La sécurité demeure un challenge à relever pour les professionnels recourant à un écosystème Cloud-native, aux conteneurs et à Kubernetes. Les environnements y afférents affichent un manque sur ce plan, rapporte Red Hat à l’issue d’une étude tout juste publiée. Pourtant, l’adoption de l’approche Development – Security – Operations (DevSecOps) croît sans cesse.
Red Hat a récemment publié les résultats de son enquête State of Kubernetes Security 2022. D’après lui, le DevSecOps est de plus en plus utilisé par les entreprises. Nonobstant ce fait, révèle-t-il cependant, la sécurité reste une problématique pour la programmation fondée sur les conteneurs et pour K8s. 93 % des répondants au sondage ont en effet subi au moins un hack durant les 12 derniers mois. Ceci dans leurs infrastructures de conteneurs et K8s, avec souvent pour impact l’amoindrissement des revenus ou des clients.
Un tel risque dissuade parfois certains experts IT de Devenir freelance . Pourtant, travailler comme consultant indépendant procure plusieurs avantages : bonne rémunération, flexibilité, etc.
Les organismes utilisant les écosystèmes Cloud-native risquent, d’après Red Hat, de compromettre la sécurité de leurs applications stratégiques. Ce constat vaut également pour ceux faisant appel à K8s ou aux conteneurs. L’entreprise souligne ainsi l’urgence pour eux d’investir dans des instruments et des stratégies de sécurité afin d’éviter un tel problème . Elle émet en ce sens quelques suggestions :
- Sensibiliser les programmeurs à la sécurité des usagers en érigeant une passerelle entre la sécurité et le DevOps ;
- Exiger la portabilité dans les infrastructures hybrides ;
- Considérer la sécurité largement en amont et l’élargir au cycle de vie entier d’une application ;
- Se servir des vérifications de sécurité et des environnements K8s-native.
Dans ce cadre, la faille CVE-2018-1002105 donne la possibilité à un hacker d’augmenter ses privilèges par l’intermédiaire de K8s. Découverte en décembre 2018, elle apportait un risque potentiellement important pour toute la filière informatique depuis mars 2018. Un analyste chez IDC, Gary Chen, dépeignait l’étendue de cette vulnérabilité :
Il y a déjà eu des failles Kubernetes par le passé, mais c'est certainement la pire. C'est toujours le problème avec les systèmes de contrôle centralisés. Si quelqu'un en prend le contrôle, il peut avoir accès à tout le reste.
Gary Chen
K8s peut faire l’objet d’une grande personnalisation
L’équipe de sécurité de K8s a très vite colmaté cette brèche après que son existence lui a été signalée. Cependant, pour beaucoup d’experts, seules les grandes équipes IT possédant des implémentations K8s peuvent mettre ce dernier régulièrement à jour . Ils ajoutent que cette CVE-2018-1002105 représente un obstacle additionnel aux actualisations rapides de cet orchestrateur, au-delà de la version 1.8.
Le rapport State of Kubernetes Security 2022 affirme que K8s représente un instrument d’orchestration d’agrégat de conteneurs extrêmement personnalisable. Un outil dont les différents choix de paramétrage affectent la sécurité des applications. Pour paramétrer K8s de façon plus sûre, les applications de sécurité doivent fournir les barrières. L’exécution représente l’étape du cycle de vie des conteneurs qui préoccupe le plus les organismes. Cependant, les incidents de sécurité relatifs à l’exécution découlent en majorité de défauts au préalable. Ils proviennent surtout d’un mauvais paramétrage lors de l’intégration ou de la fabrication d’une application .