alphaspirit - Fotolia

Snyk Cloud : Snyk officialise son offre CSPM

À l’occasion de l’événement ReInforce d’AWS, l’éditeur basé à Boston a lancé son offre Snyk Cloud. Celle-ci combine Snyk Infrastructure as code, Snyk Container et le CSPM de Fugue.

En février dernier, Snyk, spécialiste de l’analyse de vulnérabilités dans le code, annonçait l’acquisition de Fugue.

Fugue, est un éditeur d’une solution de Cloud Security Posture Management (CSPM) fondée sur le projet open source OPA. Pour rappel, Open Policy Agent est un moteur de règles de sécurité et de conformité. Fugue a développé sa propre plateforme de Policy as Code établie sur Regula, une implémentation d’OPA.

Fugue propose une interface visuelle pour administrer les relations entre les composants d’une infrastructure cloud. Il fournit un tableau de bord pour superviser et analyser les violations des règles écrites en Rego, le langage dédié d’OPA. Fugue scanne les templates IaC (Terraform, Cloudformation, manifestes Kubernetes) associés à AWS, GCP, Microsoft Azure et Kubernetes avant leur déploiement.

Cette analyse permet de constater si oui ou non les règles de conformité y sont correctement appliquées. Une fonction d’autoremédiation est disponible pour restaurer la configuration d’une instance cloud.

L’intégration officielle de Fugue chez Snyk

Avec Snyk Cloud, son acquéreur a décidé de coupler ce CSPM avec ses solutions Snyk Infrastructure as Code et Snyk Container.

Snyk IaC est à l’origine un outil pour scanner les erreurs de configurations des fichiers et du code HCL dans les fichiers Terraform et les autres technologies d’infrastructure as code, à partir de dépôt Git. Avec le rachat de la startup française CloudSkiff en 2021, Snyk y a ajouté driftctl, un outil pour détecter et superviser les dérives de configuration du code définissant une infrastructure cloud.

Snyk Container, lui, vise à rechercher et à corriger des vulnérabilités au sein des images de conteneurs et des manifestes Kubernetes. Il permet de réaliser des mises à jour automatiques des images et de découvrir des problèmes au sein des dépendances. L’outil peut être intégré à un IDE, intervenir au moment de la pull request ou comme un portail de sécurité. Container a été enrichi par un partenariat avec Sysdig, l’éditeur derrière Falco, un moteur de détection de menaces au runtime.

La combinaison du CSPM de Fugue, de Snyk IaC et de Container permettrait d’obtenir une vision unifiée de la gestion du cycle de vie du développement logiciel. Snyk Cloud favoriserait la collaboration entre les développeurs, les Ops et les responsables de la sécurité. C’est en tout cas l’argument défendu par les dirigeants de Snyk, dont l’ambition est d’améliorer la sécurité des environnements sans ralentir les processus des équipes de développement.

Un déluge de CSPM

OPA, le projet ouvert par l’éditeur Styra, s’est rapidement imposé comme un moteur de conformité de référence. Snyk n’est donc pas le seul à proposer cette technologie. Le spécialiste de la CI/CD CloudBees prévoit d’intégrer OPA avec des outils de scans de code du marché, dont ceux de l’éditeur basé à Boston.

Plus directement, Snyk se retrouve en compétition avec son partenaire Sysdig qui combine Falco et Open Policy Agent.

De son côté, Aqua Security mène un autre projet nommé Cloudspoit, à la base de son offre CSPM. Pourtant, Fugue et Aquasec proposent bien les mêmes fonctionnalités.

Sans compter les offres CSPM qui s’intéressent plus particulièrement au monitoring ou à la sécurité des environnements en production, par exemple chez Datadog.

En parallèle, Hashicorp, la société derrière Terraform fournit Sentinel, son propre système de Policy as Code imbriqué dans l’ensemble de ses produits.

Il faut aussi compter sur Chef InSpec dans l’écosystème Progress, qui devrait être intégré avec des outils comme Puppet et Ansible.

Néanmoins, Snyk prétend se différencier par sa solution « complète » adressée aux développeurs. In fine, Snyk Cloud permettrait de maintenir la sécurité des applications cloud avant leur déploiement et lors de leur exécution. Avec les retours obtenus, les équipes pourraient se concentrer sur la fourniture des correctifs dans le code.

Toutefois, si les équipes veulent en premier lieu rédiger leurs propres règles Rego, elles devront tout de même se frotter à la courbe d’apprentissage abrupte associé à ce langage. Aussi, quelle que soit la solution choisie, il faudra rapidement se poser la question des bonnes pratiques autour liées au Policy as Code.

Snyk Cloud est pour l’instant disponible pour un nombre limité de clients et entrera en disponibilité générale plus tard cette année.

Pour approfondir sur DevSecOps

Close