Liste de Contrôle de la Sécurité des Conteneurs : Importance & Erreurs

Dans une interprétation indirecte du principe de Kerckhoff en cryptographie – un système cryptographique doit rester sécurisé même si tout, sauf la clé, est connu de l’attaquant.

Ce principe est à la base d’une vérité importante concernant la sécurité moderne, à savoir que l’obscurcissement n’est pas nécessairement une protection. De même, la conteneurisation, un outil puissant dans le déploiement logiciel moderne, peut empêcher les mouvements latéraux au sein d’un réseau si elle est correctement mise en œuvre, mais elle n’empêche pas une application à l’intérieur du conteneur d’être compromise.

Les conteneurs offrent de la commodité, mais sans une sécurité robuste, ils comportent également des risques. Sans surprise, 60 % des images de conteneurs exécutées en production présentent des vulnérabilités connues, créant une porte ouverte aux cybermenaces.

Alors, comment protéger vos conteneurs contre d’éventuelles violations ? La réponse commence par une liste de contrôle complète de la sécurité des conteneurs qui traite les vulnérabilités à chaque couche, garantissant qu’aucune faille ne soit laissée exposée.

Dans cet article, nous partageons avec vous une liste de contrôle de la sécurité des conteneurs ainsi que quelques bonnes pratiques qui vous aideront à créer une forteresse impénétrable pour sécuriser vos conteneurs.

Qu’est-ce que la sécurité des conteneurs ?

La sécurité des conteneurs est le processus de protection des applications conteneurisées, ainsi que de l’infrastructure qui les prend en charge, contre les vulnérabilités et les menaces tout au long de leur cycle de vie.

Cela inclut la sécurisation de l’ensemble de la pile, du moteur de conteneur, du système d’exploitation hôte, de la plateforme d’orchestration (comme Kubernetes) jusqu’aux conteneurs eux-mêmes.

Un élément clé de la sécurité des conteneurs est l’analyse continue, depuis les images de base jusqu’au code applicatif à l’intérieur des conteneurs.

Vous devez surveiller activement les risques à l’exécution pouvant indiquer une attaque tout en vous assurant que les images de conteneurs utilisées proviennent de sources fiables et sont exemptes de vulnérabilités connues.

Vous devez également exécuter l’isolation du conteneur de manière irréprochable. Vérifiez minutieusement les éventuels points faibles — élévation de privilèges, réseaux mal configurés, etc.

Il existe plusieurs autres mesures que vous pouvez prendre pour éliminer activement les menaces de votre environnement. Avec un ensemble solide de protocoles ou de listes de contrôle de sécurité des conteneurs incluant diverses pratiques, outils et politiques, vous pouvez protéger l’ensemble du cycle de vie du conteneur — du développement et du déploiement à l’exécution et à la mise hors service.

Importance d’une liste de contrôle de la sécurité des conteneurs

Les environnements de conteneurs sont un labyrinthe de composants en mouvement. Et si vous souhaitez gérer leur sécurité, vous avez besoin d’un système. Garder des directives ou des listes de contrôle à portée de main peut réduire le temps nécessaire au déploiement réussi d’un conteneur Docker ou Kubernetes entièrement sécurisé.

Outre le gain de temps, une liste de contrôle de sécurité présente plusieurs autres avantages :

1. Standardisation : Standardiser chaque étape du cycle de vie du conteneur est essentiel pour garantir l’uniformité et éviter les erreurs critiques. Lorsque plusieurs personnes travaillent ensemble, il y a toujours un risque d’erreur humaine. Des directives claires sur les tâches permettent à chacun d’être aligné et facilitent le bon déroulement des opérations.
2. Couverture complète : Les environnements conteneurisés comportent plusieurs éléments constitutifs, tels que les images, registres, réseaux et exécution. Effectuer une vérification avant l’intégration de ces éléments dans le système devrait être obligatoire. Cela peut inclure l’analyse des images, les contrôles d’accès, la segmentation réseau et la surveillance à l’exécution.
3. Efficacité et cohérence : Une liste de contrôle est une étape supplémentaire pour garantir la sécurité d’un conteneur, offrant à vos opérations un avantage en termes d’efficacité et de cohérence. De plus, vos équipes disposeront d’un point de référence sur les bonnes pratiques de sécurité, réduisant ainsi le risque d’oubli d’une étape.
4. Conformité : Compte tenu du nombre croissant de cybermenaces et de violations de données, les gouvernements et organismes de réglementation ont défini des exigences strictes. Une liste de contrôle de sécurité des conteneurs bien définie aide à garantir la conformité en appliquant les bonnes pratiques telles que le contrôle d’accès basé sur les rôles (RBAC), l’analyse des images et le respect des benchmarks CIS pour Docker et Kubernetes. Elle garantit également la journalisation et la surveillance pour les audits et répond aux exigences de cadres tels que le RGPD, HIPAA ou PCI-DSS.
5. Atténuation proactive des menaces : Il est toujours judicieux de parcourir l’ensemble du cycle de vie du conteneur deux fois avant de le déployer, et une liste de contrôle vous y aide. Le premier passage garantit que toutes les mesures de sécurité sont mises en œuvre, tandis que le second sert d’étape de validation pour détecter toute configuration manquée ou menace émergente avant qu’elle ne devienne un problème critique.

Les 10 listes de contrôle clés pour la sécurité des conteneurs

Maintenant que nous avons établi l’importance de la liste de contrôle de la sécurité des conteneurs, il est temps d’approfondir et de comprendre quels contrôles de sécurité vous devez mettre en œuvre.

Voici une liste de contrôle de sécurité Docker et Kubernetes qui récapitule de manière concise toutes les étapes que votre protocole de sécurité doit inclure :

1. Sécurité des images

•  Utilisez des images de base fiables et vérifiées provenant de dépôts officiels.
•  Restreignez qui peut pousser/télécharger des images vers/depuis le registre
•  Analysez régulièrement les images de conteneurs à la recherche de vulnérabilités.
•  Bloquez le déploiement d’images vulnérables ou limitez leur accès réseau
•  Détectez les données sensibles telles que les clés ou jetons avant de pousser les images
•  Assurez-vous que les images sont minimales, ne contenant que les dépendances nécessaires.
•  Mettez en place la correction et la mise à jour automatisées des images.

2. Accès et permissions

•  Évitez d’exécuter les conteneurs avec des privilèges root.
• Empêchez les conteneurs d’obtenir des privilèges excessifs ou d’effectuer des appels système inutiles.
•  Appliquez le principe du moindre privilège pour les conteneurs et les utilisateurs.
•  Contrôlez quels conteneurs peuvent modifier certains fichiers ou répertoires.
• Utilisez PodSecurity Admission pour restreindre l’accès aux capacités et ressources sensibles.
•  Utilisez le contrôle d’accès basé sur les rôles (RBAC) pour limiter l’accès aux points de terminaison API critiques et aux actions sur les ressources de conteneur telles que `get`, `list`, `watch`, ou `secrets.`
•  Utilisez l’authentification multifacteur (MFA) pour accéder aux environnements de conteneurs.

3. Sécurité réseau

•  Isolez les conteneurs à l’aide de la segmentation réseau (par exemple, politiques réseau Docker).
•  Protégez les services exposés au public en filtrant le trafic sur différents ports et protocoles.
•  Utilisez des communications chiffrées (par exemple, TLS) pour les données en transit.
•  Utilisez des contrôles de couche 7 avec un service mesh et une inspection approfondie des paquets pour appliquer les politiques HTTP/HTTPS.
• Restreignez le trafic des couches 3 et 4 en contrôlant l’accès basé sur les adresses IP et les ports.
• Vérifiez que le plugin Container Network Interface (CNI) choisi prend en charge les politiques réseau Kubernetes.
• Appliquez des politiques réseau d’entrée et de sortie à toutes les charges de travail, avec des politiques par défaut qui refusent tout le trafic.
• Assurez-vous que les composants critiques (API Kubernetes, API Kubelet, etc.) ne sont pas exposés publiquement.
• Chiffrez le trafic et utilisez le Mutual TLS (mTLS) pour authentifier la communication des charges de travail au sein des clusters.

4. Sécurité à l’exécution

•  Surveillez le comportement des conteneurs à l’exécution pour détecter toute activité suspecte.
•  Limitez l’accès des conteneurs aux ressources de l’hôte en utilisant les modules de sécurité Linux.
•  Mettez en place des limites de ressources (CPU, mémoire) pour prévenir les attaques par déni de service.
• Restreignez l’accès à l’API d’exécution et au démon pour empêcher toute altération des conteneurs en cours d’exécution.
•  Consignez et auditez toutes les activités des conteneurs en temps réel.

5. Gestion des vulnérabilités et des correctifs

• Analysez régulièrement les conteneurs et les systèmes hôtes à la recherche de vulnérabilités.
• Analysez les fichiers de configuration pour la conformité dans votre pipeline d’intégration continue, et intégrez des vérifications automatisées des mauvaises configurations de sécurité.
• Utilisez la signature d’image (Docker Content Trust) pour vérifier l’intégrité des images de conteneurs.
• Effectuez une analyse statique du code pour identifier les vulnérabilités dans le code applicatif et ses dépendances.

6. Gestion des secrets

•  Stockez les données sensibles (clés API, mots de passe) dans des outils de gestion des secrets.
•  Évitez de coder en dur les secrets dans les images de conteneurs ou les variables d’environnement.
• Effectuez des audits périodiques et examinez qui a accès à l’API Secrets et faites tourner les clés de chiffrement.
• Chiffrez les données au repos en configurant le serveur API Kubernetes pour chiffrer les données secrètes dans etcd, pour une couche de protection supplémentaire.
• Configurez les jetons avec des périodes d’expiration plus courtes pour réduire l’impact d’un jeton compromis.

7. Sécurité de l’orchestration

•  Sécurisez les orchestrateurs de conteneurs (par exemple, Docker) avec des contrôles d’accès stricts.
•  Activez le contrôle d’accès basé sur les rôles (RBAC) et assurez le moindre privilège pour les utilisateurs et comptes de service.
• Mettez en place un contrôle de version (tel que Git) pour les définitions et configurations des services d’orchestration.
•  Activez la journalisation de toutes les requêtes API vers le plan de contrôle de l’orchestrateur (par exemple, logs d’audit dans Kubernetes)

8. Configuration sécurisée

•  Désactivez les services ou ports inutiles dans les conteneurs.
•  Utilisez des systèmes de fichiers en lecture seule pour les conteneurs qui n’ont pas besoin d’accès en écriture.
•  Assurez-vous que les conteneurs sont sans état et immuables autant que possible.

9. Sauvegarde et reprise après sinistre

•  Sauvegardez régulièrement les configurations des conteneurs et les données applicatives.
• Assurez la cohérence des sauvegardes en utilisant les commandes de sauvegarde snapshot etcd pour effectuer une sauvegarde à un instant donné.
• Effectuez des simulations de sinistre où vous provoquez intentionnellement la défaillance d’un composant du cluster et validez que le processus de restauration fonctionne comme prévu.

10. Conformité et audit

•  Assurez la conformité avec les normes de sécurité du secteur (par exemple, RGPD, PCI-DSS).
•  Auditez régulièrement les politiques de sécurité des conteneurs, les journaux et les configurations de contrôle d’accès.
•  Réalisez régulièrement des tests d’intrusion sur les environnements de conteneurs.

Bonnes pratiques de sécurité des conteneurs

Bien que nous vous ayons fourni une liste de contrôle de la sécurité des conteneurs, voici quelques bonnes pratiques qui renforcent la sécurité de vos environnements conteneurisés :

1. Utilisez des images de base fiables : La base de votre conteneur repose sur les images. Veillez donc à les obtenir auprès d’une source réputée. Optez également pour un outil d’analyse automatisée des images et de correctifs réguliers. Utilisez des outils qui s’intègrent directement à votre pipeline CI/CD pour vérifier les images de base à chaque étape.
2. Appliquez le principe du moindre privilège : Limitez les privilèges des conteneurs. Évitez d’exécuter les conteneurs en tant que root et restreignez l’accès aux ressources système pour anticiper les vecteurs de menace potentiels. Utilisez les benchmarks CIS pour renforcer l’OS hôte en limitant les services au strict minimum et envisagez des outils comme SentinelOne pour réduire la surface d’attaque au niveau des appels système. Ceci est important car les conteneurs partagent le noyau de l’hôte.
3. Sécurisez l’Infrastructure as Code (IaC) : Pour éviter que des configurations risquées n’atteignent la production, vous pouvez utiliser des modèles IaC comme les manifestes Kubernetes qui analysent les violations de politiques et les mauvaises configurations (telles que des rôles IAM trop permissifs ou des ports exposés) avant le déploiement.
4. Renforcement de la configuration cloud : Assurez l’isolation des ressources cloud via des VPC et des réseaux privés, et renforcez les services cloud en appliquant le contrôle d’accès au moindre privilège. Mettez en place une surveillance continue des mauvaises configurations cloud (comme des buckets S3 ouverts ou des interfaces de gestion exposées).
5. Réduisez les vulnérabilités externes : Les vulnérabilités dans les dépendances tierces (principalement détectées lors des builds) peuvent introduire des faiblesses dans vos applications. Vous pouvez automatiser l’analyse des dépendances pour les CVE connus dans les dépendances OS et applicatives. Mettez régulièrement à jour les bibliothèques et les packages.
6. Contrôles de benchmark pour l’orchestrateur et l’exécution : Utilisez les contrôles de sécurité de l’orchestrateur tels que les admission controllers Kubernetes pour appliquer les politiques de sécurité avant le déploiement. Mettez en œuvre des vérifications de benchmark à l’exécution (par exemple, benchmarks CIS Kubernetes) pour auditer régulièrement les orchestrateurs et les conteneurs en cours d’exécution.
7. Segmentation réseau : Créez et appliquez des politiques pour contrôler le trafic des conteneurs et réduire la surface d’attaque. La micro-segmentation des charges de travail conteneurisées limite l’impact d’une violation et améliore la sécurité réseau.
8. Limitation des ressources : En appliquant des limites de ressources à chaque conteneur (CPU, mémoire, stockage), vous pouvez empêcher qu’un conteneur n’épuise les ressources système. Si les ressources système sont saturées, vous risquez des problèmes de conditions de service et d’autres incidents opérationnels.
9. Surveillez et journalisez l’activité : Vous devez pouvoir répondre aux menaces en temps réel. Utilisez des outils offrant une visibilité sur le comportement des conteneurs, vous permettant d’identifier et de neutraliser rapidement les menaces.
10. Sécurisez le pipeline CI/CD : Assurez la sécurité de votre pipeline CI/CD en intégrant des contrôles à chaque étape du cycle de vie du conteneur, du commit de code au déploiement. Cela permet d’éviter l’introduction de vulnérabilités lors du développement.
11. Automatisez les mises à jour de sécurité : Utilisez des outils d’automatisation pour appliquer les correctifs de sécurité et les mises à jour aux conteneurs et orchestrateurs sans interruption de service.
12. Conformité et application des politiques : Auditez régulièrement les conteneurs pour respecter les politiques organisationnelles et réglementaires. Utilisez des outils d’application des politiques pour appliquer les règles de sécurité sur tous les environnements et maintenir des standards de sécurité et de conformité cohérents.

Erreurs courantes à éviter en matière de sécurité des conteneurs

En février 2019, l’équipe Docker a annoncé publiquement la vulnérabilité CVE-2019-5736. En raison de cette faille, des attaquants pouvaient écraser le binaire de l’hôte, accéder au système hôte et exécuter des commandes en tant que root depuis un conteneur.

Plusieurs organisations, dont AWS, RedHat et Microsoft Azure, ont également identifié cette vulnérabilité et appliqué des correctifs à leurs produits.

En 2021, la vulnérabilité CVE-2021-3490 exploitait une faille du noyau Linux liée à l’extended Berkeley Packet Filter (eBPF).

Cette faille permettait aux attaquants d’exécuter du code arbitraire sur l’hôte depuis des conteneurs compromis ayant accès à eBPF via les profils seccomp par défaut de Kubernetes. Ces profils ne restreignaient pas les appels système requis, exposant certaines configurations.

Ces incidents démontrent qu’une seule négligence dans la sécurité de vos conteneurs peut compromettre l’intégrité de vos applications et exposer votre environnement à des risques.

Voici d’autres erreurs courantes à surveiller :

• Supposer que les images publiques sont sécurisées peut conduire à des déploiements compromis. Ne faites jamais confiance à des images externes sans un examen approfondi par des développeurs expérimentés.
• Exposer les conteneurs à trop de canaux ouverts augmente la surface d’attaque. Évitez de laisser des conteneurs exposés avec des permissions root et examinez les interactions réseau pour détecter d’éventuels points faibles.
• Ne pas vérifier et analyser les bibliothèques de code à la recherche de vulnérabilités avant de les intégrer dans les conteneurs
• Ne pas tenir de registres précis des journaux peut rendre difficile la détection rapide des problèmes de sécurité.
• Ignorer la sécurité du pipeline CI/CD, comme sauter les contrôles de sécurité lors du build et du déploiement, peut introduire des vulnérabilités dès le début du développement.

SentinelOne Cloud Workload Security pour les conteneurs

Vous avez besoin d’une stratégie unifiée sur tous les nœuds pour sécuriser efficacement tous vos environnements conteneurisés. Q2 est un fournisseur de services financiers de premier plan pour plus de 1200 banques, coopératives et institutions financières. Avec plus de 22 millions d’utilisateurs finaux et 65 000 conteneurs dans le cloud public, Q2 a déployé SentinelOne Cloud Workload Security pour les conteneurs sur l’ensemble de ses environnements. Et comme Q2, vous pouvez également bénéficier de plusieurs fonctionnalités et avantages de cette solution, garder le contrôle sur toute anomalie et maintenir une posture de sécurité solide.

Fonctionnalités et avantages clés

• Protection complète des charges de travail hybrides dans des environnements multi-cloud, y compris AWS, Azure, GCP et datacenters sur site
• Bloque les ransomwares, exploits zero-day, mineurs de cryptomonnaie et attaques sans fichier
• Architecture d’agent basée sur eBPF offrant une visibilité en temps réel au niveau des processus du système d’exploitation, avec une télémétrie approfondie sans dépendre des modules du noyau
• Moteur IA statique qui analyse les architectures de fichiers en exploitant un jeu de données de plus de 500 millions de signatures de malwares
• Moteur IA comportemental utilisant l’analyse temporelle, évaluant les schémas dans le temps pour détecter les comportements malveillants pouvant échapper à la détection statique
• Détection en temps réel des attaques à la vitesse machine sur serveurs VMS, conteneurs et Kubernetes
• Récupération automatisée, pour une disponibilité maximale des charges de travail
• Accélère les investigations et la réponse aux incidents, facilite la chasse aux menaces
• Workload Flight Data RecorderTM.
• Accélérez l’innovation avec une sécurité à l’exécution qui ne gêne pas les opérations.
• Aucune dépendance au noyau. Faible impact sur le CPU et la mémoire.

• Architecture eBPF, pour la stabilité et la performance
• Prise en charge de Docker, des conteneurs et des runtimes cri-o
• Protection auto-scalable
• CWPP en temps réel
• Prise en charge des services K8s autogérés et managés
• Prise en charge de 14 principales distributions Linux, dont Amazon Linux 2023
• Intégration avec Snyk (achat séparé)

De plus, la Cloud-Native Application Protection Platform (CNAPP) de SentinelOne vous aide à renforcer la sécurité des conteneurs avec des fonctionnalités telles que la gestion de la posture de sécurité Kubernetes (KSPM) et la gestion de la posture de sécurité cloud (CSPM), garantissant que vos applications cloud-native restent conformes et sécurisées.

Faire une visite

Protection des charges de travail cloud (CWPP) alimentée par l’IA pour les serveurs, machines virtuelles et conteneurs, qui détecte et bloque les menaces à l’exécution en temps réel.