Sécurité des conteneurs : l’essentiel sur StackRox

Surveiller en continu

La solution développée par StackRox s’appuie sur un conteneur conçu pour apporter visibilité et capacités de détection en continu. Déployé sur chaque nœud de l’environnement, il assure la collecte des données de télémétrie relatives à tous les conteneurs de l’hôte, « depuis l’espace du noyau, et pas celui de l’utilisateur », souligne Ali Golshan lors d’un entretien avec la rédaction. Mais pas question de chercher à surveiller le moindre petit changement d’état : le volume de données serait trop important pour offrir quelque chose d’efficace. Le but est donc de surveiller des comportements applicatifs, de les confronter à des modèles établis par apprentissage automatique, par rapport à des pairs comparables. Et Ali Golshan de souligner l’avantage du monde des conteneurs : dans un tel environnement, « le comportement nominal est plutôt bien défini ».

Ce volet de l’offre de StackRox, baptisé Detect & Respond, génère des alertes pouvant être remontées à un système de gestion des informations et des événements de sécurité (SIEM). Elles sont assorties de données contextuelles détaillées pour aider à la prise de décision. Hors SIEM, les alertes sont transmises via Slack ou PagerDuty.

Des données utiles à l’analyse des menaces

Et il ne s’agit de collecter tout et n’importe quoi. Ali Golshan explique ainsi se baser sur un modèle construit par des spécialistes de la chasse aux menaces : « chaque attaquant passe par un ensemble d’actions connues pour atteindre son objectif ». Les données de télémétrie visent ainsi à permettre d’établir une chronologie d’actions s’inscrivant dans cette logique : « là, un attaquant à pris pied, puis il a réussi à procéder à une élévation de privilèges, etc. Le but est donner les moyens à un analyste de comprendre rapidement ce qui s’est passé ».

Mais le moteur de détection et de réponse de StackRox peut également procéder automatiquement à des actions de protection, bloquant des commandes non autorisées, des appels système, ou encore en mettant en pause ou en quarantaine des conteneurs potentiellement compromis.

StackRox Detect & Respond supporte un vaste éventail de plateformes de conteneurs : Amazon EKS, Azure AKS, Docker, Google GKE, IBM Bluemix, Mesosphere et encore Red Hat Openshift.

Maîtriser la surface d’attaque

Mais l’offre de StackRock couvre aussi la prévention, avec son volet Prevent. Là, pas question d’entrer en concurrence frontale avec, par exemple, des spécialistes de gestion des vulnérabilités ou de l’analyse de code pour leur découverte.

Ali Goshlan explique qu’il s’agit de créer des politiques qui s’appliqueront à tout le processus de construction des images « pour assurer la conformité de ce qui est déployé avec les exigences définies en fonction de la criticité », mais aussi avoir une « idée précise du risque que l’on introduit en ajoutant une nouvelle image dans son environnement ».

StackRox Prevent permet également d’auditer un déploiement existant, en continu, pour suivre l’évolution de sa posture de sécurité à mesure que de nouvelles vulnérabilités sont rendues publiques.

Ce volet de l’offre de la jeune pousse supporte Docker Enterprise Edition, Google GKE, et Red Hat Openshift. Pour la fourniture des images, il supporte Docker Hub, Docker Trusted Registry, Tenable et Quay. Et pour la gestion des vulnérabilités, il s’intègre avec Docker Securitu Scanning, Tenable, Quay et CoreOS Clair.

Un partenariat étroit avec Google

StackRox Prevent n’est pas encore intégré à Prevent & Respond, mais c’est prévu pour les prochains moins afin de fournir des données contextuelles encore plus détaillées en cas d’alerte.  

La jeune pousse vient de lever 25 M$ dans le cadre d’une seconde table ronde. Sameer Bhalotra souligne l’importance de son partenariat technologique avec Google : « nous discutions architecture ensemble, mais également interactions avec GKE, et ils nous font aussi profiter de leur connaissance des menaces, en général, et plus spécifiquement sur le monde des conteneurs ».