFormation et Azure Resource Manager.

Avantages de l’IaC

L’IaC présente de nombreux avantages, principalement axés sur la flexibilité et la rapidité. Elle vous permet de :

• Provisionner et gérer rapidement et aisément les ressources cloud
• Automatiser les processus de déploiement en codifiant l’infrastructure cloud
• Faire évoluer l’infrastructure grâce au cloud

Ces avantages éliminent la nécessité d’une configuration manuelle fastidieuse et réduisent le risque d’erreur humaine. De plus, ils permettent aux ingénieurs de déployer un contrôle des versions, au bénéfice des équipes DevOps. Nous y reviendrons plus en détail.

Pourquoi l’IaC est-elle importante pour le DevOps ?

L’IaC permet aux équipes informatiques de gérer et de provisionner des data centers à l’aide de fichiers écrits. Cela réduit non seulement le coût de création et d’exécution des applications, mais facilite également le partage des données entre les équipes et automatise la rédaction de scripts, ce qui allège la charge de travail des équipes DevOps chargées de créer des applications cloud.

De plus, l’IaC permet aux équipes DevOps de provisionner et d’exécuter une multitude d’environnements de test, et permet aux développeurs d’utiliser différents langages si nécessaire. Grâce à cette flexibilité supplémentaire, ces équipes peuvent se concentrer sur la création, les tests et l’exécution d’applications de haute qualité en moins de temps et à moindre coût.

Cependant, pour les mêmes raisons, l’IaC peut également fragiliser l’infrastructure.

Quels sont les risques de sécurité associés à l’IaC ?

L’IaC offre des avantages opérationnels, tels que le provisionnement rapide de l’infrastructure informatique dans une approche déclarative plutôt qu’impérative. Cependant, son impact sur la sécurité représente un défi majeur en raison de son impact potentiel sur les ressources.

Si une seule ressource est mal configurée manuellement, la portée de l’erreur est limitée à cette seule ressource, mais une seule erreur dans le code utilisé pour provisionner automatiquement 100 ressources ou plus présente un risque de sécurité bien plus important.

Garantir la sécurité globale de l’IaC constitue un défi pour les entreprises. Elle peut apporter de nombreux avantages, mais elle peut également créer des vulnérabilités critiques.

5 risques liés à l’IaC

L’infrastructure en tant que code peut exposer votre entreprise à des risques tels que :

• Une surface d’attaque étendue : les erreurs de configuration de l’IaC peuvent élargir la surface d’attaque (par exemple, des erreurs de configuration des groupes de sécurité qui exposent par inadvertance des actifs à Internet).
• Exposition des données : les modèles IaC peuvent contenir des vulnérabilités et des configurations par défaut non sécurisées susceptibles d’entraîner une exposition des données (par exemple, des secrets intégrés dans le code Terraform qui sont vérifiés par le contrôle de source).
• Privilèges excessifs : les développeurs utilisent souvent des comptes privilégiés pour provisionner des applications cloud et les ressources d’infrastructure sous-jacentes, ce qui peut donner lieu à un accès non autorisé à des données sensibles ou à une violation potentielle.
• Violations de la conformité : les entreprises doivent se conformer à un certain nombre de normes réglementaires, telles que le RGPD, HIPAA, PCI DSS et SOC2. Des violations de la conformité peuvent survenir si les garde-fous basés sur ces normes ne sont pas appliqués dans le processus IaC.
• Friction au sein des équipes interfonctionnelles : les développeurs accélèrent le déploiement afin de fournir des produits de qualité dans des délais serrés. Leurs homologues de sécurité, en revanche, ont peu de visibilité sur le code et peu de contrôle sur les modifications validées. Ainsi, l’application des directives de sécurité, qu’elles soient basées sur la conformité réglementaire, les bonnes pratiques ou la politique de l’entreprise, devient un véritable défi sans rapprochement entre les équipes DevOps et SecOps.

Comment fonctionne la sécurité IaC ?

La sécurité de l’IaC adopte une approche « shift-left » (déplacée en amont) pour sécuriser le code. Concrètement, les développeurs et les ingénieurs DevOps bénéficient plus tôt dans le processus d’un retour d’information sur la sécurité de leur code. La sécurité de l’IaC offre cette visibilité aux développeurs en :

• Analysant les modèles d’IaC avant qu’ils ne soient validés dans le contrôle de la source
• Comparant les configurations
• Identifiant les erreurs de configuration, les vulnérabilités et les violations de politique

Grâce à ces processus, les équipes SecOps sont immédiatement informées de tout problème devant être corrigé avant le déploiement d’une application.

Bonnes pratiques pour la sécurité de l’IaC

Voici quelques-unes des bonnes pratiques de sécurité pour l’IaC qui peuvent être facilement intégrées au cycle de vie du développement :

Gagner en visibilité sur l’inventaire des actifs

Dans le cadre des opérations IaC, vous devez identifier, baliser, surveiller et tenir à jour un inventaire des ressources déployées. Les ressources non balisées doivent être attentivement surveillées, car elles sont difficiles à suivre et peuvent entraîner des dérives. Chaque fois que des ressources sont mises hors service, leur configuration associée doit être supprimée et les données doivent également être sécurisées ou supprimées.

Identifier et corriger les dérives environnementales

Idéalement, les configurations dans les environnements des développeurs sont uniformes. Mais les propriétaires d’applications doivent parfois apporter des modifications à leurs applications et à l’infrastructure sous-jacente. Sans surveillance ni outils appropriés, l’accumulation incontrôlée de ces modifications entraîne des dérives de configuration qui peuvent exposer l’infrastructure et créer des failles de sécurité et de conformité.

Sécuriser les actifs codés en dur

Les données sensibles telles que les clés secrètes, les clés privées, les clés SSH, les clés d’accès/secrets et les clés API codées en dur dans l’IaC peuvent faciliter l’accès aux services ou opérations sous-jacents mais aussi le déplacement latéral des hackers. L’exposition d’informations d’identification dans le code IaC, qui est soumis au contrôle de la source (par exemple GitHub) peut représenter un risque important pour les entreprises.

Sécuriser les comptes des développeurs

Les comptes des développeurs doivent être protégés contre les hackers. Il est important de sécuriser et surveiller les comptes des développeurs, de suivre les modifications apportées aux configurations de l’IaC et de vérifier que ces modifications sont approuvées et intentionnelles. Les modifications non autorisées peuvent entraîner une altération des modèles ou de la configuration de l’IaC, ce qui peut déboucher sur une fuite de code.

Restreindre l’accès aux environnements

Les équipes de sécurité doivent disposer d’un point de contrôle centralisé permettant une gestion cohérente des comptes privilégiés, des identifiants et des secrets dans tous les environnements de développement et d’exécution. Il leur permet de gérer l’utilisation actuelle et future des informations d’identification privilégiées, de détecter les problèmes de configuration d’accès avec le contexte requis, de dimensionner correctement l’accès et les autorisations des identités et d’appliquer de manière cohérente le principe du moindre privilège.

Appliquer des garde-fous

Les équipes de sécurité doivent appliquer des garde-fous basés sur le cloud qui intègrent des contrôles afin de sécuriser les infrastructures multicloud contre les dérives de configuration et alerter en cas de violations, appliquer des politiques de sécurité cohérentes pendant la construction et l’exécution, et fournir des directives claires aux développeurs sur la manière de corriger les vulnérabilités et atténuer les risques. Par exemple, vous pouvez souhaiter que la compilation CI/CD échoue si un certain seuil de sécurité n’est pas atteint.

Nous avons clairement établi une chose : l’IaC peut être très bénéfique pour votre entreprise, mais elle comporte des risques de sécurité que vous ne pouvez ignorer. Pour tirer le meilleur parti de l’IaC, vous avez besoin d’un partenaire en cybersécurité qui a conçu une solution qui tient compte du DevSecOps, maîtrise la protection des données dans le cloud et, surtout, vous aide à tirer le meilleur parti de votre investissement dans l’IaC. Ce partenaire, c’est Zscaler.

Comment Posture Control peut-il vous aider ?

Posture Control est une plateforme de protection des applications cloud native (Cloud native application protection platform, CNAPP) conçue pour aider vos équipes de développement et de sécurité à collaborer afin de mettre en place un programme complet de sécurité de l’infrastructure en tant que code (IaC) à partir de zéro.

Capacités principales

Visibilité et contrôle

• Identifier les problèmes et visualiser les postures de sécurité et de conformité de votre référentiel de code
• Rechercher et corriger sans peine les violations par catégorie, gravité de la politique, contrôles de conformité, balises et statut
• Bénéficier d’une visibilité détaillée sur les violations de code, le référentiel de code, les demandes d’extraction, les builds CI/CD et d’autres informations critiques pour remonter à la source du problème

Évaluation continue

• Analyser en continu les modèles IaC (par exemple, Terraform HCL, modèles AWS CloudFormation, fichiers YAML de manifeste d’application Kubernetes et graphiques Helm) à mesure que le code est mis à jour ou acheminé vers les référentiels de code et que les builds sont déclenchés dans les systèmes CI/CD.
• Analyser le code à la recherche de violations des politiques de sécurité dès que possible (IDE du développeur) afin de fournir un retour immédiat au développeur
• Évaluer les modèles d’IaC pour détecter les problèmes de sécurité, la non-conformité et d’autres erreurs de configuration ou configurations par défaut non sécurisées (par exemple, absence de chiffrement, suivi des identités et des informations d’identification) pour les autorisations excessives, les ressources exposées publiquement telles que les workloads, les compartiments de stockage, les rôles de groupe de sécurité insuffisants, etc.
• Comparer en permanence la configuration constatée avec celle souhaitée afin de signaler, notifier et corriger les dérives de configuration inattendues
• Analyser le code enregistré dans les référentiels de code et bloquer la compilation dans les systèmes CI/CD lorsque des vulnérabilités critiques sont identifiées

Amélioration de la productivité

• Améliorer l’expérience des développeurs en identifiant les problèmes dans leur contexte, grâce à des conseils de sécurité intégrés et des recommandations pour résoudre les problèmes/incidents de manière native dans leurs outils DevOps, tels que les IDE, les référentiels de code et les systèmes CI/CD.
• Automatiser la sécurité de l’IaC et l’intégrer aux processus existants afin de réduire les frictions entre les développeurs et les équipes de sécurité, d’exploitation et de conformité (une bonne pratique DevSecOps)

Alertes

• Intégrer des outils de gestion des tickets pour générer des alertes en temps quasi réel, vous permettant ainsi d’informer et d’alerter les responsables et les équipes concernées en leur fournissant le contexte nécessaire sur les problèmes, leur impact et les mesures à prendre pour y remédier