Sécuriser Kubernetes : 3 points clés

24 avril 2020/Emilie Ravet

L'utilisation de conteneurs devient de plus en plus populaire. Pour simplifier leur déploiement et gestion sur des clouds publics ou privés, les entreprises s’appuient sur un orchestrateur. Et très souvent, il s’agit de Kubernetes (K8s). Mais en étant privilégiée par les entreprises, cette solution est aussi une cible de choix pour les attaquants… Mieux vaut mettre en place quelques mesures essentielles.

 

Fin octobre 2019 sera marquée dans les annales de la saga Kubernetes. Le bug CVE-2018-1002105 entraine une faille de sécurité critique selon la norme CVSS 9.8. Elle permet une escalade de privilège dans Kubernetes.

 

Il est donc essentiel d'utiliser la bonne architecture de déploiement et les meilleures pratiques en matière de sécurité pour tous les déploiements. Le but ? Éviter que des pirates n'injectent du code malveillant, ne fassent tomber tout l'environnement du cluster ou ne volent des données sensibles.

 

Mais, la sécurité de Kubernetes n’est pas une sinécure. Ces déploiements étant constitués de nombreux composants, leur sécurisation nécessite de faire appel à des développeurs et à des experts en cybersécurité capables d’analyser chacun de ces composants.

 

Pas simple. D’où la nécessité de déployer de bonnes pratiques.

 

1. Appliquer le moindre privilège


Comme nous l’avons vu dans un précédent article, moins il y a d’utilisateurs, plus c’est « facile » de contrôler les accès. C’est le principe du « moindre privilège ».

 

À ce sujet, l’ANSSI (Agence nationale de la sécurité des systèmes d'information) rappelle « qu’il est habituel de restreindre l’environnement d’exécution du composant aux ressources strictement nécessaires à ses besoins ». L'utilisation de ce type de modèle pour empêcher un accès généralisé permet de mieux contenir une attaque si elle se produit.

 

2. Utiliser l’authentification forte

Les meilleures pratiques d'authentification forte doivent toujours être déployées, et l'authentification est une nécessité pour tous les modules Kubernetes.

 

3. Multiplier les autorisations

Kubernetes propose plusieurs méthodes d'autorisation. Il est recommandé d'utiliser le RBAC (Role-Based Access Control) afin de configurer des ensembles d'autorisations ultraprécises pour définir la façon dont un utilisateur (ou groupe d'utilisateurs) peut interagir avec chaque objet Kubernetes dans un cluster.

 

 

De manière générale, il est indispensable de sécuriser l'environnement de production et les pipelines de CI/CD. La sécurité doit être intégrée dès les premiers processus comme le permet la pratique DevSecOps.

New Call-to-action

Emilie Ravet
À propos de Emilie Ravet : Emilie est responsable Marketing en charge de la publication des articles du blog.

À lire ensuite

Pourquoi l’hybride et le multicloud sont vitaux ?

De plus en plus d’entreprises accélèrent leur migration vers le cloud. Mais comme pour tout projet, les besoins...

Trois raisons pour renforcer la sécurité des données dans le cloud

Près de 80 % des entreprises ont subi une fuite de données liée à leurs infrastructures cloud dans les...

Les bonnes pratiques pour une migration réussie

De nombreux DSI et responsables informatiques pensent qu’une migration vers le cloud revient à aller héberger...