rvlsoft - Fotolia

Hashicorp et Microsoft entrelacent IaC et zero-trust

Selon une annonce faite la semaine dernière, HashiCorp et Microsoft vont étendre leur collaboration sur les services cloud de sécurité zero-trust avec des intégrations plus poussées entre Azure AD et Boundary.

HashiCorp Boundary coordonne la gestion des accès et l’autorisation des utilisateurs au sein des systèmes distribués. Il a été conçu pour répondre aux principes du modèle de sécurité sans confiance, avec lesquels les périmètres traditionnels des data centers sont remplacés par un accès plus fin à chaque ressource IT, en se basant sur l’identité de l’usager. Cette pratique est aujourd’hui non seulement de plus en plus populaire, mais également obligatoire aux États-Unis. Un récent décret présidentiel vise à adapter la cybersécurité des entreprises et du gouvernement américains aux applications et services natifs du cloud.

L’utilitaire de contrôle d’accès Boundary d’HashiCorp et le service de gestion des identités Azure Active Directory (AD) de Microsoft s’intègrent déjà. Depuis le lancement de l’outil il y a un an, Hashicorp propose des connecteurs vers les gestionnaires d’identités comme Okta, Ping Identity, et Azure AD. Dans le cadre du partenariat élargi annoncé cette semaine, HashiCorp et Microsoft prévoient d’ajouter d’autres liens, notamment la synchronisation automatique entre les identités, les autorisations et les groupes de Boundary et d’Azure AD lorsque de nouveaux utilisateurs sont ajoutés.

« Microsoft partage la même philosophie que HashiCorp, à savoir que l’ancien paradigme de sécurité qui repose sur les pare-feu et les VPN n’est plus d’actualité », affirme Sue Bohn, vice-présidente de la division Identité et accès réseau de Microsoft, lors d’une présentation pendant l’événement virtuel HashiConf Global. Cet avis n’est pas forcément partagé par l’ANSSI et le NIST. « Le modèle Zero-trust… signifie que tous les points de contact d’un système – identités, appareils et services – sont vérifiés avant d’être considérés comme dignes de confiance, et cela signifie que l’accès des utilisateurs est limité uniquement aux systèmes de données et aux applications nécessaires pour ce rôle. »

Dans le cadre de ce partenariat étendu, Azure AD se chargera de la gestion des identités des utilisateurs, y compris des groupes de travail, tandis qu’HashiCorp Boundary s’occupera de l’accès aux ressources cloud pour ces identités, en utilisant également les informations d’identification stockées dans Vault, la chambre forte d’HashiCorp réservée aux secrets liés à l’infrastructure cloud. En effet, Boundary est spécialement conçu pour interagir avec des outils d’infrastructure as code (en premier lieu Terraform) ou pour administrer l’accès à des hôtes distants. L’accès des utilisateurs à Azure AD basé sur Vault sera également ajouté à l’avenir, précise Sue Bohn.

L’intégration de Boundary et de Vault a été ajoutée après le lancement initial du produit l’année dernière, complète Armon Dadgar, directeur technique d’HashiCorp, lors de la même présentation.

L’intégration de Vault avec Boundary séduit

« Toutes les informations d’identification peuvent être centralisées dans Vault, et Boundary peut y donner accès selon les besoins », explique-t-il. « Il peut s’agir d’un justificatif d’identité statique auquel nous ne faisons que donner accès, ou d’un justificatif d’identité dynamique que Boundary crée juste à temps pour cette session individuelle. »

Les experts recommandent l’utilisation d’informations d’identification dynamiques, également appelées « accès juste à temps », dans le cadre du modèle sans confiance, car les attaquants ont plus facilement accès aux référentiels de données d’identification à longue durée de vie. Avec les justificatifs d’identité dynamiques, même si les attaquants ont accès aux données d’authentification, celles-ci ne sont plus valides une fois utilisées par une personne autorisée.

La nouvelle de l’extension du partenariat de cette semaine est tombée à point nommé pour un utilisateur de HashiCorp qui est également en train de migrer vers les services Microsoft Azure, notamment Azure AD.

« Boundary a fait de gros progrès depuis son lancement. L’intégration de Vault est vraiment astucieuse », déclare Phil Fenstermacher, ingénieur système à l’université William & Mary de Williamsburg, en Virginie.

L’organisation de Phil Fenstermacher n’utilise pas encore les informations d’identification dynamiques, mais il s’attend à ce que Boundary et son intégration avec Azure AD facilitent cette transition.

« Pour nos utilisateurs, ne pas avoir à se soucier de jongler avec les identifiants et pouvoir faire de l’[accès] à la demande (…) permettra d’inciter plus facilement les gens à utiliser des identifiants dynamiques. »

Waypoint prend en charge la gestion de la configuration de Kubernetes

L’autre annonce majeure de la conférence annuelle d’Hashicorp, c’est la disponibilité de la version 0.6 de Waypoint, un outil de livraison continue.

Ce produit a également été lancé l’année dernière afin de normaliser un flux de travail pour les phases de construction, de déploiement et de libération des pipelines de livraison continue, qui obligent les développeurs à utiliser une combinaison de plusieurs outils tels que Dockerfiles, makefiles et autres utilitaires CI/CD. Waypoint les remplace tous par un seul fichier sous une URL versionnable.

Depuis son lancement, HashiCorp a ajouté des fonctionnalités à Waypoint, dont des modèles dynamiques pour les Dockerfiles et des paramètres d’entrée qui facilitent la réutilisation des fichiers Waypoint par les différents membres des équipes DevOps. Avec la version 0.6 de Waypoint, l’outil assure la prise en charge des fichiers de build et de déploiement spécifiques à Kubernetes, notamment les fichiers Helm et Kustomize basés sur YAML et fréquemment utilisés dans la gestion de la configuration de la plateforme d’orchestration de conteneurs.

Ce type de fichiers est un défi courant pour les équipes IT qui ont adopté l’approche GitOps pour la gestion des applications et des infrastructures dans les environnements Kubernetes, mais HashiCorp n’a pas encore formellement intégré Waypoint aux outils GitOps populaires tels que Flux et Argo CD, selon un porte-parole de la société.

Il s’agit encore d’un produit en phase de démarrage, mais pour les clients d’HashiCorp qui utilisent également Kubernetes de manière intensive, cette dernière mise à jour a rendu Waypoint plus intéressant pour un éventuel examen futur.

« Plus nous nous dirigeons vers le cloud, plus nous voulons que les équipes applicatives aient la main sur l’ensemble de la stack y compris les réseaux et l’infrastructure », affirme Mick Miller, architecte DevOps senior chez KeyBank, une banque régionale basée à Cleveland. « Nous sommes toujours à la recherche de choses qui faciliteront la réalisation de cette tâche de manière cohérente au sein de toutes nos équipes. »

Pour approfondir sur Gestion d’identités

Close