De prime abord, cela peut paraître impressionnant quand on pense à l’innombrable quantité d’utilisateurs non-humains à protéger tels que les processus, les services, les containers, les machines, etc. Ceux-ci nécessitent continuellement des accès administrateurs (dits « à privilèges » ou à « hauts-pouvoirs ») permettant d’accéder à d’autres ressources et services, pour communiquer avec les bases de données, afin d’obtenir des clés de chiffrement.
Les entreprises s’appuient de plus en plus sur les services cloud automatisés, les déploiements sur les containers et les architectures basées sur les micro-services. Ces usages ont complètement changé leur manière de gérer l’identité des machines pour les utilisateurs « non-humains », et donc la manière dont elles protègent les informations système qui circulent de machine à machine avec peu ou pas de supervision humaine : des centaines de milliers de machines virtuelles qui tournent simultanément à un instant T.
Les organisations qui tirent profit de l’agilité DevOps, sans sécuriser les secrets et les identifiants utilisés dans leurs environnements, doivent rapidement prendre des mesures drastiques. En effet, l’automatisation des DevOps permet de développer et de déployer à l’échelle les applications, ainsi que la création et l’assignation des identifiants et des secrets. Si ces derniers ne sont pas sécurisés et protégés de manière adéquate, lorsque l’application évolue, l’entreprise crée alors une « dette de vulnérabilités » qui augmente à l’infini.
Comment protéger son environnement DevOps ?
Les solutions de sécurité traditionnelles dédiées à la gestion des secrets ne sont pas adaptées aux problématiques actuelles du cloud, des sauvegardes et des DevOps. Par conséquent, une nouvelle génération de plateformes de « gestion des secrets » est en train de voir le jour, et change ainsi la manière dont les entreprises proposent l’identité, les secrets et les tokens, Il en est de même pour la façon dont elles valident les systèmes d’authentification des utilisateurs fiables.
Le cabinet d’analyse indépendant, Securosis, a publié une nouvelle étude qui examine le besoin critique de ces nouveaux outils de gestion des secrets. Le point central de leur rapport intitulé « Understanding and Selecting a Secrets Management Platform », met en avant le quasi manque de sécurité aujourd’hui autour de l’octroiement des droits d’accès aux services. Bien trop souvent, les identifiants de connexion sont conservés en clair dans divers types de documents, tandis que de nombreuses entreprises s’appuient sur des systèmes de stockage des identifiants pour maintenir un point de contrôle centralisé sur l’identité et les droits d’accès. Toutefois, ces systèmes ne possèdent pas de mécanisme de distribution leur permettant de répondre de manière consistante aux politiques de sécurité dans les environnements cloud et DevOps actuels, aussi changeants que complexes.
C’est pourquoi une gestion efficace des secrets doit faire partie intégrante de la transformation des DevOps, telle que nous la connaissons, en un modèle DevOps sécurisé ou réellement intégré.
Commentaire