Sysdig, la startup qui renifle les problèmes de Kubernetes

Derrière la solution de cet éditeur, une plateforme d’investigation des chutes de performances et des failles de sécurité, on retrouve l’équipe à l’origine de WireShark, le « sniffer » de réseau par excellence.

Construire une suite d’investigation pour traquer les failles de cybersécurité et les problèmes de performances dans les applications « cloud-native », en se basant sur le logiciel Open source Falco. Telle est la proposition de la startup américaine Sysdig, laquelle revendique équiper des clients dans 40 pays, dont Goldman Sachs, la branche SAP Concur de SAP, ou encore la filiale japonaise de Yahoo.

« Nous proposons une solution capable d’identifier les problèmes dans vos clusters Kubernetes. C’est-à-dire qu’au départ on venait nous voir pour détecter les chutes de performances. Puis, par extension, nous montrions aussi les failles de sécurité », lance Suresh Vasudevan, le PDG de Sysdig, que le MagIT a pu rencontrer à l’occasion d’un récent événement IT Press Tour, consacré aux startups de la Silicon Valley qui innovent autour des infrastructures Kubernetes.

« Mais à présent, 90 à 95 % des rendez-vous commerciaux que nous avons avec les entreprises démarrent sur les questions de cybersécurité. Tout simplement parce que les entreprises n’exécutent plus les applications métiers qu’elles développent elles-mêmes sur site, mais en cloud public », ajoute-t-il.

« Pour le dire plus directement : ces entreprises ont des milliers de ressources en cloud qui sont utilisées par des centaines de personnes. Elles ont dû attribuer des droits d’accès dans tous les sens, aux utilisateurs, aux API. Elles ne savent plus ce qui accède à quoi, avec quelles permissions. Nous résolvons cette situation. »

Selon une étude que Sysdig a commandée à un cabinet de conseil, 87 % des déploiements Kubernetes en cloud souffriraient de vulnérabilités élevées, voire critiques. Parmi les causes, 90 % des permissions accordées ne seraient jamais utilisées, ce qui signifie que des malfaiteurs ou des malwares pourraient s’en servir pour mener des actions avec des privilèges élevés sans éveiller de soupçons. Quant aux performances, les clusters Kubernetes ne consommeraient en moyenne que 31 % des ressources qu’on mobilise pour eux.

Le WireShark des communications Kubernetes

Véritable socle de la solution, le logiciel Open source Falco a été développé à l’initiative de Loris Degioanni, le directeur technique de Sysdig. Il s’agit d’un scanner qui renifle et analyse depuis le noyau Linux les paquets de données qu’il voit passer, au-dessus, entre les containers d’un cluster Kubernetes.

Un principe qui n’est pas sans rappeler le logiciel Open source WireShark, l’outil de « sniffing » par excellence des hackers (éthiques ou non) pour cartographier, depuis une machine connectée, le réseau TCP/IP local, ses performances et ses failles. La comparaison n’a rien du hasard : Loris Degioanni n’est autre que l’ancien directeur technique de CACE, la startup responsable du développement de Wireshark.

« Ce qui rend notre solution unique, parmi tous les produits de sécurité que vous trouverez sur le marché dédié aux containers, est que nous basons notre analyse sur ce qui est en cours de fonctionnement dans votre cluster. Cela fonctionne comme des caméras de surveillance. Cela nous permet de mieux comprendre votre contexte d’exécution et donc de mettre sur l’accent sur les faiblesses prioritaires de votre cluster », explique le PDG de Sysdig.

Et de montrer des chiffres : grâce à Falco, la solution commerciale de Sysdig permettrait de réduire les alertes de 95 % pour se focaliser sur les seules véritablement importantes. Falco serait à ce point efficace qu’il est utilisé comme moteur par une dizaine de services en ligne consacrés à la détection des failles de sécurité dans les applications cloud. Parmi eux, Microsoft Defender for Cloud, Cloud Guard de Check Point, ou encore le système de télémétrie SysFlow.

Refaire Splunk, mais en plus intelligent

Comme ces services en ligne, la solution commerciale de Sysdig consiste à comprendre ce que Falco voit pour effacer ses fausses alertes. Elle sait aussi retrouver dans les logs le moment où un système a été compromis. Cette partie est dévolue à un module appelé Sysdig Monitor.

« L’idée de notre solution est de compléter Falco avec des outils plus classiques de threat Intelligence, de recherches de vulnérabilités et de machine learning. »
Loris DegioanniDirecteur technique, Sysdig

En sus, un module Sysdig Secure apporte une multitude de fonctions de remédiations. Parmi celles-ci, la solution commerciale identifie les bibliothèques obsolètes et pointe sur les mises à jour qui existent. Elle surligne les faiblesses des scripts de déploiements et en suggère des plus solides. Elle assemble une batterie de règles pour des rôles sur mesure, plutôt que laisser proliférer des comptes utilisateurs avec plusieurs configurations de droits d’accès. L’ensemble est présenté sous la forme d’une console de monitoring entièrement graphique.

« L’idée de notre solution est de compléter Falco – qui détecte les fonctionnements inappropriés – avec des outils plus classiques de threat Intelligence (soit des bases de connaissances des attaques), de recherches de vulnérabilités (soit l’obsolescence des codes) et de machine learning (soit l’apprentissage d’un fonctionnement normal pour détecter ensuite les déviances) », argumente Loris Degioanni.

Falco a évolué d’une version qui inspecte le fonctionnement d’un Linux, à un système plus particulièrement adapté aux messages internes de Kubernetes, puis vers une plateforme qui dispose des connecteurs nécessaires pour analyser les services Kubernetes d’AWS, Azure et GCP. Paradoxalement à cette spécialisation de plus en plus pointue, l’ambition de Sysdig serait d’élargir le scope de sa solution commerciale.

« Nous sommes agnostiques vis-à-vis des événements que nous analysons. Nous pouvons donc apporter une analyse bien plus fine de toute votre IT que les solutions qui se basent uniquement sur les logs », conclut Loris Degioanni. En filigrane, LeMagIT croit comprendre que Sysdig, associé à la solution de synthèse des logs Mezmo (ex-LogDNA), déjà partenaire, prétendrait à rivaliser avec des solutions comme Splunk.

Sysdig n’est pas le seul à analyser les communications entre les containers. LeMagIT a déjà évoqué NeuVector, désormais chez Suse, Netsil, passé sous la coupe de Nutanix, ou plus récemment Panoptica, chez Cisco. Ajoutons que plusieurs plateformes d’analyse des performances des containers sont à présent dotées de modules de remédiation des failles ; c’est notamment le cas de Datadog.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close