Ce blog est co-écrit avec Robert Masterson de Thales.
"Faire du DevOps ne se fait pas du jour au lendemain - il y a des arrêts et des départs, des mauvais virages et des améliorations progressives en cours de route - mais il ne fait aucun doute que le DevOps a un impact sur la façon dont nous construisons et livrons des applications, et sur les outils que nous utilisons pour le faire. Il modifie également la façon dont nous devons envisager la sécurité, qui est souvent reléguée au second plan dans notre quête d'une plus grande productivité et d'une livraison plus rapide.
Pour mettre les choses en perspective, Gartner prévoit que d'ici 2022, plus de 75 % des organisations mondiales exécuteront des applications conteneurisées en production, ce qui représente une augmentation significative par rapport aux moins de 30 % d'aujourd'hui. Si le DevOps n'est pas défini par la technologie, il a certainement entraîné une augmentation du nombre d'outils que nous pouvons utiliser pour soutenir la transition vers l'intégration et la livraison continues (CI/CD) - des plateformes d'orchestration de conteneurs aux outils de collaboration. Sans parler de la variété des langages de programmation et des configurations multi-cloud.
Notre question est la suivante : quelle est la place de la sécurité ? Au cours de l'année écoulée, nous avons assisté à d'innombrables conférences et présentations présentant de nouveaux outils DevOps, mais nous entendons rarement parler de sécurité - en particulier lorsqu'il s'agit de clés cryptographiques et de certificats numériques. Malgré l'importance critique des clés et des certificats dans la signature de code, le chiffrement et l'authentification dans l'environnement DevOps, les équipes de sécurité n'ont souvent pratiquement aucune visibilité ni aucun contrôle sur eux.
Les défis de l'alignement de DevOps sur les politiques de sécurité
La plupart des organisations ont du mal à mettre en œuvre une sécurité et une gouvernance cohérentes dans le cadre des processus DevOps, mais faut-il vraiment s'en étonner ? Les équipes de sécurité peuvent être chargées d'atténuer les risques, mais les bonnes pratiques de sécurité passeront presque toujours après la livraison des fonctionnalités aux yeux des développeurs. Sans les bons outils à leur disposition, les équipes de sécurité ont du mal à atteindre le niveau d'automatisation et de flexibilité dont les développeurs ont besoin pour adopter volontairement de bonnes pratiques de sécurité.
La plupart des équipes DevOps opèrent encore dans un silo qui leur permet de fonctionner sur l'infrastructure et les outils qu'elles préfèrent, tout en restant à l'écart des politiques informatiques et de sécurité de l'entreprise. Elles évitent les garde-fous mis en place par les équipes de sécurité et, au lieu d'adopter ces politiques, elles optent pour des solutions non conformes. Les processus manuels et basés sur des tickets pour installer des certificats prennent du temps que les développeurs n'ont pas, alors ils utilisent des scripts maison et des sources non autorisées ou non sécurisées sur PKI .
Les services en nuage, les outils open-source et les plateformes d'orchestration dotées de capacités intégrées permettent aux développeurs d'obtenir plus facilement des certificats quand et où ils en ont besoin, mais cela introduit des risques de sécurité et de conformité car les certificats ne sont souvent pas suivis ou gérés. Les groupes d'Infosec chargés de faire les choses correctement se trouvent souvent dans la quasi-impossibilité d'empêcher que des certificats inconnus ou non conformes ne provoquent des pannes perturbatrices et des failles de sécurité.
Sans la plateforme adéquate pour gérer ces certificats à grande échelle, les équipes de sécurité se retrouvent démunies.
Keyfactor Command: Permettre l'innovation sécurisée pour DevOps
Keyfactor Command offre une plateforme unique permettant aux équipes DevOps d'accéder rapidement et facilement aux clés et aux certificats numériques, tandis que les équipes de sécurité conservent une visibilité et un contrôle complets, appliquent des politiques cohérentes et veillent à ce que les certificats proviennent uniquement d'autorités de certification publiques et internes de confiance.
La plateforme s'intègre également aux outils de votre pipeline CI/CD tels que Docker, Jenkins et HashiCorp Vault (entre autres) pour fournir une source de confiance unique pour les certificats. Les intégrations directes via l'API REST ou ACME peuvent également rendre les processus entièrement transparents et automatisés. Ainsi, les développeurs n'ont pas besoin de quitter leur flux de travail pour se procurer et installer des certificats. Cela allège les processus de sécurité manuels et chronophages que les équipes DevOps évitaient auparavant.
Mieux encore, les entreprises peuvent exécuter tout cela en plus de notre offre complète PKI as-a-Service - une PKI dédiée et conçue à cet effet - hébergée dans le cloud. Nos origines en tant que service de conseil nous donnent des années d'expérience dans la compréhension de la construction et du fonctionnement d'une PKI, ce qui permet aux équipes DevOps et de sécurité de se concentrer sur leurs compétences principales, sans avoir à mettre en place et à gérer plusieurs AC internes, ou à s'appuyer uniquement sur des outils gratuits open-source qui ne répondent pas souvent aux politiques de sécurité et d'informatique de l'entreprise.
Keyfactor & Thales : PKI intégré en toute sécurité pour DevOps
Keyfactor continue de faire évoluer sa plateforme, avec notamment l'introduction récente de la prise en charge du protocole ACME et de HashiCorp Vault. Ces éléments, ainsi qu'un vaste portefeuille de capacités d'automatisation, d'API et d'intégrations, facilitent l'intégration de la gestion des certificats dont les équipes DevOps ont tant besoin. Il offre un cycle de vie rationalisé pour les certificats numériques et la signature dans l'ensemble du pipeline - du développement au déploiement continu et à l'exécution.
Le HSM Thales basé sur le cloud - connu sous le nom de Data Protection on Demand (DPoD) - et le HSM SafeNet Luna sur site fournissent une racine de confiance hardware pour la plateforme Keyfactor . Notre plateforme s'intègre nativement avec les HSM de Thales pour garantir que les clés privées critiques de l'autorité de certification et les clés de signature de code sont sécurisées à tout moment. Les HSM offrent une haute assurance, un stockage inviolable pour protéger les clés privées contre l'abus ou le vol, car les attaquants ciblent de plus en plus ces actifs pour signer des codes malveillants ou usurper l'identité d'entités de confiance.
Le parcours DevOps peut s'avérer difficile. Bien faire du DevOps signifie que la sécurité doit être intégrée tout au long du cycle de vie du développement software , mais bien sûr, vous aurez besoin des bons outils pour y parvenir. En ce qui concerne PKI, Keyfactor et Thales se sont associés pour s'assurer que les équipes DevOps et de sécurité puissent atteindre des objectifs mutuels grâce à une sécurité intégrée, à l'application de politiques et à l'automatisation. Nous leur permettons d'avancer rapidement et de garder une longueur d'avance sur la concurrence, sans sacrifier la sécurité.
Découvrez comment l'automatisation du cycle de vie des certificats peut vous aider à atteindre vos objectifs en matière de DevOps et de sécurité. Téléchargez l'eBook DevOps.com :
