Pause Cloud & DevOps

Pause Cloud & DevOps du 26 janvier 2018

Spécial Sécurité !

 

La météo vous empêche de sortir ? Profitez-en pour suivre l’actualité Cloud & DevOps, résumée pour vous en français par les consultants d’Objectif Libre.

Aujourd’hui, la pause fait le point sur la Sécurité. Prenez un café et quelques minutes : faites une pause !

Au menu donc, un peu de sécurité agrémentée de quelques piqûres de rappel utiles :

  • Retour sur les failles de sécurité Spectre / Meltdown
  • Sec + Ops = ?
  • Conteneurs & sécurité : l’éternelle question ?
  • Mise à jour de GitLab : nécessaire !

Bonne lecture !

(Instant promo) Ces sujets vous intéressent et vous êtes sur Toulouse ?
Il reste quelques places au Petit-Déjeuner organisé dans nos locaux le 08/02 à Toulouse sur le thème: « Sécurité, intégration continue et orchestration de conteneurs« 


Retour sur les failles de sécurité Spectre / Meltdown

Si vous êtes passés à coté du buzz médiatique autour des failles Spectre et Meltdown, voici de quoi rattraper le train des actualités.

Ce qui est remarquable ici n’est pas tant l’exploitabilité de la faille mais plutôt le nombre de systèmes impactés. 

Au cœur de chaque système on trouve un processeur.

Thomas Soete d’OVH nous explique que pour gagner en performance nos processeurs doivent exécuter un maximum de tâches en parallèle. Pour cela, ils font de la spéculation et anticipent des résultats, mais cela laisse des traces et c’est l’exploitation de cette trace pour extraire de l’information qui rend nos systèmes vulnérables.

Si extraire de l’information utile n’est pas trivial (du moins à ce jour), n’attendons pas, patchons ! Même si cela doit se faire au détriment d’une perte de performance, comme le souligne RedHat.

En savoir plus  : 

https://www.ovh.com/fr/blog/failles-de-securite-spectre-meltdown-explication-3-failles-mesures-correctives-public-averti/

https://www.channelnews.fr/red-hat-indique-vulnerabilites-spectre-meltdown-peuvent-reduire-performances-de-environnements-78875


Sec + Ops = ?

 

SecDevOps, DevSecOps, DevOpsSec… peu importe la dénomination !

Il n’y a pas de norme qui définisse la sécurité pour les DevOps, il faut retenir le principe : la sécurité est l’affaire de tous et intervient à tous les niveaux.

Depuis l’écriture de code, en passant par la génération automatique d’une image, son stockage, son déploiement, son instanciation, sa configuration, jusqu’à sa petite mort, sans omettre son nettoyage.

Le cabinet d’analystes Gartner prévoit que « DevSecOps » sera intégré dans 80% des équipes de développement d’ici 2021.

 

En savoir plus  : 

https://techbeacon.com/devsecops-foundations


Conteneurs & sécurité : l’éternelle question ?

Aujourd’hui, on peut considérer que les problèmes de sécurité des conteneurs ne sont plus liés à la technologie mise en œuvre, la technologie étant devenue plus mature.

Il faut chercher la cause des problèmes de sécurité dans les méthodes de déploiement mises en œuvre par les développeurs, déploiement généralement réalisés avec peu ou pas d’implication des équipes de sécurité.

 

4 points de vigilance peuvent être retenus :
– La configuration de la sécurité de l’hôte (Operating System Security)
– La sécurisation de la chaîne de construction des images (Threats to the Build Environment)
– La surveillance des opérations exécutées par le container (Runtime Behaviour, Container Workloads and Content)
– La sécurisation de l’orchestration (Orchestration Management Security)

 

En savoir plus  : 

https://www.sdxcentral.com/articles/news/5-danger-points-for-container-security/2018/01/


Mise à jour de GitLab : nécessaire !

 

Pour illustrer la question de la sécurisation de la chaîne de construction des images évoquée précédemment : pensez à mettre à jour votre chaîne de build GitLab, elle est sûrement vulnérable !
Malheureusement, seules 3 branches sont officiellement maintenues et patchées : 10.1, 10.2 et 10.3… alors il est peut-être temps de migrer vos versions 8 et 9 vers une version 10.

 

En savoir plus :

https://about.gitlab.com/2018/01/16/gitlab-10-dot-3-dot-4-released/

https://gitlab.com/gitlab-org/gitlab-ee/blob/master/doc/policy/maintenance.md