Sécurité de Kubernetes : SUSE libère le code de NeuVector

Une plateforme complète, sur le papier

Sans plonger dans les entrailles de la solution, il faut comprendre que NeuVector propose des interfaces (console Web, API REST, plug-in CLI) permettant de découvrir, surveiller et protéger les activités réseau entre les différents nœuds d’un système conteneurisé. La plateforme trouve automatiquement des groupes d’hôtes ou de conteneurs internes ou externes (par exemple, ceux nécessaires à l’exécution d’une application) ou permet d’en configurer et d’y appliquer des règles de sécurité.

Les règles peuvent être créées automatiquement ou manuellement. Par défaut, NeuVector détecte les attaques DDoS, les injections SQL, ou encore le tunnelling. Un système de prévention de perte de données à base de filtres inspecte certains paquets à la recherche de données sensibles non chiffrées (fiche client, numéro de carte bancaire, etc.). La plateforme doit aussi détecter automatiquement les escalades de privilèges, le scan de ports, le reverse Shell. L’outil identifie le comportement « normal » de l’environnement à surveiller, puis crée des règles de whitelisting ou de blacklisting.

De leur côté les équipes DevOps et DevSecOps peuvent importer ou exporter sous forme de CRDs (des fichiers YAML) depuis ou vers la plateforme afin d’appliquer les règles dès la livraison du code en production. Depuis la console, un ensemble de tableaux de bord permet de visualiser des scores de risques, les résultats des scans (un conteneur nommé Updater contient une base de données CVE très régulièrement mise à jour), ou encore des benchmarks CIS. Un set de filtres sert à vérifier la conformité à différents règlements (PCI, HIPAA, RGPD). Enfin, il est possible d’intégrer NeuVector avec un SIEM (dont celui de Splunk), ou avec les plateformes d’observabilité, même maison (NeuVector dispose d’un exportateur vers Prometheus couplé à des tableaux de bord Grafana).

Sécurité : un doute plane sur l’open source

Ce passage à une licence open source, une étape normalisée chez SUSE, semble provoquer un changement de culture chez NeuVector. Pas plus tard que le 13 octobre dernier, l’éditeur annonçait l’obtention de deux brevets, l’un pour la notation des risques du cycle de vie des conteneurs, et le second pour la protection des Service Mesh (Istio et Linkerd 2). L’entreprise vantait le fait d’être propriétaire de huit brevets et attendait la validation d’IP supplémentaires. Sans forcément remettre en cause ces propriétés intellectuelles, sous l’ère SUSE, la plateforme de sécurité devra être compatible avec les distributions de Kubernetes certifiées par la Cloud Native Computing Foundation (CNCF) et son code est accessible depuis GitHub.

« Nous sommes convaincus que cette initiative contribuera à stimuler l’innovation de l’écosystème dans le domaine de la sécurité de Kubernetes, un secteur traditionnellement dominé par des solutions propriétaires aux codes sources fermés », écrit Sheng Liang, président de l’ingénierie et de l’innovation chez SUSE, cofondateur et ex-PDG de Rancher, dans un communiqué de presse.

Pour SUSE Rancher, c’est aussi un moyen de s’équiper d’une plateforme de sécurité intégrée à sa CMP, lui permettant de monétiser le support associé. Il vient de le faire avec SUSE Liberty Linux, une technologie et une offre de support pour sécuriser différentes distributions Linux. Une approche qui n’est pas nouvelle chez les concurrents.

Pour rappel, Red Hat a acquis StackRox en janvier 2021, un concurrent de NeuVector, et a lancé la communauté open source liée à l’outil de sécurité en mai 2021 (« première étape » avant l’ouverture de la solution), en sus de promouvoir le projet KubeLinter, une solution d’analyse des fichiers YAML et des Helms charts ouverte par StackRox avant le rachat.

Mais le fournisseur allemand ne veut pas se fâcher avec les partenaires proposant des solutions similaires à ses clients. Aqua Security, Palo Alto Networks ou encore Sysdig – porteur du populaire projet open source Falco incubé par la CNCF – ont tous au catalogue des offres de protection des conteneurs.

Aussi, les responsables de SUSE et NeuVector y vont prudemment : seul le code de la préversion de la v5 de NeuVector a été libéré.

Lors de l’annonce du rachat de StackRox, certains clients communs de StackRox et Red Hat, dont un Chief Software Officer de l’US Air Force, s’étaient inquiétés du passage à une licence open source pour des raisons de sécurité. De leur côté, Aqua Security et Sysdig conservent des briques propriétaires.

Enfin, l’incident industriel Log4j pourrait provoquer des mouvements sur ce marché, entre renfermements propriétaires et investissements massifs dans la sécurité des projets open source.