The Doppler Quarterly (FRANÇAIS) L'automne 2017 | Page 49

de test disponibles.
L’approche et les outils que vous sélectionnez pour votre développement de conte-
neurs doivent être adaptés aux objectifs des applications elles-mêmes. Vous devez
garder à l’esprit que les essais portent sur l’intégralité des services et micro-ser-
vices, ainsi que des conteneurs.
Activation de la sécurité des conteneurs
L’idée fondamentale de la sécurité des conteneurs, c’est que vous devez d’abord
vous assurer de pouvoir faire confi ance à ces entités. Pour cela, il convient de
réduire la surface d’attaque et de mettre en œuvre une gestion généralisée des vul-
nérabilités. La méthode pour y parvenir consiste à incorporer, comme nous l’avons
évoqué précédemment, des contrôles de sécurité à l’intérieur de l’image, ainsi que
dans vos outils et procédures de test.
Les vulnérabilités sont traitées en effectuant un suivi de toutes les images depuis
leur phase de création ou d’utilisation au travers des couches créées, ainsi que des
modifi cations apportées en cours de production et d’exploitation. Vous devez con-
trôler les images dans les référentiels d’images publics et privés, mais aussi en cours
d’exploitation par le biais des opérations DevOps et des autres processus de gestion
du cycle de vie.
La meilleure manière de tester les vulnérabilités dans les conteneurs fait l’objet de
nombreux débats, mais la meilleure pratique en la matière semble être de sou-
mettre les images à des outils de test de sécurité externes. Ces outils peuvent être
exécutés jusqu’au niveau des micro-services contenus dans les images de conteneur,
tout en prenant également en compte les couches présentes.
Vous devez, en substance, partir du principe que les images présentent des vul-
nérabilités soit au niveau de leur base, soit dans leurs couches dérivées. Vous pou-
vez analyser chaque couche et chaque image afi n d’identifi er les vulnérabilités et
résoudre celles que vous trouvez. Ce type de méthode est le mieux décrit par le
terme de test « systémique ». Son application est requise à chaque étape des pro-
cessus de DevOps ou de cycle de vie, y compris le développement, les tests, le
transfert et les opérations.
Gardez à l’esprit que la conformité et la gouvernance doivent faire l’objet de vérifi -
cations parallèlement aux analyses de sécurité. Ces contrôles portent essentielle-
ment sur des règles personnalisables défi nies, par opposition aux failles de sécurité
qui se caractérisent par des schémas communs aux autres déploiements de
conteneurs.
Opérations liées aux conteneurs
La plupart des fournisseurs d’outils liés aux opérations, tels que les outils de gestion
des performances, de sécurité, et surveillance de gouvernance, les outils de prise
de mesures correctives automatisées, ou encore les outils de basculement et de
récupération, prennent désormais en charge les conteneurs. Il est fort probable
que vous puissiez utiliser les outils opérationnels et de surveillance de votre choix
pour faire fonctionner vos conteneurs en production.
Il existe cependant des différences fondamentales entre les conteneurs opéra-
tionnels (que ceux-ci soient exploités sur site ou dans le cloud) et les charges de tra-
vail applicatives traditionnelles de surveillance, qui sont exécutées en environne-
ment de production. Par exemple :
AUTOMNE 2017 | THE DOPPLER | 47