À propos de nous Commencer un essai gratuit Contactez-nous
Français
English Deutsch Français 日本語 Español Svenska 中文

Le guide complet de la sécurité de Kubernetes

Archana Mahtani

Published on 05 May 2022

Sécurité de Kubernetes

La plupart des discussions sur la sécurité de Kubernetes® portent sur la difficulté de sécuriser un cluster. Il est assez difficile de protéger chaque couche d'un système Kubernetes en raison du fait que Kubernetes ne fournit qu'une poignée d'options de sécurité natives. Il est vrai que Kubernetes dispose de peu de solutions de sécurité intégrées et que la protection de Kubernetes implique de traiter plusieurs types de vulnérabilités possibles sur plusieurs niveaux d'infrastructure.

Cela ne signifie pas pour autant que la sécurité de Kubernetes doit être considérée comme une tâche impossible. En réalité, le fait que Kubernetes soit une plateforme aussi vaste avec autant d’interfaces crée une opportunité : elle permet de développer facilement un ensemble d’opérations automatisées et systématiques qui intègrent la sécurité dans le processus de création et de déploiement de Kubernetes. Le résultat est une politique de sécurité étroitement intégrée qui atténue les attaques à tous les niveaux et couches de votre pile.

Ce livre électronique décrit comment développer une stratégie de sécurité qui améliore plutôt qu'entrave vos autres opérations basées sur Kubernetes. Il identifie les défis de sécurité de Kubernetes à partir du nœud et identifie des solutions spécifiques pour résoudre chacun d'entre eux, en mettant l'accent sur des approches automatisées et évolutives qui maintiendront la sécurité des charges de travail basées sur Kubernetes, quelle que soit la taille du cluster ou le type d'infrastructure (sur site, cloud public, service géré).

Kubernetes est une bête multidimensionnelle

Tout d’abord, il est essentiel de reconnaître que Kubernetes est une plateforme complexe composée de plus d’une demi-douzaine de composants. Elle contient un serveur API pour faciliter la communication entre les composants du cluster, un planificateur pour gérer la distribution des charges de travail et des contrôleurs pour gérer l’état de Kubernetes lui-même. Elle se compose également d’un agent qui fonctionne sur chaque nœud ou serveur d’un cluster, ainsi que d’un magasin de clés-valeurs contenant les données de configuration du cluster.

Protections de sécurité natives de Kubernetes

La sécurité de Kubernetes est encore compliquée par le fait que, bien qu'elle dispose de certaines mesures de sécurité intégrées, elle ne peut pas se sécuriser sans l'aide de technologies supplémentaires. Kubernetes permet aux administrateurs de créer des règles de contrôle d'accès basé sur les rôles (RBAC) pour protéger les ressources du cluster contre les accès indésirables. En outre, ils peuvent établir des règles de sécurité des pods et des politiques réseau pour interdire certaines formes d'utilisation abusive des pods et du réseau.

Pour atténuer l'interruption causée par un attaquant qui compromet une partie du cluster, il peut appliquer des limites de ressources. Avec des limites de ressources en place, l'attaquant ne sera pas en mesure de lancer une attaque par déni de service en privant le reste du cluster de ressources adéquates pour fonctionner (à condition, bien sûr, que la violation ne se propage pas au-delà de la partie du cluster d'où elle provient).

Environnements de développement intégrés

Les environnements de développement intégrés (IDE) sont les outils couramment utilisés par les développeurs pour créer le code source des applications. Un IDE doit être le point de départ de l'analyse des vulnérabilités en tant qu'outil qui lance le processus de déploiement de l'application. La majorité des IDE peuvent interagir avec une gamme d'analyseurs de vulnérabilité de code source tiers pour identifier d'éventuelles vulnérabilités de sécurité dans le code d'application.

Intégration intégrative

Les technologies d'intégration continue (CI) hébergent le code source et le transforment en binaires déployables par Kubernetes. Elles représentent une phase supplémentaire d'analyse des vulnérabilités du code. Les serveurs CI sont interopérables avec une gamme d'analyseurs de vulnérabilités, similaires aux IDE.

Gestion de la configuration

Actuellement, la majorité des pipelines de création et de déploiement d’applications Kubernetes dépendent de l’infrastructure en tant que code (IaC) et des fichiers YAML pour une gestion de configuration automatisée et basée sur des politiques.


Téléchargez le livre blanc de Prisma Cloud pour en savoir plus sur le guide complet de la sécurité Kubernetes uniquement sur Whitepapers Online.

Icon
THANK YOU

You will receive an email with a download link. To access the link, please check your inbox or spam folder