VMware dévoile des fonctionnalités étendues pour la protection des workloads Cloud et visant à sécuriser les conteneurs et les environnements Kubernetes. La nouvelle solution permettra d’offrir une visibilité accrue, de répondre aux exigences de conformité et de renforcer la sécurité des applications conteneurisées, de leur conception à leur mise en production au sein d’environnements de Cloud public et internes.
« Les conteneurs et Kubernetes permettent aux organisations de développer et de moderniser leurs applications à un rythme sans précédent, mais cette innovation augmente également la surface d’attaque », déclare Patrick Morley, vice-président sénior et directeur général de l’unité chargée de la sécurité chez VMware. « Notre solution étend la sécurité aux conteneurs et à Kubernetes, afin de proposer l’une des plateformes de protection des workloads Cloud les plus complètes de l’industrie. En intégrant la sécurité dès le développement et le déploiement des applications, nous comblons le fossé entre les équipes de supervision de la sécurité (SOC) et DevOps, afin d’aider nos clients à réduire les risques liés à l’exécution de conteneurs dans le Cloud. »
De nombreuses entreprises ont été contraintes de migrer leurs ressources rapidement et à grande échelle vers le Cloud pour assurer une continuité d’activité pendant la pandémie. Les équipes de développement s’intéressent aux conteneurs et à Kubernetes pour la rapidité offerte, et la possibilité d’accroître leur capacité de livraison d’applications. Selon le cabinet Gartner, « en 2025, plus de 85 % des entreprises à travers le monde exécuteront des applications conteneurisées en production, ce qui représente une hausse significative par rapport aux quelques 35 % constatés en 2019 ». Les entreprises ont désormais besoin de sécuriser leurs workloads de nouvelle génération, afin de faire face à de nouvelles menaces et de bâtir une infrastructure numérique résiliente.
Mieux sécuriser l’intégralité du cycle de vie des applications Kubernetes
La sécurité est un paramètre particulièrement complexe dans les infrastructures multi-Cloud. VMware Carbon Black Cloud Container intègre cet ingrédient au pipeline d’intégration et de livraison continues (CI/CD), afin d’analyser et de contrôler les risques liés aux applications avant que celles-ci ne soient déployées en production. Développant l’offre VMware Carbon Black Cloud Workload, ces nouvelles fonctionnalités permettront aux entreprises de mieux sécuriser leurs applications conteneurisées au sein d’environnements Kubernetes. La solution place la sécurité au centre des priorités afin de protéger l’intégralité du cycle de vie des applications Kubernetes. Les équipes chargées de la sécurité de l’information (InfoSec) peuvent désormais scanner des conteneurs et des fichiers de configuration Kubernetes très tôt au sein du cycle de développement, afin de corriger leurs vulnérabilités en profitant d’une visibilité incomparable. La solution assure la sécurité et la conformité des environnements Cloud-native de façon continue, dans le but de mieux sécuriser les applications et les données, où qu’elles se trouvent.
Favoriser la collaboration entre équipes InfoSec et DevOps
Avec leur approche d’infrastructure programmable (Infrastructure As Code), les conteneurs et Kubernetes offrent plus de flexibilité aux équipes de développement. Cependant, la sécurité fait souvent obstacle à des déploiements plus rapides en production, et est fréquemment gérée a posteriori. Le module de sécurité des conteneurs de VMware facilitera la collaboration entre équipes InfoSec et DevOps, et leur permettra d’identifier les risques plus tôt au sein du cycle de développement grâce à sa sécurité intégrée. Cette offre étendue offrira une visibilité sans précédent aux équipes transverses, qui pourront ainsi détecter et corriger les vulnérabilités, et profiter d’environnements Kubernetes multi-Cloud simples et plus sécurisés.
Grâce aux fonctionnalités étendues de protection des workloads Cloud de VMware, les professionnels chargés de la sécurité de l’information bénéficieront d’une solution complète :
- Tableau de bord sur la sécurité : cet outil offre une vue combinée sur les vulnérabilités et les erreurs de configuration, et permet ainsi d’examiner entièrement le statut de sécurité pour l’intégralité de l’inventaire de workloads Kubernetes. Les équipes InfoSec et DevOps bénéficient d’une visibilité plus accrue sur la sécurité et la gouvernance de leurs charges de travail à des fins de mise en conformité, et peuvent explorer librement la configuration des workloads Kubernetes à l’aide de requêtes personnalisées.
- Scan et durcissement des images de conteneurs : les équipes InfoSec et DevOps ont la possibilité de scanner l’intégralité des images de conteneurs dans le but d’en identifier les vulnérabilités et de restreindre les registres et dépôts autorisés en production. Elles peuvent également définir des standards minimaux en matière de sécurité et de conformité, générer des rapports de conformité, et suivre les recommandations des références de sécurité CIS ainsi que les meilleures pratiques relatives à Kubernetes.
- Évaluation hiérarchisée des risques : ces évaluations des vulnérabilités permettent aux équipes InfoSec et DevOps d’examiner les images en production, et de ne déployer que celles qu’elles approuvent. Les responsables de la sécurité s’appuieront sur l’évaluation hiérarchisée des risques pour détecter et prévenir les vulnérabilités en scannant les manifestes et clusters Kubernetes.
- Automatisation des politiques de conformité : avec cette fonctionnalité, les équipes InfoSec peuvent entrer en jeu dès le début du cycle de développement, rationaliser le reporting de conformité, et automatiser la création de politiques respectant les standards de l’industrie (dont ceux du National Institute of Standards and Technology, ou NIST), ainsi que les exigences de leurs clients. Tout ceci permet d’assurer l’intégrité des configurations de Kubernetes en contrôlant et en visualisant les workloads déployés sur les clusters d’une organisation. Des politiques personnalisables aident à la mise en application des configurations en bloquant ou en créant des alertes en cas d’exception.
