Comment Aqua Security aborde DevSecOps en 2022


  • FrançaisFrançais


  • J’ai récemment profité de l’occasion pour discuter de l’open source et des défis de sécurité avec Itay Shakury de Sécurité aquatique. Ce qui suit est une discussion fascinante sur les problèmes actuels, l’avenir et les outils natifs du cloud spécifiques qui répondent aux préoccupations des responsables de la sécurité de l’information (CISO) d’aujourd’hui.

    Itay, pourriez-vous vous présenter à nos lecteurs ?

    Itay Shakury, directeur de l’open source chez Aqua Security. J’ai près de 20 ans d’expérience dans le domaine de la technologie, passés dans l’ingénierie, l’architecture logicielle, l’informatique, la gestion de produits, le conseil, etc. Ces dernières années, mon parcours professionnel m’a conduit vers les technologies cloud-native et les logiciels open source.

    Explorez le cloud open source

    Parlez-nous d’Aqua Security et quels problèmes tente-t-il de résoudre ?

    Aqua est un pionnier de la sécurité dans le cloud avec sa plate-forme intégrée de protection des applications natives du cloud (CNAPP) qui fournit une automatisation de la prévention, de la détection et de la réponse tout au long du cycle de vie des applications. Notre suite de solutions permet aux organisations de sécuriser la chaîne d’approvisionnement, l’infrastructure cloud et les charges de travail en cours d’exécution. La famille de projets open source d’Aqua est un point d’entrée accessible qui permet à quiconque de se lancer immédiatement et gratuitement dans la sécurité native du cloud, tout en stimulant l’innovation pour nos offres commerciales.

    En tant que Directeur Open Source chez Aqua Security, quelles sont vos principales responsabilités ?

    Ma principale responsabilité est de développer et d’exécuter une stratégie open source. La stratégie comprend l’affinement de la feuille de route des projets OSS, l’identification des initiatives communautaires d’engagement et la viabilité de l’open source pour une utilisation commerciale. En tant que responsable ingénierie, je dirige les équipes open source d’Aqua. Notre groupe OSS est distribué dans le monde entier et prioritairement à distance. Ce groupe d’ingénieurs open source talentueux transforme notre vision OSS en réalité, et j’ai la chance d’en avoir fait partie.

    À quels défis les entreprises sont-elles confrontées pour sécuriser Kubernetes ? Comment doivent-ils aborder ce problème ?

    L’un des défis consiste à assurer la sécurité tout au long du cycle de vie complet de l’application. Au cours des dernières années, de plus en plus de responsabilités ont été confiées aux développeurs, en particulier avec Kubernetes et les technologies natives du cloud. Nous le constatons dans différents domaines tels que la qualité, les opérations, le support et la sécurité. Cette approche “décalage vers la gauche” introduit des contrôles de sécurité tôt (ou “à gauche”) dans le cycle de vie du développement, ce qui est évidemment un changement bienvenu, mais cela laisse à l’organisation le défi de relier ces contrôles nouvellement ajoutés à la sécurité de production préexistante (ou ” côté droit).

    [ Download the free eBook: A guide to implementing DevSecOps ]

    Aqua Security a une variété de projets open source populaires. Pouvez-vous nous en parler ?

    Nous disposons d’un portefeuille d’outils et de solutions dans trois domaines : analyse de sécurité, sécurité Kubernetes et sécurité d’exécution.

    Pour l’analyse de sécurité, notre projet open source Trivy ouvre la voie. Trivy analyse les images de conteneurs et les référentiels de code à la recherche de vulnérabilités connues dans les packages et les bibliothèques. En plus de cela, Trivy analyse les fichiers d’infrastructure en tant que code à la recherche d’erreurs de configuration et de problèmes de sécurité courants. Trivy est très bien accueilli dans l’industrie et dispose d’une communauté de contributeurs solide et solidaire, ce qui en fait un tel succès. Nous avons récemment célébré le franchissement de 10 000 étoiles GitHub !

    Dans la sécurité Kubernetes, Aqua’s Starboard évalue la posture de sécurité de vos clusters Kubernetes. Il est alimenté par notre autre projet, kube-bench, qui est déjà un incontournable de la sécurité Kubernetes. Étant donné que Starboard est un opérateur Kubernetes, il détectera en permanence et automatiquement les modifications apportées à l’état du cluster et de l’application et maintiendra un rapport à jour de votre posture de sécurité.

    La sécurité d’exécution consiste à détecter et à prévenir les comportements suspects pendant la production. Notre projet Tracee y parvient en tirant parti d’une technologie de pointe – eBPF – et ouvre la voie à la manière dont cette technologie peut être appliquée dans ce cas d’utilisation.

    L’utilisation de la technologie eBPF se développe dans les applications et outillages de sécurité (tracee). A-t-il atteint un point où il peut se généraliser?

    eBPF existe depuis un certain temps et a été utilisé dans le monde réel par certaines des plus grandes entreprises technologiques du monde. La technologie est solide (surtout ses éditions récentes), mais elle n’est toujours pas aussi accessible pour les développeurs qui programment avec, ni pour les utilisateurs qui l’adoptent. L’un des plus grands défis actuels consiste à créer et à distribuer des applications alimentées par eBPF. Contrairement aux applications “normales”, que le fournisseur créerait puis expédierait l’artefact résultant aux utilisateurs, les applications basées sur eBPF sont beaucoup plus sensibles aux nuances environnementales et sont donc généralement livrées sous forme de code source que l’utilisateur doit compiler sur site. Nous avons travaillé avec la communauté et les collègues de l’industrie pour résoudre ces défis en amont afin que eBPF puisse être plus largement disponible et accessible. Cela a en fait abouti à un autre projet open source que nous avons publié appelé “btfhub”.

    La sécurité de la chaîne d’approvisionnement est actuellement l’un des éléments les plus importants pour les RSSI du monde entier. Selon vous, quels autres problèmes de sécurité nécessitent notre attention et notre attention collectives ?

    La chaîne d’approvisionnement reçoit certainement beaucoup d’attention. Chez Aqua, nous avons identifié les failles de sécurité auxquelles de nombreuses organisations sont confrontées et nous avons acquis une société spécialisée dans la sécurité de la chaîne d’approvisionnement, Argon Security. Aqua et Argon travaillent ensemble pour relever ces défis, et je suis sûr que notre famille open source en bénéficiera bientôt.

    La plupart des solutions de chaîne d’approvisionnement reposent sur la mise en œuvre d’outils et de pratiques au début du cycle de vie du développement logiciel. Cela fait partie du mouvement de “décalage vers la gauche”, déplaçant la sécurité de la production vers les développeurs. Je pense que ce mouvement est formidable, mais assembler les différents outils que l’organisation adopte du côté “gauche” et “droit” de la maison reste un défi, et c’est généralement le prochain sur le bureau d’un RSSI.

    La sécurité est un domaine en plein essor, et nombreux sont ceux qui souhaitent en faire une carrière. Quelles sont les principales compétences/caractéristiques que vous privilégiez lors de l’embauche ?

    La curiosité est quelque chose qui, je pense, aide les gens dans l’ingénierie, mais surtout dans InfoSec. Être intrinsèquement curieux et avoir la volonté d’enquêter et de comprendre comment les choses fonctionnent est très utile pour un ingénieur en sécurité.

    En open source en particulier, nous recherchons des ingénieurs avec une couche supplémentaire de compétences en plus de la compétence technologique de base. En particulier, nous apprécions les compétences non techniques qui contribuent à notre approche que les ingénieurs open source non seulement écrivent le code mais planifient également la feuille de route du produit, en parlent, en font la promotion et créent une communauté autour de lui.

    Qu’est-ce qu’Itay aime faire pendant son temps libre ?

    La technologie occupe une place importante dans ma vie et je suis également attirée par elle pendant mon temps libre. Mais à côté de ça, passer du temps avec ma femme et mon fils, des randonnées et de la bonne bouffe. Je ne manque jamais non plus ma routine de yoga du matin.


    J’aimerais remercier Itay d’avoir pris le temps de discuter des problèmes de sécurité auxquels nous sommes tous confrontés dans le monde cloud natif et conteneurisé d’aujourd’hui. Il a fourni d’excellentes idées et montre à quel point les logiciels open source offrent de nombreuses solutions.

    Source

    La Rédaction

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Copy code