Combler le fossé : Flexibilité et sécurité

Que faites-vous lorsque vous avez besoin de deux choses, mais que « tout le monde sait » que les deux s’excluent mutuellement ?

Il existe un mythe de longue date au sein des communautés de réseau et de sécurité : les architectures logicielles sécurisées sont inflexibles et les logiciels fournis de manière agile sont moins sécurisés.  Mais attendez, existe-t-il des preuves démontrant que les logiciels développés à l’aide d’un modèle itératif sont intrinsèquement moins sécurisés ? S’il y en a, mes « recherches » (lire : (en cherchant sur Google) je ne l'ai pas vraiment trouvé.   

En effet, vous pouvez avancer un argument crédible selon lequel un cycle de livraison plus rapide et un processus de publication automatisé et rationalisé réduisent les risques en réduisant le temps global d’exposition aux vulnérabilités.    

Alors, existe-t-il vraiment un fossé entre flexibilité et sécurité ? Malheureusement, je dirais quand même que oui, il y en a. 

Cependant, je ne suis pas convaincu qu’un cycle de vie logiciel agile introduise davantage de vulnérabilités inhérentes au code (bien que certaines des nouvelles plateformes, comme les systèmes de gestion de conteneurs, introduisent certainement de nouvelles surfaces d’attaque), car le code d’application n’est qu’une partie de la posture de sécurité globale d’une organisation.

Reconnaissant que tous les logiciels contiennent des défauts, les piles technologiques informatiques contiennent également des contrôles de sécurité externes au code d'application, tels que des pare-feu réseau, des systèmes de détection d'intrusion et des pare-feu d'applications Web. Bon nombre de ces systèmes doivent suivre le comportement des applications et répondre aux menaces nouvellement découvertes dans les frameworks ou les systèmes d’exploitation. Idéalement, ces systèmes doivent être aussi agiles que le cycle de vie de livraison des logiciels. Car si ce n’est pas le cas, deux choses se produiront : soit les contrôles de sécurité seront perçus comme ayant un impact sur la vitesse de livraison et le délai de rentabilisation, soit ils n’offriront pas la protection pour laquelle ils ont été mis en place. Aucune de ces deux choses n’est exactement optimale.  

La solution évidente est de déplacer le modèle de contrôle de sécurité vers un modèle plus proche du modèle de cycle de vie de livraison de logiciels, et en effet, le mouvement DevSecOps commence à appliquer l’ingénierie logicielle et les pratiques DevOps à la fourniture de contrôles de sécurité et au partage de la responsabilité de la sécurité avec tous les membres d’une équipe, même si l’expertise approfondie reste entre les mains d’une équipe de praticiens hautement expérimentés et spécialisés.

Cette transformation culturelle s’accompagne d’une évolution technologique, où la mise en œuvre de contrôles de sécurité est intégrée au pipeline de livraison de logiciels. Là où les contrôles de sécurité accompagnent chaque nouvelle itération du logiciel à travers les tests, la mise en scène et le déploiement, et ne sont pas simplement ajoutés à la fin. Où les éléments de télémétrie et de traçabilité sont injectés et tracés sur plusieurs points de la pile. Où de nouvelles mesures qui aident à identifier, suivre et signaler les adversaires peuvent être rapidement collectées et analysées. 

Pour rendre cela possible, votre pile technologique doit collaborer autant que vos équipes. C’est l’une des possibilités les plus intéressantes dans une future organisation F5 + NGINX. Avec un portefeuille qui s'étend du pare-feu réseau au serveur d'applications, et à travers toutes les couches intermédiaires, les possibilités pour un ensemble de contrôles de sécurité plus agile, plus intégré et plus informatif sont énormes. La promesse d’une sécurité et d’une visibilité de niveau entreprise injectées avec une agilité légère a le potentiel de donner à tous les membres de l’équipe les outils, les informations et la tranquillité d’esprit (relative) qu’ils recherchent.

Pour en savoir plus sur les avantages de l'association de F5 et de NGINX, consultez un article du PDG de F5 présentant la série de blogs « Bridging the Divide ».