Sysdig a publié un nouveau rapport sur la sécurité et l’utilisation du cloud et des conteneurs. Il confirme que les risques de la chaîne d’approvisionnement et la préparation de l’architecture Zero Trust sont des problèmes de première importance et expose également des dizaines de millions de dollars de dépenses cloud gaspillées en raison d’une capacité surallouée.
Fondée en 2013 par Loris Degioanni, co-créateur de Wireshark, Sysdig a lancé son outil de visibilité Linux open source un an plus tard. Son outil open source de détection des menaces, Falco, a été apporté à la Cloud Native Computing Foundation en tant que projet sandbox en 2018 et est désormais un projet d’incubation de la CNCF. Falco et Sysdig sont les éléments clés de la plate-forme Sysdig qui permet aux équipes de détecter et de répondre aux menaces, de trouver et de hiérarchiser les vulnérabilités logicielles, de détecter et de corriger les erreurs de configuration et de maximiser les performances et la disponibilité.
Le rapport Sysdig 2023 Cloud-Native Security and Usage Report, son sixième rapport annuel, révèle comment les entreprises mondiales de toutes tailles et de tous secteurs utilisent et sécurisent les environnements cloud et de conteneurs sur la base de données couvrant des milliards de conteneurs, des milliers de comptes cloud et des centaines de milliers de applications que les clients de Sysdig ont exploitées au cours de l’année dernière.
Après avoir identifié les vulnérabilités introduites via les chaînes d’approvisionnement logicielles comme l’un des deux plus grands risques de sécurité du cloud, Sysdig rapporte que 87 % des images de conteneurs exécutées en production présentent une vulnérabilité critique ou de gravité élevée. Le rapport commente :
Malgré l’adoption croissante de stratégies de sécurité à décalage vers la gauche pour évaluer le code tôt et souvent, les entreprises ont besoin d’une sécurité d’exécution. En témoigne la formidable croissance de l’adoption de technologies telles que Falco, un projet open source de la Cloud Native Computing Foundation (CNCF), qui aide les organisations à détecter les menaces d’exécution dans les clouds, les conteneurs, les hôtes et les environnements Kubernetes.
Sur une note plus positive, le rapport constate également que seulement 15 % des vulnérabilités de gravité élevée ou critique avec un correctif disponible sont réellement utilisées au moment de l’exécution et conseille :
La hiérarchisation basée sur le filtrage par packages en cours d’utilisation permet aux équipes de réduire considérablement les cycles passés à rechercher une pile infinie de vulnérabilités.
En ce qui concerne les méthodes de protection d’exécution pour atténuer les vulnérabilités impossibles à corriger, le rapport suggère de réduire le “bloat d’image”. Il fait valoir que si, idéalement, une image ne devrait être constituée que du code nécessaire pour faire son travail, les images tierces préemballées et open source incluent souvent des packages superflus.
Sysdig a examiné les types de packages de plus de 6,3 millions d’images en cours d’exécution pour déterminer les quatre types de packages les plus couramment utilisés, puis a identifié ceux qui gonflaient le plus.
Les packages JavaScript ont été trouvés en plus grand nombre, mais moins de 1 % d’entre eux étaient requis lors de l’exécution, ce qui en fait le meilleur candidat à la suppression pour réduire le gonflement. D’autre part, ce sont les packages Java qui se sont révélés les plus risqués, représentant plus de 60% des vulnérabilités exposées lors de l’exécution.
Notant que les erreurs de configuration sont toujours le principal acteur des incidents de sécurité, le rapport s’est penché sur la gestion des identités, des accès et des privilèges. Commentant :
Bien que de nombreuses organisations parlent de principes de confiance zéro, tels que l’application du moindre privilège, nos données montrent
peu de preuves d’action.
En fait, Sysdig a constaté que 90 % des autorisations accordées ne sont pas utilisées, ce qui laisse de nombreuses opportunités aux attaquants qui volent les informations d’identification.
En ce qui concerne l’utilisation des conteneurs, le rapport révèle l’étendue des ressources Kubernetes inutilisées. Admettant que le suivi du coût et de l’utilisation des conteneurs est intrinsèquement difficile, le rapport note que les organisations négligent souvent de fixer des limites sur le nombre
ressources qu’un conteneur peut utiliser. Permettre aux développeurs de choisir la capacité peut également entraîner une surallocation. Les résultats concrets étaient que dans la plus grande région de Sysdig, 59 % des conteneurs n’avaient aucune limite de CPU définie, et 69 % des ressources CPU demandées étaient inutilisées :
Cela conduit à la conclusion stupéfiante que les organisations de toutes tailles pourraient dépenser plus de 40 %, et pour les grands déploiements, l’optimisation d’un environnement pourrait permettre d’économiser en moyenne 10 millions de dollars sur les factures de consommation du cloud.
Plus d’information
Téléchargez le rapport Sysdig 2023 sur la sécurité et l’utilisation natives du cloud
Articles Liés
Quelle est la meilleure façon de surveiller efficacement un cluster Kubernetes ?
Sigstore sécurise-t-il vraiment la chaîne d’approvisionnement ?
Pour être informé des nouveaux articles sur I Programmer, inscrivez-vous à notre newsletter hebdomadaire, abonnez-vous à la flux RSS et suivez-nous sur Twitter, Facebook ou alors Linkedin.
commentaires
ou envoyez votre commentaire à : comments@i-programmer.info