PRÉSENTATION DE LA SOLUTION
Automatisation de la sécurité pour les DevOps avec F5 Advanced WAF
Les applications sont au centre de la stratégie numérique des organisations modernes. Selon une étude de F5 Labs, les entreprises gèrent en moyenne 983 applications, qui s’étendent souvent sur plusieurs clouds et centres de données. Les applications modernes sont généralement conçues avec des architectures distribuées et construites à l’aide de pratiques de développement agiles jusqu’au niveau des composants. Ce cadre pour l’intégration continue et la livraison continue (CI/CD) permet aux DevOps de gérer le cycle de vie des logiciels avec rapidité et efficacité. Le délai de mise sur le marché étant l’un des principaux indicateurs clés de performance, les DevOps ont adopté des flux de travail modernes automatisés. La sécurité, cependant, est souvent laissée de côté dans le flux de travail de sécurité CI/CD.
L’absence des contrôles de sécurité applicative dans le flux de travail DevOps signifie qu’ils ne sont pas testés en même temps que le code de l’application. Par conséquent, les défauts de sécurité des applications peuvent ne pas être découverts avant que les tests opérationnels ne soient effectués vers la fin du cycle de développement, où la correction des défauts est beaucoup plus coûteuse. Cela peut avoir pour conséquence un retard significatif de la mise sur le marché, des coûts de remédiation plus élevés ou des contrôles de sécurité inadéquats.
Introduire les tests de sécurité plus tôt dans le processus CI/CD est la solution la plus efficace pour combler le fossé entre les équipes chargées des applications et celles chargées de la sécurité. Le défi est de le faire à grande échelle et avec efficacité, ce qui nécessite des changements culturels et technologiques pour prioriser les tests de sécurité opérationnels dans le cadre des phases de développement des applications.
F5 Advanced Web Application Firewall permet d’intégrer les tests opérationnels de sécurité applicative dès le début du processus de développement, ce qui permet de tester de manière exhaustive les spécifications fonctionnelles et les politiques de sécurité dès le début du processus. L’équipe DevOps peut alors découvrir les défauts de sécurité, que ce soit au niveau de la politique de sécurité ou de l’application elle-même, alors que l’application est encore en cours de développement. Si l’équipe découvre des erreurs, elle peut ainsi y remédier plus efficacement et à un coût sensiblement réduit.
Caractéristiques principales
- Le déploiement et la configuration basés sur des API déclaratives permettent l’intégration avec les outils et les flux de travail DevOps
- Permet aux SecOps de gérer et de fournir une « sécurité en tant que code » à l’aide de fichiers JSON facilement lisibles par les DevOps
- L’ingestion de fichiers OpenAPI permet une configuration automatique de la sécurité des API
- L’intégration avec les Webhooks (par exemple, Slack, Teams) permet une collaboration DevOps accrue et des capacités d’automatisation avancées
- La sécurité de base peut être partagée par les applications, avec des contrôles par application spécifiques via une politique modulaire
- Les objets de politique peuvent être partagés entre les politiques via des références à des fichiers partagés
Principaux avantages
- Facilite une mise sur le marché des applications plus rapide, à moindre coût et avec une efficacité accrue en matière de sécurité
- Déplace les tests de sécurité vers la gauche du pipeline de développement d’applications pour une remédiation plus rentable
- Comble le fossé opérationnel entre SecOps et DevOps
La sécurité en tant que code
L’intégration de la sécurité des applications dans le pipeline de développement est facilitée par l’utilisation d’API déclaratives. Ces commandes d’API peuvent être utilisées dans le cadre du pipeline de développement automatisé pour déployer et configurer Advanced WAF. L’automatisation peut être instrumentée par des outils déjà utilisés par les équipes DevOps tels que GitLab, Jenkins et Bitbucket.
Les politiques de sécurité WAF peuvent également être appliquées aux instances WAF existantes en utilisant les mêmes processus d’automatisation. Les politiques de sécurité peuvent être définies sous la forme d’un simple fichier JSON (JavaScript Object Notation), qui peut inclure un pointeur vers le nom et l’emplacement de la politique WAF, généralement dans un référentiel tel que GitHub.
Grâce à ce cadre, l’équipe SecOps peut créer, publier et maintenir des politiques de sécurité facilement utilisables par les équipes de développement. Les politiques peuvent varier pour chaque application. Par exemple, l’équipe SecOps peut définir une politique de base pour toutes les applications, qui protège contre le Top 10 de l’OWASP et définit les risques de sécurité les plus critiques pour les applications Web, puis d’autres politiques peuvent être publiées pour les applications nécessitant des contrôles supplémentaires, notamment celles qui traitent des données sensibles ou effectuent des transactions financières. L’équipe de développement consomme ces politiques de la même manière que d’autres éléments de code applicatif.
Figure 1 : Les organisations peuvent utiliser des API déclaratives pour intégrer la sécurité applicative dans le pipeline de développement automatisé pour déployer et configurer Advanced WAF.
Les modifications du « code » de sécurité sont automatiquement intégrées, appliquées, testées et construites par les outils d’automatisation du pipeline CI/CD. Cette approche déplace les contrôles de sécurité plus à gauche (plus tôt) dans le pipeline CI/CD, permettant à la sécurité de devenir une responsabilité partagée tout au long du processus. Comme pour toute autre partie de l’application, cela garantit une implémentation cohérente de la sécurité à toutes les étapes du cycle de vie du développement : développement, test, assurance qualité et production.
Les équipes DevSecOps interfonctionnelles peuvent utiliser des capacités d’intégration supplémentaires ChatOps (par exemple, Slack) pour accroître leur efficacité et s’assurer qu’elles sont toujours sur la même longueur d’onde. Cependant, les ChatOps peuvent aller au-delà de la simple messagerie et des alertes. Lorsqu’intégrés aux outils de pipeline, les ChatOps peuvent apporter des progrès en temps réel aux DevOps et même initier des actions de pipeline telles que des mises à jour de la politique d’Advanced WAF.
Conclusion
Pour en savoir plus sur Advanced WAF :
- Visitez F5 Advanced WAF
- Visitez la page web F5 Web App and API Protection
- Pour en savoir plus sur la chaîne d’outils d’automatisation et d’orchestration de F5
- Rejoignez la communauté technique F5
Étapes suivantes
Commencez un essai
Découvrez comment fonctionne Advanced WAF grâce à un essai gratuit.
Nous contacter
Découvrez comment les produits et solutions de F5 peuvent vous permettre d’atteindre vos objectifs.