Sécurité de l'exécution des conteneurs

Les conteneurs sont la pierre angulaire de l'infrastructure "cloud-native". Ils changent la donne en termes d'évolutivité et de rapidité, mais leur popularité croissante a créé un problème de sécurité des conteneurs pour les entreprises modernes. Par exemple, une récente faille de sécurité dans AWS Elastic Container Registry (ECR) aurait pu permettre à un acteur menaçant d'injecter du code malveillant dans les images de conteneurs d'autres utilisateurs.

Ci-dessous, nous examinons de plus près ce qu'est la sécurité de l'exécution des conteneurs, les cinq menaces de sécurité de l'exécution des conteneurs que les entreprises doivent connaître, ainsi que les meilleures pratiques et les outils clés pour améliorer la posture de sécurité de la charge de travail dans son ensemble.

Demander une démo En savoir plus

Qu'est-ce que la sécurité de l'exécution des conteneurs ?

La sécurité d'exécution des conteneurs est l'ensemble des outils et des pratiques qui protègent les conteneurs de l'instanciation à l'arrêt. Il s'agit d'un sous-ensemble de la sécurité des conteneurs et de la protection de la charge de travail qui traite de la sécurisation de tout ce qui se passe avec un conteneur, de l'instanciation à la fin. Par exemple, la sécurité de l'exécution des conteneurs concerne l'analyse de la vulnérabilité des conteneurs en cours d'exécution, mais pas l'analyse du code source en clair. Cela signifie que les scanners de vulnérabilité sont un exemple d'outils de sécurité pour conteneurs d'exécution, mais qu'un scanner SAST n'en est pas un.

Cependant, la sécurité de l'exécution des conteneurs n'est pas un concept isolé. Au-delà des conteneurs eux-mêmes, la sécurisation du code source, de Kubernetes (K8s) et de l'infrastructure en tant que code (IaC) sont des aspects importants de la défense en profondeur qui permettent aux efforts de sécurité de l'exécution des conteneurs de l'entreprise d'être couronnés de succès.

Les 5 principales menaces de sécurité liées à l'exécution des conteneurs que les entreprises doivent connaître

Les cinq menaces de sécurité liées à l'exécution des conteneurs ci-dessous peuvent représenter un risque important pour les entreprises qui utilisent des charges de travail en conteneur.

  1. Déploiement non autorisé du conteneur : Deploy Container (T1610 ) de la liste MITRE ATT&CK des techniques utilisées par les adversaires de l'entreprise est un excellent exemple de menace pour la sécurité des conteneurs. Avec cette technique, les attaquants déploient un conteneur - par exemple en utilisant les commandes de création et de démarrage de Docker - qui contourne les contrôles de sécurité et permet des exploits.
  2. Mauvaises configurations et configurations non sécurisées: Les configurations non sécurisées constituent l'un des risques les plus courants en matière de sécurité des conteneurs. Par exemple, un conteneur qui expose des ports réseau inutiles ou qui code en dur des clés d'API sont des exemples de configurations non sécurisées.
  3. Images de conteneurs avec logiciel malveillant : Ce risque est particulièrement important lorsque les entreprises utilisent des registres de conteneurs publics. Les acteurs de la menace peuvent intégrer des logiciels malveillants dans les images de conteneurs, puis les publier dans des registres publics à l'intention des entreprises.
  4. Attaques par escalade de privilèges: Il existe une variété d'attaques par élévation de privilèges qui peuvent conduire un attaquant à obtenir un accès root à un conteneur ou à l'hôte sous-jacent. Ces attaques commencent souvent par l'exploitation d'une configuration non sécurisée ou d'une vulnérabilité existante.
  5. Vulnérabilité non corrigée : Une vulnérabilité non corrigée , comme un bogue de contrôle d'accès dans une application, offre aux acteurs de la menace un moyen plus facile de compromettre un conteneur.

Comment détecter et corriger les risques liés à l'exécution de la sécurité des conteneurs ?

Conformément au concept de sécurité "shift left", la détection précoce est la clé d'une sécurité d'exécution efficace des conteneurs. Idéalement, les entreprises devraient détecter les menaces avant même l'instanciation du conteneur.

Cependant, cela n'est pas toujours pratique. C'est là que l'analyse en cours d'exécution et la détection des menaces entrent en jeu. Une fois qu'une menace est détectée, l'idéal est qu'elle soit automatiquement corrigée de manière à limiter intelligemment les faux positifs. Dans les autres cas, les professionnels de la sécurité doivent être rapidement alertés pour prendre des mesures correctives.

5 Meilleures pratiques en matière de sécurité des conteneurs d'exécution

Les cinq bonnes pratiques ci-dessous peuvent aider les entreprises à détecter et à corriger efficacement les risques de sécurité liés à l'exécution des conteneurs.

  1. N'exécutez que des images de conteneurs fiables : Le fait de n'exécuter que des images de conteneurs fiables provenant de dépôts sécurisés limite le risque d'instancier une image non sécurisée.
  2. Mettez en œuvre une analyse continue de la vulnérabilité : Les contrôles de sécurité ponctuels sont utiles, mais pas suffisants. Pour garder une longueur d'avance sur l'évolution des menaces, les entreprises doivent analyser en permanence les charges de travail pour détecter les menaces en temps réel.
  3. Exécutez les conteneurs avec des utilisateurs à faibles privilèges : Les entreprises doivent éviter d'exécuter des conteneurs en tant qu'utilisateur root ou avec l'option Docker -privileged. En règle générale, les conteneurs ne devraient pas avoir besoin d'un accès root à l'environnement hôte, de sorte que l'utilisation de root viole le principe du moindre privilège. De même, l'option -privileged permet de contourner d'importants contrôles de sécurité.
  4. N'activez pas les systèmes de fichiers inscriptibles : Les conteneurs sont généralement conçus pour être éphémères. L'activation des systèmes de fichiers inscriptibles permet aux pirates d'écrire et d'exécuter des codes malveillants.
  5. Centralisez et automatisez la visibilité et l'application des politiques : La surveillance et la sécurisation manuelles des conteneurs ne sont pas extensibles. Elle est également sujette à l'erreur humaine. Dans la mesure du possible, les entreprises devraient utiliser des outils qui centralisent et automatisent la visibilité sur la sécurité et les politiques relatives aux conteneurs.

Une sécurité efficace de l'exécution des conteneurs nécessite une approche holistique

La sécurité de l'exécution des conteneurs n'existe pas dans le vide. Par exemple, la sécurité de l'IaC et la sécurité de l'exécution des conteneurs vont de pair. Pour maintenir un niveau de sécurité élevé, les entreprises doivent mettre en œuvre des solutions globales qui intègrent la sécurité tout au long du cycle de développement des logiciels (SDLC). Cela signifie que les outils qui permettent une visibilité et une sécurité à l'échelle de l'entreprise dans le nuage et qui fournissent une sécurité partout où les entreprises exécutent des conteneurs sont essentiels à la protection moderne de la charge de travail et de la durée d'exécution.

Sécurité de l'exécution des conteneurs avec CloudGuard Workload Protection

CloudGuard Workload Protection est une solution de sécurité des charges de travail basée sur le cloud. Il offre une visibilité, une prévention des menaces et permet la conformité dans les environnements multi-cloud. Avec CloudGuard, les entreprises bénéficient d'une sécurité complète et automatisée à partir d'une plateforme centralisée. Les avantages de CloudGuard Workload Protection sont les suivants :

  • Sécurité des conteneurs: Les fonctions de sécurité des conteneurs de CloudGuard comprennent une visibilité approfondie des clusters K8s, l'analyse des images de conteneurs, la prévention des menaces en temps réel et l'application des politiques via un contrôleur d'admission central.
  • Sécurité sans serveur : Les applications sans serveur créent un nouveau défi de sécurité pour les entreprises. CloudGuard aide les entreprises à atténuer les risques de Sécurité sans serveur avec une défense comportementale qui peut détecter une mauvaise utilisation potentielle et l'abus de fonctions sans serveur.
  • application sécurité: CloudGuard AppSec est alimenté par un moteur d'IA contextuelle en instance de brevet. CloudGuard établit d'abord une base de référence du comportement normal, puis crée des profils pour évaluer intelligemment les demandes afin de réduire les faux positifs sans compromettre la posture de sécurité de l'entreprise.

Si vous souhaitez en savoir plus sur la sécurité des conteneurs, inscrivez-vous dès aujourd'hui à une démo.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK