Red Hat Advanced Cluster Security for Kubernetes

Introduction

La protection des applications cloud-native nécessite des changements majeurs au niveau de l'approche adoptée en matière de sécurité. Il faut appliquer des contrôles plus tôt dans le cycle de développement des applications, utiliser l'infrastructure pour mettre en œuvre ces contrôles, mettre en place des mesures de sécurité pour les équipes de développement et suivre le rythme de plus en plus rapide des nouveaux lancements.

Basée sur les technologies StackRox, la solution Red Hat® Advanced Cluster Security for Kubernetes protège vos applications essentielles pendant la création, le déploiement et l'exécution. Il existe deux options de déploiement pour ce logiciel dans votre infrastructure Kubernetes : la version autogérée ou la version SaaS (Software-as-a-Service) entièrement gérée. En outre, il s'intègre à vos outils et workflows DevOps existants afin de renforcer la sécurité et la conformité. Son moteur de politique inclut des centaines de contrôles intégrés pour mettre en œuvre des pratiques DevOps et axées sur la sécurité d'après les normes du secteur, notamment les critères CIS (Center for Internet Security), les directives du NIST (National Institute of Standards Technology), la gestion de la configuration des conteneurs et de Kubernetes, ainsi que la sécurité de l'environnement d'exploitation.

La solution Red Hat Advanced Cluster Security fournit une architecture native pour Kubernetes comme base pour la sécurité de la plateforme et des applications, ce qui permet aux équipes DevOps et InfoSec de mettre en place un système de sécurité fonctionnel.

Une solution de sécurité native pour Kubernetes destinée aux applications cloud-native

Fonctions et avantages

  • Réduction des coûts d'exploitation
    • Guidez les équipes de développement, d'exploitation et de sécurité vers un ensemble commun d'outils et de pratiques de sécurité natifs pour Kubernetes, et mettez en place des mesures de sécurité pour les utilisateurs.
    • Appliquez des contrôles natifs pour Kubernetes lors des phases de création, de déploiement et d'exploitation de l'application afin d'améliorer la visibilité sur les vulnérabilités, les violations de politique et de configuration et sur le comportement de l'environnement d'exploitation de l'application, et ainsi optimiser leur gestion.
    • Réduisez le coût lié au traitement des problèmes de sécurité en les identifiant et en les corrigeant à l'étape de développement (approche « shift left »).
  • Réduction des risques en matière d'exploitation
    • Alignez la sécurité et l'infrastructure pour réduire les temps d'arrêt des applications à l'aide des capacités intégrées de Kubernetes, dont les politiques réseau de Kubernetes pour la segmentation et le contrôleur d'admission pour l'application des politiques de sécurité.
    • Limitez les menaces à l'aide des contrôles de sécurité natifs pour Kubernetes afin d'appliquer des politiques de sécurité qui minimisent les effets potentiels sur vos applications et votre infrastructure. Il peut s'agir, par exemple, d'utiliser des contrôles pour contenir une faille avérée en ordonnant automatiquement à Kubernetes de désactiver les pods suspects ou de les supprimer, puis de redémarrer les instances des applications touchées.
  • Amélioration de la productivité du développement
    • Analysez les vulnérabilités de manière active dans les référentiels, les pipelines de développement et la production.
    • Tirez parti de Kubernetes et des outils d'intégration et de distribution continues (CI/CD) existants pour mettre en place des mesures de sécurité intégrées favorisant l'agilité du développement tout en préservant la posture de sécurité souhaitée.
    • Synchronisez les mises à jour et l'assistance avec les versions de Red Hat OpenShift® pour garantir la compatibilité et assurer la mise à jour des fonctions de sécurité.
    • Utilisez les données certifiées de Red Hat sur les vulnérabilités pour assurer la précision et la pertinence des environnements Red Hat OpenShift.

Détail des avantages

DomaineAvantages
Visibilité
  • Vue complète sur l'environnement Kubernetes, y compris l'ensemble des images, des pods, des déploiements, des espaces de noms et des configurations
  • Découverte et affichage du trafic réseau dans tous les clusters, y compris les espaces de noms, les déploiements et les pods
  • Identification des événements essentiels au niveau du système dans chaque conteneur pour détecter les incidents
Gestion des vulnérabilités
  • Détection des vulnérabilités au niveau de l'hôte et des menaces de sécurité potentielles dans Red Hat Enterprise Linux® CoreOS
  • Analyse d'images à la recherche de vulnérabilités connues au sein de langages, de paquets et de couches d'images spécifiques
  • Mise en lumière des vulnérabilités et des déploiements d'images les plus à risque pour hiérarchiser les mesures à prendre
  • Corrélation des vulnérabilités avec les espaces de noms, les déploiements en cours et les images
  • Catégorisation des résultats par plateforme, nœud et charge de travail pour simplifier le suivi et la propriété
  • Application des politiques basée sur les informations recueillies sur les vulnérabilités lors des phases de création, de déploiement et d'exécution
  • Intégration du produit ACS à d'autres solutions tierces à l'aide de roxctl ou de l'interface de programmation d'application (API) pour fournir des notifications sur les vulnérabilités dans les outils utilisés au quotidien par les équipes (Jira et ServiceNow)
Conformité
  • Évaluation de la conformité à l'aide de contrôles techniques issus de différents cadres de sécurité et de réglementation, notamment CIS, PCI (Payment Card Industry), NIST SP 800-53, DISA STIG et NERC-CIP
  • Vue d'ensemble de la conformité au niveau des contrôles de chaque norme avec la possibilité d'exporter des preuves pour les auditeurs
  • Affichage détaillé des résultats en matière de conformité pour cibler les clusters, espaces de noms, nœuds ou déploiements qui nécessitent des corrections
  • Planification d'analyses de la conformité et automatisation de la création de rapports basés sur les preuves
Segmentation du réseau
  • Visualisation du trafic autorisé par rapport au trafic actif entre les espaces de noms, les déploiements et les pods, y compris les expositions externes lors de l'exécution
  • Identification des processus en cours d'exécution qui écoutent les ports
  • Identification du trafic réseau anormal, et création et application de politiques d'exécution
  • Alertes concernant les violations de politiques lorsque du trafic non autorisé est détecté
  • Génération d'un graphique de connectivité et affichage de la différence contextuelle entre deux versions de l'application avant le déploiement
  • Simulation des changements au niveau de la politique réseau dans l'environnement d'exécution avant la mise en œuvre pour minimiser les risques en matière d'exploitation
  • Création de politiques réseau Kubernetes selon l'approche « shift left » par l'analyse des manifestes d'application avant le déploiement
Profil de risques
  • Classement heuristique des déploiements en cours d'exécution en fonction de leur risque global en matière de sécurité, en combinant des facteurs tels que les vulnérabilités, les violations des politiques de configuration et l'activité liée à l'exécution
  • Suivi des changements dans la posture de sécurité des déploiements Kubernetes pour valider l'impact des mesures prises par l'équipe de sécurité
  • Recherche parmi les déploiements en cours d'exécution dans tous les clusters pour modéliser les vecteurs de menaces et identifier les schémas de risque
Gestion des configurations
  • Mise en place de politiques de sécurité et DevOps préintégrées pour identifier les violations de configurations liées aux expositions du réseau, les conteneurs privilégiés, les processus exécutés en tant que root et la conformité avec les normes du secteur
  • Analyse des paramètres de contrôle d'accès basé sur les rôles (RBAC) de Kubernetes pour identifier les privilèges et les erreurs de configuration des comptes de service ou d'utilisateurs
  • Suivi des secrets et détection des déploiements qui utilisent les secrets afin de limiter l'accès
  • Application de politiques de configuration lors de la création avec l'intégration CI/CD et lors du déploiement à l'aide du contrôle d'admission dynamique
Détection des menaces et résolution des incidents pendant l'exécution
  • Surveillance des événements pour détecter les activités anormales indiquant une menace en lien avec des objets Kubernetes
  • Mise en œuvre de réponses automatisées non destructrices à l'aide de contrôles natifs pour Kubernetes avec un impact minimal sur l'exploitation métier
  • Référencement de l'activité des processus au sein des conteneurs afin de placer automatiquement les processus en liste blanche et éliminer le tri manuel
  • Utilisation de politiques préintégrées pour détecter le minage de cryptomonnaies, l'élévation des privilèges et autres exploits
  • Suivi des événements d'administration de Kubernetes et blocage des comportements malveillants
  • Intégration à des systèmes SIEM (Security Information and Event Management) et des solutions SOAR (Security Orchestration, Automation and Response) externes pour faciliter les workflows de correction 
Mesures concernant les politiques de sécurité
  • Identification des faiblesses dans la configuration de la sécurité, notamment les expositions du réseau, les conteneurs privilégiés et les processus exécutés en tant que root, et application de politiques prêtes à l'emploi pendant la création, le déploiement ou l'exécution
  • Création de politiques personnalisées basées sur des composants natifs pour Kubernetes, parmi lesquels les API Kubernetes, les journaux d'audit et les ressources d'espaces de noms
  • Renforcement de la sécurité de la chaîne d'approvisionnement grâce à l'intégration d'Advanced Cluster Security dans des pipelines CI/CD pour vérifier les vulnérabilités connues et les erreurs de configuration avant le déploiement
  • Vérification des signatures d'images pour garantir leur intégrité
  • Analyse des paramètres de contrôle d'accès basé sur les rôles (RBAC) de Kubernetes pour signaler les privilèges et les erreurs de configuration des comptes de service ou d'utilisateurs
  • Suivi des secrets et détection des déploiements qui utilisent les secrets
  • Mise à l'échelle de la gestion des politiques grâce aux étiquettes Kubernetes et à la gestion des politiques en tant que code
Intégrations
  • Mise à disposition d'une API riche et de plug-ins préconçus pour l'intégration aux systèmes DevOps, y compris les outils CI/CD, les outils d'analyse d'images, Sigstore, les registres, les environnements d'exécution de conteneurs, les solutions SIEM et les outils de notification.


Vous souhaitez voir Red Hat Advanced Cluster Security en action ?

Démarrer un essai gratuit