{"id":248684,"date":"2022-05-21T16:09:00","date_gmt":"2022-05-21T13:09:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=248684"},"modified":"2023-06-19T03:59:32","modified_gmt":"2023-06-19T00:59:32","slug":"les-conteneurs-sont-partout-comment-les-securiser","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/fr\/les-conteneurs-sont-partout-comment-les-securiser\/","title":{"rendered":"Les conteneurs sont partout : comment les s\u00e9curiser ?"},"content":{"rendered":"\n

Les conteneurs sont de plus en plus nombreux chaque jour et semblent \u00eatre partout, car les organisations sont impatientes de profiter des nombreux avantages qu’ils offrent, tels que le d\u00e9veloppement et le d\u00e9ploiement agiles d’applications<\/strong> sur toutes les plateformes.<\/p>\n

Beaucoup pensent \u00e9galement que l’utilisation de conteneurs peut les aider \u00e0 minimiser les contraintes de s\u00e9curit\u00e9 en raison de leur courte dur\u00e9e de vie. Est-ce vrai ou juste une autre id\u00e9e fausse?<\/p>\n

Bien que les conteneurs ne pr\u00e9sentent pas d’ins\u00e9curit\u00e9s inh\u00e9rentes, ils sont souvent d\u00e9ploy\u00e9s de mani\u00e8re non s\u00e9curis\u00e9e, ce qui entra\u00eene de nombreux probl\u00e8mes de s\u00e9curit\u00e9.<\/p>\n

D\u00e9fis de s\u00e9curit\u00e9 lors du d\u00e9ploiement de conteneurs<\/h2>\n

Le nombre, la polyvalence et l’\u00e9tat \u00e9ph\u00e9m\u00e8re des conteneurs d\u00e9ploy\u00e9s, ainsi que le fait que les conteneurs doivent communiquer avec d’autres entit\u00e9s, emp\u00eachent les organisations de poss\u00e9der une visibilit\u00e9 ad\u00e9quate du trafic inter-conteneurs.<\/p>\n

Gr\u00e2ce \u00e0 ce manque de visibilit\u00e9, les conteneurs sont souvent oubli\u00e9s, et les mesures de pr\u00e9vention des intrusions et les contr\u00f4les de s\u00e9curit\u00e9 deviennent inefficaces, augmentant la surface d’attaque et donc le risque global de l’entreprise. De plus, le manque de visibilit\u00e9 peut entra\u00eener un manque de responsabilit\u00e9, car les conteneurs traversent diff\u00e9rents environnements, du d\u00e9veloppement \u00e0 la production.<\/p>\n

Un autre d\u00e9fi de s\u00e9curit\u00e9 li\u00e9 aux conteneurs est la mauvaise gestion des vuln\u00e9rabilit\u00e9s. Par exemple, lors du clonage d’images existantes pour cr\u00e9er de nouveaux conteneurs, leurs vuln\u00e9rabilit\u00e9s seront \u00e9galement r\u00e9pliqu\u00e9es.<\/p>\n

Cela met en \u00e9vidence la n\u00e9cessit\u00e9 pour la s\u00e9curit\u00e9 de faire partie int\u00e9grante de la strat\u00e9gie organisationnelle des conteneurs<\/a>. Sinon, des erreurs de configuration et des correctifs manquants peuvent \u00eatre \u00e0 l’origine du d\u00e9ploiement et de l’ex\u00e9cution d’images non autoris\u00e9es dans des environnements de production, entra\u00eenant une surface d’attaque accrue et des attaques plus r\u00e9ussies.<\/p>\n

Enfin, \u00e9tant donn\u00e9 que les conteneurs utilisent un noyau de syst\u00e8me d’exploitation partag\u00e9, une compromission du noyau du syst\u00e8me d’exploitation h\u00f4te par un conteneur malveillant peut entra\u00eener une perte d’acc\u00e8s \u00e0 tout ou partie des conteneurs en cours d’ex\u00e9cution<\/a> sur l’h\u00f4te, ainsi qu’\u00e0 d’autres h\u00f4tes potentiels sur le r\u00e9seau.<\/p>\n

Comment s\u00e9curiser vos conteneurs<\/h2>\n

Peut-\u00eatre que la meilleure pratique pour s\u00e9curiser votre environnement conteneuris\u00e9 est de reconna\u00eetre la n\u00e9cessit\u00e9 de le faire. Hormis ce concept fondamental, il y a quelques bons conseils \u00e0 suivre pour s\u00e9curiser efficacement vos conteneurs.<\/p>\n

Avoir une visibilit\u00e9 sur vos conteneurs<\/h2>\n

Avant de d\u00e9ployer un conteneur, assurez-vous de bien comprendre ses d\u00e9pendances et ce qu’il contient. Pour vous assurer que vos images de conteneurs sont impeccables, vous devez gagner en visibilit\u00e9 \u00e0 chaque \u00e9tape, du d\u00e9veloppement \u00e0 la production.<\/p>\n

Ne pas faire confiance au logiciel d’un conteneur est un excellent point de d\u00e9part. Vous devez le v\u00e9rifier tr\u00e8s attentivement pour comprendre "d’o\u00f9 ils viennent, comment ils ont \u00e9t\u00e9 produits et leurs sources correspondantes", comme l’a soulign\u00e9 Dirk Hohndel, vice-pr\u00e9sident de VMware, lors de l’ Open Source Leadership Summit 2019<\/a>.<\/p>\n

En un mot, v\u00e9rifiez le contenu de vos conteneurs avant de les d\u00e9ployer et n’ex\u00e9cutez jamais un conteneur avec un logiciel inconnu ou obsol\u00e8te. Ce n’est pas parce qu’une image de conteneur pr\u00e9tend contenir les programmes et les biblioth\u00e8ques les plus r\u00e9cents et les plus performants qu’elle le fait r\u00e9ellement.<\/p>\n

Une fa\u00e7on d’att\u00e9nuer ce probl\u00e8me consiste \u00e0 utiliser des applications qui peuvent vous aider \u00e0 nettoyer vos conteneurs<\/a>. Bien que je n’aime pas r\u00e9inventer la roue, la meilleure approche est peut-\u00eatre d’arr\u00eater d’utiliser les images de conteneurs d’autres personnes.<\/p>\n

Si vous, tout comme Hercules, prenez la route plus difficile de Virtue et commencez \u00e0 cr\u00e9er vos propres images de conteneurs, vous aurez une bien meilleure compr\u00e9hension de ce qui se passe dans les conteneurs, ce qui a des avantages au-del\u00e0 de la s\u00e9curit\u00e9.<\/p>\n

Contr\u00f4ler l’acc\u00e8s root<\/h2>\n

La plupart des conteneurs sont construits avec un acc\u00e8s root par d\u00e9faut. Cependant, il s’agit d’une pratique discutable. Bien qu’il soit plus facile pour les d\u00e9veloppeurs d’ex\u00e9cuter des conteneurs en tant que root, l’acc\u00e8s root pr\u00e9sente d’\u00e9normes risques.<\/p>\n

Il existe plusieurs approches pour traiter ce probl\u00e8me. Une fa\u00e7on consiste \u00e0 v\u00e9rifier une politique d’entreprise selon laquelle aucun conteneur n’est jamais autoris\u00e9 \u00e0 s’ex\u00e9cuter en tant que racine. Une autre fa\u00e7on consiste \u00e0 appliquer le principe du moindre privil\u00e8ge. Vous pouvez sp\u00e9cifier un utilisateur non root dans le Dockerfile, lorsque vous cr\u00e9ez une image de conteneur, pour ex\u00e9cuter le conteneur en tant qu’utilisateur sp\u00e9cifique avec l’acc\u00e8s syst\u00e8me minimum requis.<\/p>\n

Enfin, vous pouvez \u00e9galement utiliser l’espace de noms d’utilisateur<\/a> lors de l’ex\u00e9cution de processus de conteneur privil\u00e9gi\u00e9s pour aider les conteneurs s\u00e9curis\u00e9s. Avec cette m\u00e9thode, l’UID pour ex\u00e9cuter ces processus dans le conteneur est z\u00e9ro (qui est la racine), mais \u00e0 l’ext\u00e9rieur du conteneur, l’UID est le 1000 non privil\u00e9gi\u00e9.<\/p>\n

V\u00e9rifier l’ex\u00e9cution du conteneur<\/h2>\n

Le SP 800-190 \u00abApplication Container Security Guide<\/a>\u00bb du National Institute of Standards and Technology (NIST) indique que les environnements d’ex\u00e9cution des conteneurs sont \u00e9galement vuln\u00e9rables aux attaques. Bien qu’il ne s’agisse pas d’une faille de s\u00e9curit\u00e9 courante, le NIST souligne que les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 d’ex\u00e9cution des conteneurs peuvent \u00eatre \u00ab\u00a0particuli\u00e8rement dangereuses<\/strong>\u00a0\u00bb si elles autorisent des sc\u00e9narios dans lesquels des logiciels malveillants peuvent attaquer des ressources dans d’autres conteneurs et le syst\u00e8me d’exploitation h\u00f4te lui-m\u00eame.<\/p>\n

Un attaquant peut \u00e9galement \u00eatre en mesure d’exploiter des vuln\u00e9rabilit\u00e9s pour compromettre le logiciel d’ex\u00e9cution lui-m\u00eame, puis modifier ce logiciel afin qu’il permette \u00e0 l’attaquant d’acc\u00e9der \u00e0 d’autres conteneurs, de surveiller les communications de conteneur \u00e0 conteneur, etc.<\/p>\n

Les probl\u00e8mes de s\u00e9curit\u00e9 sont beaucoup plus fr\u00e9quents avec les configurations d’ex\u00e9cution. Les runtimes de conteneur exposent g\u00e9n\u00e9ralement de nombreuses options configurables. Leur configuration incorrecte peut r\u00e9duire la s\u00e9curit\u00e9 relative du syst\u00e8me.<\/p>\n

Par exemple<\/strong>, sur les h\u00f4tes de conteneur Linux, l’ensemble des appels syst\u00e8me autoris\u00e9s est souvent limit\u00e9 par d\u00e9faut \u00e0 ceux requis pour un fonctionnement s\u00fbr des conteneurs. Si cette liste est \u00e9largie, cela peut exposer les conteneurs et le syst\u00e8me d’exploitation h\u00f4te \u00e0 un risque accru d’un conteneur compromis.<\/p>\n

De m\u00eame, si un conteneur est ex\u00e9cut\u00e9 en mode privil\u00e9gi\u00e9, il a acc\u00e8s \u00e0 tous les p\u00e9riph\u00e9riques de l’h\u00f4te, ce qui lui permet d’agir essentiellement dans le cadre du syst\u00e8me d’exploitation h\u00f4te et d’avoir un impact sur tous les autres conteneurs qui y sont ex\u00e9cut\u00e9s.<\/p>\n

Un autre exemple de configuration d’ex\u00e9cution non s\u00e9curis\u00e9e consiste \u00e0 autoriser les conteneurs \u00e0 monter des r\u00e9pertoires sensibles sur l’h\u00f4te. Si un conteneur compromis peut apporter des modifications \u00e0 ces chemins, il peut \u00eatre utilis\u00e9 pour \u00e9lever les privil\u00e8ges et attaquer l’h\u00f4te lui-m\u00eame ainsi que d’autres conteneurs ex\u00e9cut\u00e9s sur l’h\u00f4te.<\/p>\n

Renforcer le syst\u00e8me d’exploitation<\/h2>\n

Le NIST recommande \u00e9galement d’ ex\u00e9cuter un syst\u00e8me d’exploitation sp\u00e9cifique au conteneur,<\/a> car les menaces sont g\u00e9n\u00e9ralement plus minimes, car les syst\u00e8mes d’exploitation sont sp\u00e9cifiquement con\u00e7us pour h\u00e9berger des conteneurs et ont d’autres services et fonctionnalit\u00e9s d\u00e9sactiv\u00e9s.<\/p>\n

De plus, comme ces syst\u00e8mes d’exploitation optimis\u00e9s sont con\u00e7us sp\u00e9cifiquement pour h\u00e9berger des conteneurs, ils comportent g\u00e9n\u00e9ralement des syst\u00e8mes de fichiers en lecture seule et utilisent d’autres pratiques de renforcement par d\u00e9faut. Dans la mesure du possible, les organisations doivent utiliser ces syst\u00e8mes d’exploitation minimalistes pour r\u00e9duire leurs surfaces d’attaque et att\u00e9nuer les risques typiques et les activit\u00e9s de renforcement associ\u00e9s aux syst\u00e8mes d’exploitation \u00e0 usage g\u00e9n\u00e9ral.<\/p>\n

Les organisations qui ne peuvent pas utiliser un syst\u00e8me d’exploitation sp\u00e9cifique au conteneur doivent suivre les instructions du NIST SP 800-123, Guide to General Server Security<\/a> pour r\u00e9duire autant que possible la surface d’attaque de leurs h\u00f4tes.<\/p>\n

Par exemple<\/strong>, les h\u00f4tes qui ex\u00e9cutent des conteneurs ne doivent ex\u00e9cuter que des conteneurs et non d’autres applications, comme un serveur Web ou une base de donn\u00e9es, en dehors des conteneurs. Le syst\u00e8me d’exploitation h\u00f4te ne doit pas ex\u00e9cuter de services syst\u00e8me inutiles, tels qu’un spouleur d’impression, qui augmentent sa surface d’attaque.<\/p>\n

Enfin, les h\u00f4tes doivent \u00eatre analys\u00e9s en permanence pour d\u00e9tecter les vuln\u00e9rabilit\u00e9s et les mises \u00e0 jour doivent \u00eatre appliqu\u00e9es rapidement, non seulement \u00e0 l’ex\u00e9cution du conteneur, mais \u00e9galement aux composants de niveau inf\u00e9rieur tels que le noyau sur lequel les conteneurs s’appuient pour un fonctionnement s\u00e9curis\u00e9 et compartiment\u00e9.<\/p>\n

La s\u00e9curit\u00e9 des conteneurs est une priorit\u00e9 absolue<\/h2>\n

Avec de plus en plus d’entreprises adoptant et d\u00e9ployant des conteneurs, leur s\u00e9curit\u00e9 devient une priorit\u00e9 commerciale majeure. Selon un r\u00e9cent sondage<\/a>, 94 %<\/strong> des personnes interrog\u00e9es ont subi un incident de s\u00e9curit\u00e9 dans leurs environnements de conteneurs. Cela ne fait que souligner \u00e0 quel point il est important d’obtenir des droits de s\u00e9curit\u00e9 sur les conteneurs pour prot\u00e9ger votre entreprise et vos clients.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Les conteneurs sont de plus en plus nombreux chaque jour et semblent \u00eatre partout, car les organisations sont impatientes de profiter des nombreux avantages qu’ils offrent, tels que le d\u00e9veloppement et le d\u00e9ploiement agiles d’applications sur toutes les plateformes.<\/p>\n","protected":false},"author":1,"featured_media":243869,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8587,8475,8433],"tags":[],"class_list":["post-248684","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-divers","category-vpn-et-confidentialite","category-vpn-pour-ordinateurs"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/posts\/248684","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/comments?post=248684"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/posts\/248684\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/media\/243869"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/media?parent=248684"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/categories?post=248684"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/fr\/wp-json\/wp\/v2\/tags?post=248684"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}