ReInvent 2021 : AWS relance la compétition autour du DevSecOps

Un nouveau référentiel pour les éditeurs DevSecOps

Aucun de ces ajouts n’a déjà été vu ailleurs sur le marché, mais pour les entreprises engagées auprès du fournisseur cloud, ces changements pourraient aider les équipes informatiques à consolider le nombre d’outils distincts qu’elles doivent gérer et à accélérer le démarrage de leurs pratiques DevSecOps.

« La plupart des nouveaux services AWS sont en retard en termes de caractéristiques et de fonctionnalités par rapport à ceux proposés par les éditeurs DevOps qui se concentrent uniquement sur un produit », remarque Larry Carvalho, un consultant indépendant spécialisé dans le cloud computing. « Cependant, pour ceux qui ont besoin d’un démarrage rapide, les services DevOps d’AWS semblent convenir. »

Même pour les utilisateurs qui s’en tiennent à des produits tiers offrant une prise en charge multicloud, une caractéristique de plus en plus cruciale pour les éditeurs indépendants de logiciels DevOps, le fait que des fonctionnalités DevSecOps plus avancées soient désormais disponibles en natif – et à un prix relativement bas – à partir d’une plateforme de cloud computing, va les mettre au pied du mur en matière de tarification et d’innovation, selon les analystes.

« Chaque fois que les fournisseurs cloud lancent de nouvelles solutions dans un secteur particulier, ils placent très haut le niveau de commodité », déclare Stephen Elliot, analyste chez IDC. « Si vous êtes un éditeur sur ces marchés, vous devez être 10 fois meilleur que cela ».

Pour de nombreuses grandes entreprises, il ne s’agira pas nécessairement de ne choisir qu’un seul outil DevSecOps, ajoute Stephen Elliot. La plupart des entreprises utiliseront plusieurs logiciels, et les équipes qui se concentrent sur les déploiements AWS peuvent trouver les services DevSecOps natifs d’AWS plus faciles à utiliser que les solutions tierces, envisage-t-il.

Cependant, une concurrence accrue est aussi généralement une bonne nouvelle pour les décideurs IT en matière de tarification, remarque Larry Carvalho.

« Cette forme de concurrence permet de s’assurer que les clients ont des options tout en gardant les éditeurs sur le qui-vive pour rester devant AWS à la fois en termes de prix et de fonctionnalités », lance-t-il.

Le lancement de Secrets Detector cette semaine semble conforme à la stratégie globale d’AWS pour CodeGuru, que le fournisseur de cloud a lancé en 2019, d’après un analyste expert en DevSecOps.

« L’ajout de la détection des secrets est une progression intéressante en matière de sécurité qui semble avoir été prévue dès le départ avec CodeGuru, qui est à cheval sur la qualité du code, les performances des applications et la sécurité des applications », explique Daniel Kennedy, analyste chez 451 Research, une division de S&P Global.

La mise à disposition de telles fonctionnalités DevSecOps en natif, pour les services cloud largement utilisés d’AWS, pourrait contribuer à renforcer les meilleures pratiques de sécurité auprès d’organisations IT en proie à une explosion des menaces de cybersécurité, ajoute Daniel Kennedy.

« La détection des secrets fait absolument partie d’autres outils, et l’entrée d’AWS sur n’importe quel marché va provoquer quelques perturbations », anticipe-t-il. « Mais les clés codées en dur continuent d’être un problème dans la sécurité des applications, malgré le fait que cette pratique soit considérée comme une mauvaise idée. La couverture de la plupart des problèmes courants qui émergent, plus les détections spécifiques à l’environnement, pourrait [aider] les entreprises qui ne font pas actuellement de revue de code pour ce qui entre en production. »

AWS verse lui aussi dans la consolidation des outils DevSecOps

Entre-temps, bien que l’approche DevSecOps se soit d’abord concentrée sur l’aide aux développeurs pour écrire des applications sécurisées dès le départ, ces derniers mois, les fournisseurs tels que JFrog ont commencé à pousser les métriques de sécurité en production du côté « droit » de la chaîne d’outils DevOps, c’est-à-dire dans les boucles de rétroaction des développeurs.

La version remaniée d’AWS Inspector suit également cette tendance tout comme les outils de gestion de l’infrastructure du géant du cloud. Il y a un mouvement général à la consolidation entre les domaines précédemment spécialisés de la surveillance de la sécurité et les outils de monitoring et d’observabilité axés sur les performances dans le cadre de DevSecOps. Ce ne serait pas fini : les analystes anticipent une forte progression de cette unification des solutions.

Les outils de surveillance et d’observabilité AWS offrent déjà des liens entre ces mondes historiquement séparés, notamment des intégrations de longue date entre Inspector, CloudTrail et CloudWatch. Les utilisateurs peuvent aussi configurer des alarmes CloudWatch pour les événements liés à la sécurité, tels que les modifications des politiques de gestion des identités et des accès (IAM) ou chaque fois que de nouveaux comptes IAM sont créés ou supprimés.

Cependant, un analyste s’attend à ce qu’AWS ajoute davantage de fonctionnalités préemballées qui fusionnent la sécurité et l’observabilité dans les prochaines versions, dans des domaines tels que la sécurité des identités et des accès.

« Les changements de politique sont une chose, mais le ciblage des vulnérabilités dans les architectures ou les processus IAM est devenu une caractéristique des attaques, comme la falsification des jetons [SAML, Security Assertion Markup Language] ou la compromission des services d’annuaire », note Scott Crawford, analyste chez 451 Research. « C’est un domaine qui fait l’objet d’une attention accrue ».