Red Hat Advanced Cluster Security 4.9 : la sécurité pensée pour vos workflows

Nous nous efforçons d'améliorer la solution Red Hat Advanced Cluster Security for Kubernetes en suivant le rythme d'évolution rapide de la sécurité de Kubernetes. Nous présentons aujourd'hui la version 4.9, qui s'accompagne de mises à jour et d'intégrations clés conçues pour rationaliser les workflows. Nous avons notamment amélioré la capacité d'intégration à d'autres outils et services ainsi que la visibilité sur l'exploitation, et nous avons commencé à intégrer les machines virtuelles aux processus de création de rapports et d'analyse. 

Intégration de Red Hat Advanced Cluster Security à ServiceNow

L'un des principaux atouts de Red Hat Advanced Cluster Security 4.9 est sa capacité d'intégration à ServiceNow. Grâce à l'application Container Vulnerability Response de ServiceNow, il est désormais possible d'importer dans le tableau de bord ServiceNow des données détaillées sur les vulnérabilités des images de conteneurs. 

Les données détaillées communiquées par Red Hat Advanced Cluster Security sont intégrées au système de tickets utilisé par les entreprises pour résoudre leurs problèmes de sécurité.

Pour ajouter cette intégration à votre instance ServiceNow, accédez à la marketplace ServiceNow.

Création de rapports de vulnérabilités basés sur les données affichées

La solution Red Hat Advanced Cluster Security 4.9 simplifie la génération et le partage des rapports de vulnérabilités grâce à l'export direct au format CSV des données filtrées. Cette fonction permet aux équipes de sécurité de rechercher et d'identifier plus facilement les vulnérabilités qui les intéressent ainsi que de partager des informations exploitables.

Grâce à ces fichiers exportés personnalisables, les équipes accèdent rapidement aux informations sur les vulnérabilités et les conteneurs, et peuvent réagir le plus efficacement possible.

Création de rapports de vulnérabilités pour les machines virtuelles [version préliminaire pour les développeurs]

L'introduction de l'analyse des vulnérabilités des machines virtuelles gérées avec Red Hat OpenShift Virtualization dans Red Hat Advanced Cluster Security est une première étape prometteuse dans le renforcement de la sécurité des machines virtuelles. Cette solution requiert l'installation d'agents légers sur l'hôte Red Hat Enterprise Linux (RHEL) pour détecter les risques cachés dans le système d'exploitation invité des machines virtuelles.

Cette vue actuellement limitée à 50 machines virtuelles s'intègre au tableau de bord existant pour la gestion des vulnérabilités.

Authentification M2M (machine à machine) avec OIDC

Cette nouvelle version introduit l'authentification M2M avec OIDC (OpenID Connect) déclarative et adaptée à l'automatisation, qui rationalise l'accès sécurisé aux API des produits. Il suffit d'ajouter les informations du fournisseur OIDC sous forme de ConfigMaps ou de Secrets montés dans le pod Central, et d'autoriser les équipes à utiliser des jetons OIDC à courte durée de vie attribués par les fournisseurs d'identité pour des interactions d'API automatisées et sécurisées. Cette nouvelle fonctionnalité simplifie les workflows d'authentification en permettant aux machines de se connecter sans informations d'identification à longue durée de vie, avec à la clé une authentification tierce plus facile.

Exportation des indicateurs de mesure avec Prometheus

Pour améliorer la visibilité, Red Hat Advanced Cluster Security version 4.9 inclut un point de terminaison d'API /metrics dédié dans le groupe Central Services, qui expose des indicateurs de mesure personnalisés des produits. Ceux-ci seront stockés dans la base de données de séries temporelles de Prometheus. Les données Prometheus permettent de visualiser les indicateurs de mesure de sécurité avec des outils tels que Grafana ou Perses pour créer des tableaux de bord personnalisés. Le composant Alertmanager se charge d'envoyer des alertes via différents canaux, comme un système de messagerie électronique, Slack ou PagerDuty. 

Les indicateurs de mesure fixes, tels que l'intégrité du cluster et l'expiration des certificats TLS, donnent des informations exploitables sur les principaux domaines de sécurité (violations de politiques, vulnérabilités d'images et vulnérabilités de nœuds) et facilitent la surveillance de l'intégrité du système. La version 4.9 permet d'appliquer une approche SecOps en fournissant les données de sécurité et d'exploitation nécessaires pour suivre les risques et l'état du système de manière proactive. 

Pour en savoir plus sur la configuration de Red Hat Advanced Cluster Security 4.9, consultez les notes de version.

Verrouillage automatisé des références de processus

De nombreuses versions de Red Hat Advanced Cluster Security intègrent déjà les références de processus. Dans la version 4.9, cette fonction s'enrichit de l'automatisation du verrouillage des références. Cette tâche prenait auparavant beaucoup de temps, puisqu'elle devait être réalisée manuellement pour chaque déploiement. Avec cet ajout, les équipes de sécurité sont désormais libres de se concentrer sur des missions plus essentielles.

De plus, ce changement permet la mise en œuvre d'une approche plus proactive de la sécurité. Au lieu d'attendre l'existence d'un déploiement pour configurer une alerte, il est possible de définir une politique pour un périmètre spécifique, comme un espace de noms. Tout nouveau déploiement dans ce dernier déclenchera automatiquement des alertes, ce qui garantit une sécurité cohérente et instantanée.

Modifications et améliorations de l'éditeur de politiques

Nous avons pris en compte les commentaires des utilisateurs pour améliorer l'éditeur de politiques. Alors que dans les versions précédentes, il fallait définir de multiples options, Red Hat Advanced Cluster Security 4.9 axe la création de politiques autour d'un seul choix lié au cycle de vie. Les champs de critères sont organisés en sections et sous-sections, pour une sélection plus rapide et intuitive en fonction du cycle de vie choisi.

Les champs de critères sont regroupés en sections et affichent de manière dynamique les options pertinentes en fonction du cycle de vie choisi. En outre, la documentation inclut désormais un guide complet, en plus des instructions pratiques. Cette mise à jour simplifie encore davantage l'application de politiques de sécurité pendant les étapes d'assemblage, de déploiement et d'exécution. 

Pour en savoir plus, consultez les notes de version de Red Hat Advanced Cluster Security 4.9.

Application du contrôleur d'admission et mises à jour du cycle de vie

D'abord, la configuration du contrôleur d'admission est désormais plus intuitive. Dans Red Hat Advanced Cluster Security 4.9, les réglages de bas niveau ont été supprimés et le contrôleur d'admission ne présente plus qu'un seul choix (ON/OFF). Ces paramètres dépendent de la méthode d'installation (opérateur ou chart Helm) choisie pour chaque cluster sécurisé, et ils peuvent être consultés sur la page Cluster Configuration de l'interface utilisateur.

Ensuite, la « politique d'échec » du contrôleur d'admission peut être configurée. Lorsque Kubernetes traite une requête d'API, le contrôleur d'admission dispose d'un court délai pour répondre. En cas de dépassement, Kubernetes peut réagir de deux façons :

• Fail Open : la requête est transmise et le contrôleur d'admission est ignoré (priorité à la disponibilité).
• Fail Close : la requête est bloquée (priorité à une application cohérente des protocoles de sécurité).

Jusqu'ici, la solution Red Hat Advanced Cluster Security prenait uniquement en charge le mode Fail Close avec la méthode d'installation Helm. Ce mode peut désormais être utilisé avec la méthode d'installation par opérateur, et l'interface utilisateur a été mise à jour en conséquence.

Essayer la solution

Pour en savoir plus sur la version 4.9 de Red Hat Advanced Cluster Security, consultez les notes de version.