Secu
Les trois quarts des containers sont hautement vulnérables
Par Laurent Delattre, publié le 28 janvier 2022
Le nouveau rapport Sysdig sur la sécurité du cloud pointe un inquiétant phénomène. Les containers se multiplient à travers le cloud hybride, évoluant entre infrastructures internes et externes grâce à Kubernetes. Mais 75% d’entre eux comportent des vulnérabilités critiques !
Les containers sont en train de changer l’informatique aussi surement et profondément que les machines virtuelles l’ont fait il y a quelques années. Pourquoi ? Parce qu’ils sont plus universels, plus légers et plus performants que les VMs. Leur universalité leur permet de passer aisément d’une infrastructure à une autre. Et avec un orchestrateur devenu standard de fait, Kubernetes, les containers sont aussi devenus le moyen le plus simple et le plus élégant de concrétiser la vision d’un cloud hybride où les workloads se déplacent entre cloud privé et cloud public en fonction des besoins et des contextes.
Par leur simplicité et leur universalité, les containers se répandent et se multiplient au cœur des infrastructures bien plus rapidement que les VM. Ce qui évidemment pose le problème de leur cycle de vie et de leur mise à jour pour patcher les vulnérabilités présentent dans les programmes et librairies qu’ils hébergent. Un problème qui n’a pas encore de solution universelle. Les outils de gestion du cycle de vie et de gestion de patchs pour containers existent. Mais bien des entreprises ne les ont pas encore mis en œuvre.
Le dernier rapport Sysdig sur la sécurité du cloud pointe l’ampleur des dégâts. 75% des images de containers analysés par leur plateforme présentent des vulnérabilités « hautes ou critiques » non patchées. Dans un billet de blog, cet acteur de la sécurité explique que, chaque jour, sa plateforme détecte des dizaines de milliers de vulnérabilités dans les environnements DevOps de ses clients.
L’étude montre par ailleurs que 85% des images de containers qui tournent en production contiennent au moins une vulnérabilité non patchée mais pour laquelle un patch existe bien.
Autre indice qui doit inquiéter DSI et RSSI, 76% des images s’exécutent en root autrement dit sous forme de containers à privilèges. S’ils sont compromis, les répercussions peuvent être dramatiques. Pour Sysdig, une partie du problème provient d’un manque de rigueur des développeurs qui oublient de configurer correctement les permissions avant que l’image ne soit poussée en production. C’est un problème qui peut et doit être résolu au niveau de la chaîne DevSecOps. Mais il est pour l’instant sous-estimé : cette mauvaise pratique est en progression de 31% par rapport à l’an dernier.
Par ailleurs, en analysant les métriques de leur plateforme, SysDig a aussi constaté qu’en 2021, 62% de leurs entreprises clients ont détecté et découvert des containers en production disposant de shell en ligne de commandes. Autrement dit, ces containers n’ont plus aucun caractère immuable et peuvent être pris en contrôle à distance par des attaquants. Là encore, ce chiffre pointe sur de mauvaises pratiques qui devraient être analysées, détectées et corrigées par la chaîne DevSecOps.
Bien évidemment, les mauvaises pratiques ne se limitent pas aux problèmes de sécurité. Le rapport SysDig pointe également un manque de rigueur et donc de bonnes pratiques dans le contrôle des ressources au sein des clusters Kubernetes. Ainsi, 60% des containers en production n’ont aucune limite d’utilisation CPU, et 51% n’ont aucune limite de consommation mémoire. C’est un problème particulièrement sur le cloud public où les entreprises sont facturées aux ressources consommées. Ne pas borner les besoins d’un container peut rapidement faire grimper les factures.
Pour Aaron Newcomb, directeur produit chez SysDig, « il est rassurant de voir les équipes DevOps mettre en œuvre peu à peu la sécurité pendant le processus de construction (NDLR : au sein de véritables chaînes DevSecOps). Toutefois, il reste encore beaucoup de travail à faire pour sécuriser à la fois les containers et les services cloud afin d’empêcher les vulnérabilités d’entrer en production ».
Source : Sysdig 2022 Cloud-Native Security and Usage Report: Stay on Top of Risks as You Scale – Sysdig