Vue d’ensemble de l’observabilité
L’observabilité joue un rôle tout au long de la chaîne d’approvisionnement pour les conteneurs en fournissant une visibilité, une surveillance et un contrôle sur les différentes étapes, de l’acquisition au déploiement et à l’exécution. Il est essentiel de comprendre le cycle de vie de l’application conteneurisée, les différentes étapes de la chaîne d’approvisionnement qu’il traverse, les composants dont il dépend et les acteurs qui participent à sa création. Avec l’observabilité, les entreprises peuvent identifier les lacunes dans la sécurité de leur chaîne d’approvisionnement de conteneurs, répondre aux questions critiques lors de la réponse aux incidents et même empêcher le déploiement de conteneurs non sécurisés en production.
En tant que composant essentiel de l’infrastructure CSSC (Containers Secure Supply Chain) de Microsoft, Observability identifie un ensemble de bonnes pratiques et de recommandations pour les applications conteneurisées. Dans cet article, vous allez découvrir l’arrière-plan, les objectifs et les objectifs pour l’observabilité des conteneurs de la chaîne d’approvisionnement sécurisée.
Background
Dans les environnements d’entreprise actuels, les applications conteneurisées sont créées et déployées à l’aide de divers outils gérés par différentes équipes. Les données d’observabilité de ces outils sont souvent en silo et rend difficile le suivi du cycle de vie d’une application conteneurisée. Ce manque de visibilité rend difficile l’identification des lacunes dans la sécurité de la chaîne logistique et la détection des problèmes de sécurité potentiels.
Le composant Observabilité de l’infrastructure CSSC recommande un ensemble de bonnes pratiques et de recommandations pour capturer les données essentielles à partir des différentes étapes de la chaîne d’approvisionnement de conteneurs. Ces données peuvent être utilisées pour établir les étapes courantes dans le cycle de vie d’une application conteneurisée et détecter les anomalies pouvant être des indicateurs de compromission (IoC).
Pratiques recommandées
Microsoft recommande d’implémenter l’observabilité à chaque étape de la chaîne d’approvisionnement de conteneurs. Les données d’observabilité de chaque étape doivent être intégrées à un système unique qui fournit une vue holistique de la chaîne d’approvisionnement. L’intelligence artificielle peut mettre en corrélation les données à partir de différentes étapes et identifier les modèles qui peuvent être utilisés pour détecter les anomalies et empêcher les incidents de sécurité.
L’observabilité doit être augmentée avec des fonctionnalités détaillées de création de rapports et d’alertes. Les rapports aident les équipes à comprendre leur posture de sécurité actuelle et à apporter des améliorations tout en les aidant à répondre aux exigences de conformité. Les alertes en temps voulu pour le comportement suspect peuvent empêcher les incidents de sécurité et réduire l’impact d’une violation.
Au minimum, Microsoft recommande de capturer les données d’observabilité suivantes :
- Sources, versions et posture de vulnérabilité des images conteneur externes qui peuvent être utilisées pour évaluer le risque de dépendances externes.
- Activités des utilisateurs pour demander et approuver l’utilisation d’images externes qui peuvent identifier les menaces internes potentielles.
- Dates et heures des analyses de vulnérabilité et de programmes malveillants pour s’assurer qu’elles sont effectuées régulièrement et éviter les données obsolètes.
- Utilisation d’images externes dans les pipelines de génération et de déploiement pour quantifier le risque de dépendances externes.
- Détails de build tels que l’emplacement du code source, l’environnement de build et les artefacts de build pour s’assurer que les builds sont conformes.
- Détails du déploiement, tels que l’environnement de déploiement, les artefacts de déploiement et la configuration du déploiement pour s’assurer que les déploiements sont conformes
- Les détails du runtime, tels que l’environnement d’exécution, les artefacts d’exécution, la configuration du runtime et le comportement d’exécution, ne garantissent aucun écart par rapport au comportement attendu.
Les données d’observabilité ci-dessus peuvent être corrélées avec d’autres données provenant de systèmes SIEM (Security Information and Event Management), tels que les journaux de pare-feu, le trafic réseau et l’activité utilisateur pour détecter les modèles et identifier les incidents de sécurité potentiels.
Objectifs de sécurité pour l’observabilité
L’implémentation de l’observabilité à chaque étape est essentielle pour identifier les lacunes et empêcher les incidents de sécurité dans la chaîne d’approvisionnement des conteneurs. Le composant Observabilité du framework CSSC est destiné à satisfaire les objectifs de sécurité suivants.
Détecter les menaces et le comportement malveillant
Les attaques sur les chaînes d’approvisionnement logicielles sont de plus en plus courantes et sophistiquées. Les outils de surveillance actuels sont limités aux systèmes de surveillance au sein d’une seule étape de la chaîne d’approvisionnement, ignorant le contexte global du cycle de vie des conteneurs. Les entreprises peuvent s’appuyer sur des case activée périodiques ou manuelles, qui sont moins efficaces pour identifier les menaces en cours ou les modèles d’attaques en constante évolution.
L’implémentation de l’observabilité de bout en bout sur la chaîne logistique pour les conteneurs peut aider les équipes de sécurité à obtenir une vue holistique de la chaîne d’approvisionnement et à identifier les menaces potentielles et le comportement malveillant.
Simplifier la conformité
Les applications natives cloud sont déployées à l’échelle mondiale et se composent d’un grand nombre de ressources. La visibilité limitée où les conteneurs sont déployés, quelles sources sont utilisées et quelles sont leurs postures de sécurité, rend difficile la conformité des exigences de conformité. Le manque d’inventaire empêche également les entreprises de quantifier rapidement l’impact des vulnérabilités critiques et de prendre des mesures.
La capture des données d’observabilité à chaque étape de la chaîne logistique pour les conteneurs peut aider les entreprises à créer un inventaire complet de leurs ressources de conteneur et à créer des graphe des dépendances qui peuvent être utilisées pour évaluer rapidement les risques et fournir des rapports de conformité.
Aider à répondre aux incidents
Le manque d’observabilité peut entraver les efforts de réponse aux incidents en retardant la détection, en limitant la visibilité, en augmentant les charges de travail manuelles et en réduisant l’efficacité des mesures de réponse. Sans la vue complète de la chaîne d’approvisionnement de bout en bout pour les conteneurs, les répondants aux incidents peuvent manquer d’informations critiques, ce qui rend difficile d’évaluer la gravité de l’incident et de formuler une stratégie de réponse efficace.
La corrélation des données d’observabilité à partir des différentes phases de la chaîne d’approvisionnement pour les conteneurs peut aider les répondants à prendre de meilleures décisions et à répondre plus rapidement aux incidents de sécurité.
Outils recommandés
Microsoft propose un ensemble d’outils et de services qui peuvent être utilisés pour implémenter l’observabilité dans la chaîne d’approvisionnement de conteneurs.
Les journaux d’audit et de diagnostic Azure Container Registry (ACR) fournissent une piste d’audit et d’activité détaillée de toutes les opérations effectuées sur le Registre. Les journaux et les données de moniring peuvent être analizied et corrélés à d’autres données d’observabilité dans Azure Monitor.
Microsoft Defender pour DevOps offre une visibilité unifiée de la posture de sécurité DevOps pour les équipes utilisant Azure DevOps et GitHub. Defender pour DevOps vous aide à découvrir des configurations incorrectes de déploiement, des secrets exposés et annoter des demandes de tirage dans GitHub et Azure DevOps avec des informations de sécurité.