Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Red Hat dévoile ses nouveaux niveaux de sécurité pour ses solutions

mai 2022 par Marc Jacob

Red Hat Inc. annonce que son portefeuille de technologies de cloud hybride ouvert comportait un ensemble de nouvelles innovations et de capacités en termes de sécurité. Ces innovations, conçues pour aider les entreprises à réduire les risques et à répondre aux exigences de conformité à travers de multiples environnements informatiques de plus en plus complexes mêlant services cloud, systèmes traditionnels et périphériques,ont pour but de minimiser la complexité des processus tout en aidant les clients à améliorer leur posture de sécurité et à employer le modèle DevSecOps.

Selon le rapport Global Tech Outlook 2021de Red Hat, 45 % des personnes interrogéesplacent la sécurité informatique en tête de leurs priorités de financement. Toutefois, la sécurité informatique n’est pas une demande statique –les contrôles règlementaires, les exigences de conformité et les acteurs malveillants évoluent presque quotidiennement, ce qui exige une vigilance quasi permanente de la part des équipes de sécurité informatique. Red Hat est depuis longtemps un leader en matière de sécurité pour les solutions open source d’entreprise, à commencer par Red Hat Enterprise Linux, considérant la sécurité comme un composant fondamental et non comme un ajout. KuppingerCole Analysts a récemment reconnu Red Hat comme le leader global dans son Leadership Compass for Container Security. Selon l’évaluation de KuppingerCole,

"Avec une présence massive sur le marché et une expertise prouvée dans la gestion des conteneurs, renforcée par l’acquisition et l’intégration récentes de StackRox, une société leader dans la sécurité des conteneurs, Red Hat est reconnu comme le leader global dans ce Leadership Compass."Red Hat poursuit sa démarche constante d’innovation pour faire progresser la sécurité dans les environnements de clouds hybrides, qu’il s’agisse d’environnements sur site, de clouds multiples ou edge, et ce, sur l’ensemble du cycle de vie technologique et de la pile logicielle.Mieux sécuriser la chaîne logistique des logicielsLa sécurisation des applications, du développement à l’ensemble du cycle de vie, peut s’avérer complexe et nécessite souvent la participation de plusieurs composants. Pour simplifier le processus de mise en œuvre des fonctions de sécurité tout au long du processus de construction, de déploiement et d’exécution, Red Hat va lancer un modèle de sécurité dela chaîne logistique des logiciels.

Fournis via Red Hat Openshift, les modèles offrent des piles complètes sous forme de code et définissent, construisent et valident les configurations logicielles nécessaires. Disponible en avant-première, le modèle de sécurité de la chaîne logistique des logicielsr assemblera les composants nécessaires à l’architecture d’applications cloud-native à partir de composants de confiance.Le modèle utilise un pipeline natif de Kubernetes et intégré en continu via Red Hat OpenShift Pipelineset Red Hat OpenShift GitOpspour le contrôle de version, ce qui permet de réduire la complexité et de gagner du temps. En outre, en passant parTekton Chains, le modèle intégrera Sigstore,un projet open source qui vise à rendre la signature cryptographique du code plus accessible. Cet ajout facilite la signature des artefacts dans le pipeline lui-même plutôt qu’après la création de l’application.Par ailleurs, la plateforme Red Hat Ansible Automation Platform 2.2comprend un aperçu technique de la technologie de signature de contenu Ansible. Cette nouvelle fonctionnalité contribue à la sécurité de la chaîne logistique des logiciels en permettant aux équipes chargées de l’automatisation de vérifier que le contenu d’automatisation exécuté dans leur entreprise est vérifié et fiable.Améliorer le cycle de vie des applications de sécurité, du data center à la périphérie à mesure que les entreprises adoptent des architectures cloud-native, leurs besoins fondamentaux en matière d’environnements renforcés, de diminutiondes surfaces d’attaque et de détection et de réponse plus rapide aux menaces restent similaires. Les applications qui fonctionnent en dehors des environnements informatiques traditionnels, y compris à l’edge, introduisent ainsi des exigences de sécurité supplémentaires, qui amplifient davantage la complexité de ces défis.Au-delà des exigences de sécurité physique des périphériques, les DSI et les décideurs informatiques constatent de plus en plus la nécessité de protéger les charges de travail en conteneur qui s’exécutent sur ces périphériques. La mise en œuvre de stratégies et de capacités pour empêcher le déplacement latéral d’attaques ou de brèches potentielles à travers les déploiements périphériques pourrait constituer un exemple probant. Red Hat Advanced Cluster Security pour Kubernetes apporte une réponse prête à être déployée à ces préoccupations, avec des capacités clés pour protéger les charges de travail en périphérie,telles que :

Un DevSecOps automatisé dans le pipeline CI/CD pour aider à protéger la chaîne logistique es logiciels dans les environnements périphériques par la gestion des vulnérabilités, l’analyse de la configuration des applications et l’intégration CI/CD.

Une protection des menaces qui offre des capacités de détection des menaces et de réponse aux incidents au moment de l’exécution pour les menaces courantes.

Une segmentation du réseau pour renforcer l’isolement des charges de travail, analyser la communication des conteneurs et détecter des voies de communication réseau à risque.

La sécurité intégrée commence dès le système d’exploitation Lors de son enquête sur les conseils d’administration conduite en 2022, Gartner®a observé que 88 % de membres classaient la cybersécurité comme un risque métier, alors que seulement 12 %le considéraient comme un risque technologique.1Les vastes ramifications d’une cyberattaque ou d’une violation de données ont conduit à une surveillance accrue des environnements informatiques,aussi bien par les investisseurs que parles régulateurs. Il est donc essentiel de fortifier les environnements informatiques contre ces incidents potentiellement dommageables ; Red Hat estime que cet effort commence dès le système d’exploitation, ce qui est mis en évidence par Red Hat Enterprise Linux.Red Hat Enterprise Linux 9 introduit les hachages et signatures numériques IMA (integrity measurement architecture), un procédé qui donne aux utilisateurs les moyens de vérifier l’intégrité du système d’exploitation à l’aide de signatures et de hachages numériques. Cela permet également de détecter les modifications malveillantes dans toute l’infrastructure, ce qui facilite la limitation du potentiel de compromission des systèmes.Les fonctions de sécurité clés supplémentaires de Red Hat Enterprise Linux 9 comprennent :Une sécurité renforcée autour des privilèges root en désactivant la connexion root via SSH par défaut. Cela permet d’empêcher la découverte des mots de passe root par des attaques par force brute et d’améliorer les postures de sécurité de base d’un environnement d’exploitation.Prise en charge des derniers cadres cryptographiques avec l’intégration d’OpenSSL 3, ce qui permet aux équipes informatiques de mettre en œuvre de nouveaux algorithmes de chiffrement pour crypter et protéger les informations sensibles.Renforcement des meilleures pratiques de sécurité en désactivant par défaut la fonction de hachage SHA-1 cryptographiquement cassée pour la signature numérique, ce qui améliore l’hygiène de la sécurité.En outre, Red Hat et IBM Research collaborent à l’extension des aspects fondamentaux de la sécurité du noyau Linux, notamment en prenant en charge la signature et la vérification des signatures numériques à courbe elliptique. Ce travail élargit les algorithmes pris en charge et réduit la taille des signatures numériques utilisées dans le noyau Linux.

Disponibilité : Le modèle de sécurité de la chaîne logistique des logiciels devrait être disponible dans le courant du deuxième trimestre 2022.Red Hat Enterprise Linux 9 sera disponible dans les semaines à venir.


Voir les articles précédents

    

Voir les articles suivants