BLOG

Shift (application Web) Sécurité Gauche

Miniature de Lori MacVittie
Lori MacVittie
Publié le 6 juillet 2015

Le concept de « déplacement vers la gauche » pour des préoccupations informatiques appropriées prend de l’ampleur. L’idée est essentiellement de se déplacer davantage vers les fonctions du pipeline de livraison du développement d’applications qui, lorsqu’elles sont appliquées plus tôt, peuvent entraîner une plus grande stabilité et sécurité du code résultant. La sécurité est l’une de ces fonctions qui peuvent apporter des avantages significatifs en termes de réduction des conflits et des erreurs qui surviennent dans la production et qui coûtent du temps et de l’argent que l’entreprise préférerait ne pas dépenser.

shift-sécurité-gauche

La plupart du temps, les fonctions de sécurité proposées comme étant prêtes à « shift left » sont celles qui se rapportent directement au code : analyse des vulnérabilités, correctifs automatisés, détection d'intrusion et services similaires. Ce qui est rarement mentionné (en fait probablement jamais jusqu'à ce post), ce sont les avantages du déplacement des fonctions de pare-feu d'application Web vers la gauche.

Il y a une bonne logique derrière le déplacement de ce type de fonctionnalité vers la gauche, à savoir l'affinité d'application Les services hautement adaptés aux applications, tels que la sécurité des applications Web, l'équilibrage de charge et l'optimisation, sont spécifiques à une application. Pas un protocole comme HTTP, mais l'application elle-même. La sécurité et l’optimisation des applications, en particulier, contiennent souvent des configurations qui nécessitent la compréhension d’URI spécifiques (comme les appels d’API RESTful), les types de données échangées (et leurs formats), ainsi que l’identification des utilisateurs et des appareils qui peuvent être spécifiques à l’application ou à des parties spécifiques de l’application.

Cela signifie qu'une politique de sécurité d'application Web est basée en grande partie sur l'application, ce qui signifie que cette politique est valable uniquement pour cette application . La correspondance des données et des URI peut (et le fait) introduire un risque d'erreurs, ce qui signifie qu'une application tombe en panne. Lorsque cette erreur apparaît pour la première fois en production, des têtes tombent. Du temps est perdu, de l’argent est gaspillé et le budget de caféine pour la semaine monte en flèche et laisse tout le monde boire de l’eau colorée pour le reste du mois. Pas bon du tout.

Déplacer la configuration et les tests de ces politiques d'application affines vers la gauche, vers les tests, peut être une aubaine significative en termes d'élimination de la plupart (espérons-le, de tous, sauf Heisenberg) des conflits ou des erreurs et de garantie d'un déploiement plus fluide, plus rapide et moins compliqué dans le pipeline de production.

La disponibilité croissante des logiciels et des éditions virtuelles des services de pare-feu d'applications Web traditionnels signifie la possibilité de provisionner ces services dans un plus grand nombre d'environnements et de garantir des niveaux d'accès plus élevés dans le pipeline de déploiement. Le déplacement de la sécurité des applications Web vers la gauche signifie également la possibilité d'appliquer une analyse de vulnérabilité au service de sécurité des applications Web pendant qu'il protège l'application testée, offrant ainsi aux opérations de sécurité et aux développeurs une meilleure compréhension de l'interaction entre les deux ainsi que la possibilité de modifier les politiques pour garantir un comportement approprié (attendu et souhaité). Les politiques, en particulier celles qui peuvent être encapsulées sous forme de modèle , sont suffisamment faciles à déplacer entre les environnements et peuvent être traitées comme du code, stockées dans des référentiels et versionnées pour une utilisation future.

La disponibilité des API et des modèles ainsi que la virtualisation des services d'application traditionnellement hébergés sur le réseau permettent aux organisations de déplacer la sécurité vers la gauche et de réaliser de réels gains dans l'optimisation du processus du pipeline de production.