La démocratisation des architectures conteneurisées s'est fortement accélérée depuis l'arrivée de Docker qui a su packager l'ensemble des composants dans une seule plateforme. Rappelons que ces systèmes conteneurisés permettent à une application de s’exécuter sur n'importe quelle machine sur tout type d’environnement de Cloud (privé, hybride, et public). Cette technologie flexible, souple et portable a pour but de faciliter les déploiements d'application, et le dimensionnement automatique de l’infrastructure. D’ici à 2020, plus de 50 % des entreprises mondiales exploiteront ces applications conteneurisées dans la production, contre moins de 20 % aujourd'hui (source : Gartner). Comment peut-on expliquer cette forte adhésion des architectures orientées micro-services dans les entreprises ? Tout simplement par leur bénéfice, à savoir une réelle modernisation des infrastructures et, in fine, la possibilité pour les équipes IT de fournir des applications et des services plus rapidement et en continu aux métiers. « Les entreprises recherchent aujourd’hui de l’agilité, de la flexibilité et de l’évolutivité pour délivrer plus rapidement des services et des applications, les architectures micro-services y répondent. Cependant, il est également important de prendre en compte la gestion, le cycle de vie et la sécurité des différents composants dynamiques intégrés dans ces architectures conteneurisées, de s’assurer, suivant les besoins, du maintien ou de la disparition programmée d’un service », précise Nuno Ventura, responsable de la BU Sécurité chez SCC. En effet, la migration vers des systèmes conteneurisés et micro-services fait qu'un plus grand nombre de composants participe à chaque transaction client, chacun d'entre eux se compose de leur propre serveur applicatif, de leur hôte, de leur base de données, etc. Cette prolifération anarchique de composants volatiles entraine inévitablement des problèmes de sécurité. De ce fait, la surface d'attaque d'une application micro-services est bien plus grande que celle d’une application monolithique traditionnelle. « Il est donc nécessaire d’avoir une visibilité des flux entre les composants pour surveiller les failles et contrer d’éventuelles attaques », résume Nuno Ventura.
Un accompagnement sur la sécurité, la sensibilisation et l’organisation
C’est d’autant plus important que les développeurs sont les premiers utilisateurs de ces outils aujourd’hui. « La sécurité n’est pas le métier du développeur, il est donc primordial de lui fournir un environnement de développement sécurisé. C’est notre métier chez SCC d’accompagner les développeurs dans cette voie et nous le faisons avec des partenaires technologiques en leur fournissant des solutions et des services adaptés », indique Nuno Ventura.
En complément, SCC propose des formations aux développeurs, l’objectif étant de les sensibiliser par exemple dans le choix de leurs sources (ressources librairies, frameworks, registres, etc.). « Sur ce marché, il existe une multitude d’outils dont certains sont potentiellement très vulnérables. C’est aussi notre expertise de guider les développeurs dans leur sélection. De même, nous leur prodiguons des bonnes pratiques pour prévenir des risques potentiels autour des technologies de conteneurisation incluant les composants mais également les orchestrateurs », ajoute Nuno Ventura. Les risques sont effectivement moindres en s’assurant des mises à jour régulières du système hôte, des paquets et des conteneurs, en procédant à un scan perpétuel de l’image pour protéger son intégrité ou en étudiant rigoureusement le service avant son industrialisation en termes d’intégration et d’administration.
Enfin, les entreprises ne doivent pas négliger l'aspect organisationnel. Une démarche de SecDevOps doit être initiée pour que les équipes de développement, les opérationnels et les experts de la sécurité apprennent à mieux communiquer pour travailler ensemble. Les exigences liées à la sécurité doivent être prises en compte avant le développement pour assurer l’intégrité du service tout au long de son cycle de vie. « Dans cette approche automatisée de SecDevOps, SCC met à la disposition de ses clients des compétences issues de ses BU Automation et Sécurité », conclut Nuno Ventura.