Un aperçu de l'approche Policy-as-Code : pourquoi maintenant et comment peut-elle aider ?

À quelle fréquence voyons-nous des articles de presse sur une violation de données ou une panne de système causée par une erreur humaine ou un type d'exploitation par une entité externe ? Si vous travaillez dans une équipe d'informatique pour une entreprise concernée par une telle situation, les impacts directs et indirects peuvent être significatifs, et ce niveau d'impact se répercute dans toute l'industrie informatique. Considérons quelques données : le rapport de Splunk sur l'état de la sécurité en 2023 indique que la sophistication des attaques est le principal défi auquel sont confrontés 38 % des participants à l'enquête, et 28 % se retrouvent piégés dans un mode de réponse réactif en raison de fortes demandes de charge de travail. Le rapport d'IBM sur le coût d'une violation de sécurité en 2023 indique que le coût moyen d'une violation de données s'élève à 4,45 millions de dollars américains (USD), représentant une augmentation de 15 % sur trois ans. Des statistiques comme celles-ci indiquent que la sophistication et le volume des attaques, ainsi que les vulnérabilités signalées, continuent d'augmenter. Celles-ci démontrent également un risque accru de violations et d'impacts financiers. La solution ici n'est pas de ralentir, mais de travailler de manière plus intelligente.

La plupart des entreprises ont passé la dernière décennie à moderniser et à déplacer des applications et des services métiers vers le cloud hybride afin de pouvoir agir plus rapidement et d'être plus agiles, car les demandes d'aujourd'hui sont plus grandes que jamais. De plus, presque chaque client avec qui je parle lutte contre la complexité de ses environnements, sans fin en vue, alors que des technologies telles que l'edge, l'IA et d'autres sont ajoutées.  

Que signifie cela pour vos charges de travail d'IA à l'échelle de l'entreprise ? Vous traitez désormais d'énormes volumes de données sur une infrastructure hybride supplémentaire et vous exécutez, ou souhaitez exécuter, des applications basées sur l'IA qui sont très exigeantes pour votre infrastructure technologique. Cela constitue un scénario très difficile si vous n'avez pas automatisé la gestion de la solution, où les processus manuels peuvent ralentir les progrès des solutions et innovations en IA.

Répondre aux besoins de conformité et inspirer la cohérence opérationnelle pour les charges de travail critiques 

Dans cet environnement complexe qui inclut désormais l'IA, vous devez toujours vous aligner sur les politiques internes et externes pour contrôler les coûts, réduire les risques et maintenir la cohérence tout en essayant de rester agile. Une gestion de la gouvernance, des risques et de la conformité (GRC) interne et externe est nécessaire – mais l'automatisation est une approche beaucoup plus intelligente qui vous aidera également à rester agile.

Souvent, vos systèmes critiques génèrent des revenus pour votre organisation, améliorent la productivité ou vous aident à contrôler les processus, ce qui les rend les plus touchés par les directives de conformité internes et externes. Ils doivent rester sécurisés, performants et audités, avec peu de violations et de bons processus de remédiation. Tout cela prend du temps et nécessite des cycles de travail supplémentaires pour que chaque exigence soit traitée. Les auditeurs et les évaluateurs ont également besoin d'informations, ce qui prend encore plus de temps au processus de construction et d'exécution d'applications critiques. Le résultat final est une frustration pour chaque membre de votre équipe et un manque de rapidité et d'efficacité du développement aux tests en passant par la production.  

En ce qui concerne les processus GRC internes et externes, que diriez-vous si vous pouviez :

• Remplacer les processus de validation manuels lents et encombrants par des contrôles automatisés et transparents qui se produisent avant qu'une action ne soit entreprise.
• Élargir la conformité grâce à des processus automatisés rapides et efficaces.
• Offrir une expérience rationalisée pour votre équipe afin de l'aider à se concentrer sur ses responsabilités clés et à améliorer sa satisfaction globale vis-à-vis du processus.

L'automatisation avec les politiques en tant que code est la meilleure pratique qui peut vous aider à rester en conformité tout en gérant la complexité, en réduisant les risques et en déployant des applications exigeantes en IA et autres avec la rapidité et l'agilité que les parties prenantes commerciales attendent de vos équipes. Avec les politiques en tant que code automatisées, vous êtes mieux positionné pour maintenir les avancées que vous avez réalisées dans le cloud hybride tout en améliorant votre posture GRC globale.

Lorsque vous disposez d'une capacité prévisible et transparente pour appliquer des politiques, vous gagnerez en confiance dans votre pile technologique car vous fonctionnez de manière plus cohérente. Les lacunes de compétences auront moins d'impact sur votre fonctionnement et vous pourrez aider à réduire les erreurs humaines, qui sont souvent à l'origine des violations et des problèmes. L'automatisation des politiques en tant que code peut vous aider à résoudre les problèmes de productivité auxquels vos équipes sont confrontées.

Automatiser les politiques en tant que code tout au long du cycle de vie

Automatiser les politiques en tant que code offre une meilleure méthode lorsque, par conception, vous pouvez rendre les validations et les contrôles de conformité transparents. Red Hat Ansible Automation Platform est une plateforme d'automatisation courante que les clients utilisent pour automatiser au sein et entre les processus informatiques pour la rapidité, l'efficacité, l'agilité et bien sûr le retour sur investissement. C'est une solution très flexible qui peut automatiser presque tous les processus informatiques que vous pouvez imaginer – et cela inclut l'automatisation des politiques en tant que code. Votre équipe peut utiliser les politiques en tant que code automatisées pour :

• Créer : Vérifiez automatiquement l'application des politiques pendant le cycle de développement pour faciliter la création de plateformes de développement et de test conformes et intégrer la conformité dès le départ dans les environnements de production et le code. Assurez-vous que votre équipe peut appliquer toutes les politiques applicables sans réunions chronophages et sans double vérification manuelle.  
   
• Gérer : Intégrez l'application des politiques selon les besoins, par exemple des contrôles de politiques discrétionnaires ou obligatoires qui sont inclus avant ou après l'exécution d'un travail d'automatisation. Recevez des alertes lorsque l'une des technologies de votre pile ne respecte plus la conformité et/ou répondez automatiquement à ce besoin. Assurez-vous que les instances de cloud et d'autres technologies respectent vos spécifications de configuration afin de contrôler les coûts et d'assurer un environnement d'exploitation cohérent et de confiance. Identifiez facilement l'inventaire qui pourrait être impacté par un changement de politique, puis appliquez le changement automatiquement.
   
• Élargir : Automatisez les rapports et les résultats vers les systèmes liés aux audits, allégeant ainsi la charge globale de l'équipe associée aux rapports.

Vous pouvez automatiser les politiques en tant que code dès aujourd'hui lorsque vous incluez des politiques dans vos Ansible Playbooks. Celles-ci peuvent être exécutées manuellement ou via un contrôleur d'automatisation. Lorsque vous ajoutez l'Ansible piloté par les événements (partie de la plateforme d'automatisation Ansible), vous pouvez automatiser la réponse de bout en bout, par exemple lorsqu'une politique dérive et que votre outil d'observabilité ou de surveillance signale cette dérive et/ou la corrige à votre convenance. 

Préparer l'automatisation complète des politiques en tant que code

Tout cela semble formidable, mais comment y parvenir à grande échelle et dans vos organisations ? Voici quelques façons de vous préparer :

• Élargir votre utilisation de l'automatisation. Combien de vos équipes (réseau, cloud, infrastructure, sécurité, développement d'applications, SRE, etc.) utilisent une plateforme d'automatisation unique et cohérente ? Lorsque vous avez élargi l'utilisation de l'automatisation à l'échelle de l'entreprise, vous pouvez automatiser au sein et entre les domaines afin que les politiques soient alignées sur l'ensemble de la pile technologique. L'idée est que vous ayez élargi l'automatisation sur laquelle vous pouvez mettre en œuvre des politiques en tant que code automatisées pour des charges de travail ou des applications critiques. 
• Modulariser et centraliser l'automatisation dans un modèle "en tant que code". Vos politiques peuvent-elles être rédigées de manière indépendante du fournisseur afin qu'elles puissent être centralisées puis appliquées à des solutions spécifiques ou incluses dans des Ansible Playbooks ou des Ansible Rulebooks ? Identifiez un référentiel central pour stocker les fichiers de configuration standards, les playbooks et d'autres actifs d'automatisation que vous souhaitez utiliser de manière cohérente. Cela constitue un modèle d'infrastructure en tant que code et/ou de configuration en tant que code, et cela vous donne plus d'organisation pour ensuite ajouter l'automatisation des politiques en tant que code.
• Évaluer vos besoins en matière de conformité automatisée et aligner votre équipe. Identifiez les exigences critiques en matière de conformité et de sécurité que vous devez respecter, puis établissez une feuille de route comprenant des étapes clés et des objectifs. Rassemblez votre équipe et créez une compréhension partagée des objectifs, des avantages, des rôles et des responsabilités. Préparez-vous pour les opérations, par exemple, toutes les politiques doivent être mises en œuvre et testées avant d'être utilisées dans un flux de travail de déploiement.
• Pensons à la surveillance et à l'application. Une fois que vos applications et charges de travail critiques sont en ligne, déterminez comment vous allez surveiller et répondre aux violations de politiques. Une option consiste à utiliser l'automatisation pilotée par les événements pour réagir immédiatement et sans intervention manuelle à un risque de sécurité ou à une configuration modifiée entraînant un risque. 
• Désigner un leader de la communauté de pratique de l'automatisation. Red Hat recommande cette approche depuis de nombreuses années pour développer et étendre l'utilisation de l'automatisation. Ce leader peut aborder l'automatisation en général et vous aider également à mettre en place l'automatisation pour les politiques en tant que code. Le manuel de l'architecte de l'automatisation vous donnera des idées pour vous aider à organiser votre communauté interne. 

Commencer avec les politiques en tant que code : une approche "commencer petit, penser grand".

Peu importe où vous en êtes dans votre parcours, les politiques en tant que code automatisées peuvent aider avec la GRC. Étant donné que la conformité nécessite de couvrir l'ensemble de la pile technologique qui soutient votre application, envisagez d'élargir l'automatisation et d'atteindre le point où vous automatisez à partir d'une seule source de vérité. Si vous n'en êtes pas encore là, vous pouvez toujours automatiser des politiques, mais elles seront probablement plus internes (par exemple, une version spécifique de Linux doit avoir des politiques de sécurité spécifiques appliquées pour fonctionner dans votre environnement). 

L'approche globale de Red Hat est de commencer par des cas d'utilisation simples et d'élargir leur portée et leur sophistication à partir de là. Les politiques en tant que code peuvent être mises en œuvre de cette manière. Par exemple, vos cas d'utilisation peuvent être :

• Rassembler un rapport d'inventaire sur les systèmes qui ne sont pas conformes à une politique spécifique.
• Appliquer une politique d'exécution telle que "un pare-feu ne peut être ouvert que sur un port spécifique".
• Créer une instance cloud ne dépassant pas une taille spécifique pour contrôler les coûts du cloud.
• Automatiser un changement sur un serveur donné ne peut pas être effectué à moins que le serveur ne soit dans une fenêtre de maintenance.

Une fois que vous êtes en mesure de mettre en œuvre des cas d'utilisation simples autour des politiques en tant que code, vous pouvez étendre à un plus grand nombre et à des cas plus sophistiqués.  

Maintenant que vous avez appris le point de vue de Red Hat sur les politiques en tant que code automatisées, j'espère que vous prendrez en considération ce domaine et comment vous pouvez l'utiliser pour alléger des processus fastidieux et chronophages. Je terminerai en vous rappelant que la plateforme d'automatisation Ansible est très flexible. Une fois que vous savez ce que vous souhaitez mettre en œuvre, cette plateforme excelle à prendre les mesures que vous désirez, y compris en ce qui concerne les politiques en tant que code. Le meilleur reste à venir pour rendre les politiques en tant que code une manière plus simple et plus intelligente de travailler tout au long de votre cycle de vie.