Pour gérer vos consentements :
Categories: Microservices

Kubernetes : quelles approches pour des environnements sécurisés ?

Les maillages de services, un atout pour protéger Kubernetes ? La CISA aborde la question dans un guide dédié à la sécurité de l’orchestrateur.

Qu’il s’agisse du chiffrement des secrets au repos, de l’isolation réseau ou des systèmes de fichiers en lecture seule, l’homologue américaine de notre ANSSI rappelle que de nombreuses fonctionnalités ne sont pas actives par défaut. Et que certaines ne sont pas natives à Kubernetes.

Tout au long du guide, on trouve des recommandations applicables au-delà des seuls environnements de conteneurs. Notamment le principe du moindre privilège, les mécanismes d’authentification robustes et l’application régulière des correctifs.

Concernant les pods, plus petite unité déployable avec Kubernetes, on retiendra, entre autres conseils :

  • S’assurer que les conteneurs ne s’exécutent pas en tant qu’utilisateur racine. Cela peut se configurer lors du build ou du déploiement. Il existe aussi des moteurs – dont Docker Engine – disposant d’un mode rootless.
  • S’appuyer sur un contrôleur d’admission pour analyser les images tout au long de leur cycle de vie
  • Définir un niveau minimal de sécurité au travers d’une politique globale. Et, dans ce cadre, interdire si possible l’exécution de conteneurs à privilèges ou le partage des espaces de noms des processus hôtes.
  • Protéger les jetons d’authentification associés aux comptes de service que Kubernetes provisionne à la mise en place d’un pod
  • Sur les moteurs qui le permettent, activer l’isolation des conteneurs au niveau matériel

Isolation et chiffrement

L’isolation se joue aussi au niveau du trafic réseau. Par défaut, il existe peu de politiques susceptibles d’empêcher effectivement la latéralisation en cas de compromission d’un cluster. La CISA recommande d’en mettre en place avec un plug-in adéquat. Et d’y ajouter des politiques limitant l’usage des ressources (LimitRange, ResourceQuota). Elle conseille par ailleurs de :

  • Renforcer le plan de contrôle
    Mesures évoquées : TLS, authentification robuste, désactivation de l’accès à internet, RBAC, sécurisation du datastore etcd et protection des fichiers kubeconfig contre les modifications indésirables
  • Isoler les nœuds de travail vis-à-vis des segments du réseau avec lesquels il n’y a pas lieu d’avoir de communication
  • Chiffrer les secrets au repos, soit à partir du serveur d’API, soit via un KMS
  • Porter attention à l’infrastructure d’exécution ; en l’occurrence, les VM où fonctionnent les nœuds

La CISA s’arrête aussi sur la journalisation. Et plus particulièrement sur la jonction avec des services externes. Parmi eux, les SIEM, qui ne se sont pas tous mis à la page des microservices, leur fonctionnement « historique » reposant sur les IP pour corréler les logs.

Pour en illustrer l’intérêt, la CISA présente le cas d’un maillages de services favorisant la sécurisation réseau.

Illustration principale © Dmitry Kovalchuk – Adobe Stock

Recent Posts

Cloud : ce que l’alliance Euclidia demande à l’Europe

Pour Euclidia, la cybersécurité ne peut être l'unique réponse aux objectifs de confiance dans le…

6 heures ago

NegaOctet se concrétise : quels seront ses premiers usages ?

Le projet « green IT » NegaOctet a officiellement produit ses premiers livrables exploitables. Que…

12 heures ago

Nobelium : un parfum de SolarWinds en France

L'ANSSI attire l'attention sur des campagnes de phishing sévissant en France. Elle les attribue à…

13 heures ago

Hyperconvergence logicielle : la question du rapport qualité-prix

Les offres d'hyperconvergence logicielle dont le Magic Quadrant distingue l'exhaustivité n'apparaissent pas forcément comme les…

15 heures ago

Cinov Numérique : Emmanuelle Roux succède à Alain Assouline

Elue présidente de Cinov Numérique, Emmanuelle Roux affirme le rôle clé des PME de l'IT…

15 heures ago

AWS : une stratégie mainframe qui passe par Micro Focus

AWS lance, en phase expérimentale, un kit de migration mainframe-cloud qui repose sur des outils…

2 jours ago