Sécurité dans le cycle DevOps

sécurité du cycle DevOpsSécurité dans le cycle DevOps

Un nouvel âge pour les logiciels

La transition des logiciels produits en services (SaaS) a eu un fort impact sur la disponibilité de logiciels (construction et déploiement), mais la sécurité ne doit pas être oubliée.

Le cycle DevOps est d’une grande importance pour les nouvelles entreprises innovantes. Les personnes de la vieille école en termes de sécurité doivent maintenant se demander ce qu’ils peuvent apprendre de ce changement de culture.

 

Les clés pour comprendre le paradigme DevOps

L’objectif de la culture DevOps est d’améliorer la disponibilité des services informatiques et leur agilité. DevOps étend essentiellement les objectifs du développement continu du mouvement Agile pour l’intégration continue et plus de liberté.

Les entreprises qui adoptent la culture DevOps ont des déploiements plus fréquents, qui leur permettent d’introduire de nouvelles fonctionnalités plus souvent dans un environnement plus stable. Plutôt que la traditionnelle méthode de la cascade – développement, test et déploiement des logiciels – DevOps encourage un cycle de sortie plus rapide avec une introduction continue de nouvelles fonctionnalités, des tests et déploiements continus. Développement et Opérations sont liés ensemble, pour que la configuration de l’infrastructure devienne une partie du code. C’est évident que la culture DevOps utilise le pouvoir du Cloud et des conteneurs pour déployer ses applications.

Les organisations adoptent ce nouvel modèle pour rationaliser le processus de développement en combinant de multiples étapes en un seul processus automatisé.

DevOps doit intégrer une sécurité comme une part de la chaine avec l’objectif d’augmenter la sécurité du code avant d’atteindre la production. Dans un monde DevOps parfait, le processus du code à expédier et à exécuter, ne doit pas excéder quelques heures. La sécurité doit donc être intégrée dès le début de ce processus.

 

Les étapes pour intégrer la sécurité dans le cycle DevOps

  1. Intégrer la sécurité dans la structure DevOps. La structure DevOps conduit le processus opérationnel à intégrer et à délivrer le code utilisant des outils d’API-Driven.
  2. Mettre en place une nouvelle approche. Nous ne réparons pas le logiciel, nous reconstruisons la solution avec le logiciel réparé et déployons une nouvelle instance pour remplacer une solution défectueuse.

Elastic Workload Protector est compatible avec DevOps

Désormais, vous ne lancerez plus vos applications avec des défauts de sécurité dans le Cloud ou dans un environnement insécurisé. Nous nouso intégrons facilement à la chaîne de construction « BuildChain », afin de renforcer votre processus de sécurisation. Nous vous fournissons donc l’outil nécessaire pour veiller à ce que vos applications soient sécurisées :

Avec l’utilisation de :

  1. Notre solution API Driven

Intégrer notre solution dans votre structure DevOps ou chaîne de construction « BuildChain » est facile.

Notre solution peut être fournie par des outils externes. Chaque étape de l’analyse de sécurité faite par Elastic Workload Protector peut être automatisée par un HTTP RestFull API.

Des fonctionnalités complètes, vous pouvez gérer l’utilisateur, le processus de numérisation, la création de politiques, l’exportation des rapports et des risques, les balises…

Par exemple, dans votre chaîne de construction, vous pouvez configurer notre solution pour être en charge de fournir un label de sécurité sur un pack ou une image qui satisfait les exigences de conformité au niveau de risque :

  • Ne pas valider/publier une image avec le risque « Data Integrity » supérieur à 2.0

Il est aussi facile d’ajouter un « processus d’évaluation de vulnérabilité » dans vote chaîne de construction. Nos experts peuvent vous aider à faciliter l’intégration dans votre chaîne de construction : Docker, AWS ou une autre image de construction.

  1. Nos analyses de sécurité

Cela garantit que vos images sont construites avec les meilleurs moyens en place, en conformité avec les standards CIS, OWASP, PCI-DSS. Egalement compatbible à une application spécifique (Hadoop) ou des cas d’utilisations (Big Data) et sont exempts de vulnérabilités connues (CVE).

Pour chaque analyse, un rapport contenant des étapes d’assainissement vous permettra de réparer facilement et rapidement les problèmes pour exécuter le processus de construction le plus rapidement possible.

 

Avec ces étapes simples, il est possible de rationaliser la sécurité dans le cycle DevOps

Voulez-vous plus d’informations sur notre approche DevOps ?

N’attendez pas la prochaine cyber-attaque de WannaCry pour réagir… Contactez nous et rencontrez notre équipe de sécurité dès maintenant.

 

CVE – Common Vulnerabilities and Exposures
https://cve.mitre.org/

CIS – Center for Internet Security

Homepage

OWASP – Open Web Application Security Project
https://www.owasp.org/index.php/Main_Page

PCI-DSS – Payment Card Industry Data Security Standard
https://fr.pcisecuritystandards.org/minisite/en/

Leave a Reply