Twistlock veut assurer la sécurité des conteneurs

L’hébergeur Wix vient de sélectionner Twistlock pour sécuriser les conteneurs Docker dans son infrastructure : il attend de la technologie de cette start-up les moyens d’identifier des vulnérabilités potentielles dans ses conteneurs et d’y appliquer ses règles de sécurité avec cohérence dans ses environnements de développement et de production.

Twistlock, c’est une start-up née en Israël et qui a récemment levé 2,5 M$ ; elle a centrée son activité sur les conteneurs Docker, misant sur cette technologie de plus en plus populaire au point que son avenir semble parti pour l’amener au-delà du monde des serveurs et du Cloud.

Mais pour Ben Bernstein, Pdg de Twistlock et ancien de Microsoft, les conteneurs, pour tenir leurs promesses, doivent d’abord faire leurs preuves en termes de sécurité. Dans un billet de blog, il explique les limites naturelles des conteneurs en la matière.

Pour lui, le premier problème tient à l’application des règles de sécurité : « dans le nouveau monde des conteneurs, les équipes opérationnelles n’ont souvent pas connaissance de ce que les conteneurs font effectivement dans leur environnement » de production. Au risque de laisser béantes des portes ouvertes par les équipes de développements pour leurs besoins spécifiques.

Pour Ben Bernstein, le second souci est lié à la question des vulnérabilités. Certes, souligne-t-il, les conteneurs sont par construction « fins » et « ne contiennent que le minimum nécessaire à l’exécution d’une application ». Ce qui, entre autres, réduit la surface d’attaque. Mais ce qui implique en outre « qu’ils n’ont pas les mêmes capacités de surveillance de l’hôte et d’hébergement d’agents de sécurité que les systèmes d’exploitation ». Et la menace n’est pourtant pas bien différence avec le risque « d’avoir une version vulnérable de Java, d’OpenSSL ou d’autres composants dans l’un des conteneurs exécutés, sans rien en savoir ».

D’où l’approche en trois temps de Twistlock. La start-up ajoute une couche de sécurité aux conteneurs Docker et Kubernetes avec contrôle d’accès basés sur les rôles et l’intégration avec Active Directory, LDAP et Kerberos, tant pour la gestion des utilisateurs que pour celle des règles de sécurité. A cela s’ajoute la protection des conteneurs au cours de leur exécution, avec détection des anomalies dans les conteneurs, créations de listes blanches et noires de processus, ou encore protection des applications contre les accès à partir d’adresses et de réseaux suspects.

Mais depuis la fin juillet, Twistlock analyse également les images Docker à la recherche de vulnérabilités pour prévenir le déploiement en production de celles qui s’avèrent vulnérables. Il s’appuie pour cela sur les listes publiques de vulnérabilités connues (CVE) qui affectent notamment les binaires Linux, mais également les librairies, les archives Java, les packages Python, ou encore les éléments Ruby.

La suite Twistlock se présente elle-même sous la forme d’un conteneur qui s’exécute aux côtés des autres, le Container Defender. C’est lui qui s’occupe de l’analyse initiale et de la surveillance en continu des conteneurs applicatifs, sans qu’il soit nécessaire d’ajouter de composant spécifique à ces derniers.  

Une console permet de contrôler l’ensemble et de remonter les informations du Container Defender vers un éventuel système de gestion des événements et des informations de sécurité (SIEM).