Comprendre les dernières mises à jour du NIST sur la sécurité des images de conteneurs

Impératif de sécurité des conteneurs : Risques, défis et conseils du NIST

‍

Les organisations s'appuient sur les conteneurs pour déployer des applications car ils offrent un certain nombre d'avantages, tels que la portabilité, l'évolutivité, l'efficacité et l'utilisation des ressources. Gartner prévoit que d'ici 2027, plus de 90 % des entreprises exécuteront des applications conteneurisées.

‍

Cependant, les organisations doivent être conscientes que l'exécution de conteneurs s'accompagne de défis de sécurité uniques : mauvaises configurations dans les clusters de conteneurs, menaces d'exécution, manque de visibilité, manque de gouvernance et risque de conformité.

‍

Si de plus en plus d'organisations exécutent des applications dans des conteneurs, nombre d'entre elles n'en sont encore qu'aux premiers stades de leur parcours et peuvent ne pas comprendre les risques ou ne pas savoir comment construire une plateforme de sécurité pour les conteneurs, les applications et la chaîne d'approvisionnement logicielle.

‍

Le National Institute of Standards and Technology (NIST) offre une variété de cadres pour fournir des conseils généraux afin d'améliorer l'hygiène de la cybersécurité, ainsi que des publications spéciales avec des lignes directrices couvrant des technologies spécifiques. Ces cadres et publications sont régulièrement révisés et mis à jour avec l'aide des professionnels de la sécurité et du public afin de s'assurer qu'ils tiennent compte du paysage actuel des menaces.

‍

NIST SP 800-161 Revision 1 : Un examen plus approfondi

‍

La publication spéciale 800-161 Revision 1 du NIST, "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations" (Pratiques de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité pour les systèmes et les organisations), qui a jeté les bases de pratiques complètes en matière de sécurité de la chaîne d'approvisionnement, a été révisée en 2022 pour répondre aux nouvelles normes de sécurité proposées par le décret 14028 de 2021 visant à améliorer la position de la nation en matière de cybersécurité.

‍

Le SP révisé du NIST intègre la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM) et la gestion des risques, et fournit des orientations sur l'élaboration de plans de mise en œuvre de la stratégie C-SCRM et sur la mise en place de politiques C-SCRM. Les lignes directrices traitent des menaces potentielles pesant sur les technologies de l'information et de la communication, en mettant l'accent sur des domaines tels que la mauvaise gestion de la configuration, les vulnérabilités du code et les pratiques d'autorisation et d'authentification.

‍

Par exemple, l'un des aspects des lignes directrices révisées concerne la surveillance et l'analyse des vulnérabilités. La surveillance concerne les développeurs, les fournisseurs et tous les prestataires de services faisant partie de la chaîne d'approvisionnement de l'organisation, et nécessite l'utilisation d'outils de collecte de données pour une visibilité et une sensibilisation continues aux éventuelles vulnérabilités.

‍

NIST SP 800-161r1 reconnaît également que les logiciels libres constituent un élément essentiel de la chaîne d'approvisionnement et souligne l'importance de la transparence, de l'examen du code et de l'engagement de la communauté dans la gestion des risques qui y sont associés. Les organisations sont encouragées à adopter une approche basée sur le risque, en priorisant les évaluations et les efforts d'atténuation pour les composants open-source en fonction de leur criticité et de leur impact potentiel. En abordant les logiciels libres dans un cadre C-SCRM plus large, la publication fournit des conseils pour atténuer les vulnérabilités et assurer la sécurité et l'intégrité des systèmes logiciels.

‍

Intégrer les lignes directrices du NIST dans les stratégies de sécurité des conteneurs

‍

Les lignes directrices du NIST autour des stratégies de sécurité des conteneurs - 800-190 et 8176 - ont été publiées en 2017 et aucune mise à jour n'est prévue pour le moment. Toutefois, les stratégies énoncées dans ces directives, l'une pour la sécurité globale des conteneurs et l'autre pour les conteneurs dans un environnement Linux, peuvent être mises en œuvre avec les directives d'autres cadres NIST.

‍

Par exemple, 800-190 met l'accent sur le déploiement d'outils spécifiques aux conteneurs pour les images afin d'éviter toute compromission, mais la gestion des vulnérabilités pour ces outils suivrait les lignes directrices présentées dans 800-161 Rev. 1. Par ailleurs, la publication spéciale 800-53 révision 5 du NIST, qui traite de la sécurité des systèmes d'information, donne encore plus de détails sur les vulnérabilités et les moyens d'améliorer la gestion de la configuration.

‍

Des organisations ont réussi à appliquer les normes du NIST pour améliorer la sécurité des conteneurs et des images. Par exemple, une société de sécurité utilise la norme NIST "pour évaluer la sécurité des conteneurs et identifier les faiblesses des contrôles". Grâce à ces lignes directrices, l'entreprise est mieux à même d'examiner l'architecture de sécurité, d'identifier les vulnérabilités et de mettre au point la meilleure solution de sécurité des conteneurs pour son client.

‍

Surmonter les défis et anticiper les développements futurs

‍

Disposer de lignes directrices pour mettre en œuvre une meilleure hygiène de sécurité des conteneurs est la première étape. Malheureusement, c'est souvent plus facile à dire qu'à faire. Les équipes de sécurité et d'informatique peuvent constater qu'elles ne disposent pas de la technologie et des outils adéquats pour exécuter le cadre NIST.

‍

En outre, un rapport récent a mis en évidence un décalage perturbateur entre la façon dont les RSSI et les développeurs envisagent la sécurité des conteneurs. Les budgets constituent un autre problème et peuvent limiter la capacité de l'organisation à acheter les systèmes nécessaires ou à embaucher une main-d'œuvre qualifiée. Pour surmonter ces difficultés, les organisations peuvent procéder comme suit :

‍

• Procéder à une évaluation de la maturité et des systèmes de cybersécurité de l'organisation, et élaborer une politique standard autour de ces besoins

‍

• Élaborer un plan énumérant les priorités et les résultats souhaités

‍

• Obtenir le soutien de la suite C et du conseil d'administration

‍

• Formation de sensibilisation dans l'ensemble de l'organisation

‍

Il existe des plans immédiats pour mettre à jour les lignes directrices relatives à la sécurité des conteneurs. Une autre publication spéciale du NIST - 800-53 Revision 5 - n'a que quelques années et est neutre sur le plan technologique, mais elle comprend de nombreux contrôles de la chaîne d'approvisionnement des logiciels. Et comme le NIST commence à s'attaquer aux questions liées à l'IA, il est probable que les conteneurs et les questions liées aux images seront inclus.

‍

Renforcer la sécurité grâce à l'expertise du NIST

‍

Alors que le paysage des menaces devient de plus en plus complexe, les acteurs de la menace cherchent tous les moyens de s'introduire dans vos applications. Ils utilisent de plus en plus les vulnérabilités trouvées tout au long de la chaîne d'approvisionnement des logiciels et profitent du manque de visibilité des conteneurs comme passerelle. En mettant en œuvre les cadres et lignes directrices du NIST, votre organisation est mieux préparée pour naviguer plus efficacement dans le paysage de la cybersécurité.

‍

‍Les ressources du NIST sont gratuites et facilement accessibles en ligne pour tous ceux qui souhaitent améliorer leurs normes générales de cybersécurité. Vous voulez vous assurer que vos images de conteneurs sont sûres et conformes ? Les images Chainguard éliminent les vulnérabilités qui ont un impact répété sur vos certifications de conformité. N'hésitez pas à nous contacter pour savoir comment nous pouvons vous aider à atteindre vos objectifs de conformité et de sécurité.