Rohde & Schwarz Cybersecurity lance R&S®Trusted Application Factory
octobre 2020 par Marc Jacob
Rohde & Schwarz Cybersecurity va plus loin dans l’innovation en lançant R&S Trusted Application Factory, fer de lance de sa stratégie de sécurisation des applications de demain visant à aider et accompagner les équipes DevSecOps.
La transformation numérique des entreprises
La transformation numérique concerne toutes les entreprises. L’intégration des nouvelles technologies telles que le Cloud oblige les entreprises à innover et mettre au point des solutions évolutives. Par ailleurs, ces derniers mois, la crise sanitaire a confirmé la nécessité d’investir massivement dans la transformation numérique. Les entreprises ont été contraintes d’investir en urgence dans leur infrastructure. On a constaté une forte demande pour sécuriser les accès à distance aux réseaux des entreprises. Le recours aux applications en mode SaaS et dans le Cloud pour la vidéo-conférence et le travail collaboratif oblige à de se poser des questions sur la sécurité, notamment des applications et des données personnelles et sensibles.
Traditionnellement, la création et la mise en œuvre de nouvelles applications prenait environ un an. Aujourd’hui, un grand nombre d’organisations adoptent un mode d’intégration et de déploiement continu. Désormais, le cycle s’est raccourci notamment grâce au DevOps qui s’appuie sur l’automatisation et la mise en commun de compétences complémentaires pour augmenter la valeur ajoutée et la réactivité des entreprises.
Une stratégie qui vise les développeurs
La stratégie de Rohde & Schwarz Cybersecurity vise à aider les équipes de DevOps à intégrer la sécurité applicative dès la phase de design, en intégrant les capacités de contrôle au sein même de leurs APIs et applications. Rohde & Schwarz Cybersecurity propose des technologies WAF depuis une vingtaine d’années. Désormais, l’entreprise rend ses technologies consommables par des développeurs. Elle propose des outils qui s’intègrent dans l’environnement et les outils déjà existants, et qui utilisent les mêmes langages et technologies de l’univers DevSecOps. C’est dans ce contexte que Rohde & Schwarz Cybersecurity lance R&S Trusted Application Factory.
Intégrer la sécurité au cœur des applications
R&S Trusted Application Factory est une solution qui s’adresse aux équipes DevSecOps avec pour objectif d’apporter de la sécurité, de la simplicité et de la visibilité.
– Sécurité : en intégrant la sécurité au plus près de l’application, il est possible de définir une sécurité plus précise et plus pertinente. Cette couche de sécurité est déployée sous forme de micro-WAF pour pouvoir monter à l’échelle ou la faire évoluer en même temps que l’application. Le fait même d’inclure la configuration de la sécurité à l’intérieur même du code de l’application permet de conserver en permanence une sécurité à jour et alignée avec la version de l’application.
– Simplicité : Pour simplifier la collaboration, il faut intégrer la solution de sécurité dans l’univers des équipes DevSecOps. Ainsi, il faut utiliser les mêmes outils, langages et concepts.
– Visibilité : Il est nécessaire de fournir de la visibilité aux différents utilisateurs et responsables : développeurs, infrastructure et sécurité. R&S Trusted Application Factory suit l’application de sa conception à son exécution en production, et fournit des indicateurs sur sa sécurité tout au long de son cycle de vie.
Le service de sécurité applicative de R&S Trusted Application Factory est déployé sous forme de container pour chaque application. Ce container peut donc « évoluer » en même temps que l’application dans des clusters Kubernetes ou Docker. Il peut ainsi s’adapter automatiquement à la charge de l’application. Il accompagne également l’application et peut se déployer aussi bien on-premise que sur le Cloud privé ou public. L’ensemble des services est géré depuis une console SaaS d’administration qui permet de superviser la sécurité des différentes applications.
La solution s’appuie sur le concept de « Context Description » pour améliorer le niveau de sécurité. En effet, les données propres à chaque application et à la disposition des équipes de développement sont essentielles pour la configuration de la sécurité. On note que le type de persistance utilisée, le langage de programmation, le système d’exploitation du serveur et les formats de données permettent d’adapter automatiquement les politiques de protection en invoquant les moteurs adaptés. En prenant en compte tous ces éléments, on obtient une sécurité accrue et une diminution du risque de faux positifs.
R&STrusted Application Factory permet d’aller plus loin en fournissant du contexte sur chaque ressource : les pages d’une application web ou les end points des API REST. L’équipe DevSecOps peut spécifier le format, la taille maximale des requêtes et des réponses, le comportement de la page en s’appuyant sur l’extension des schémas Open API qui offre la possibilité de documenter très précisément les API.
R&S Trusted Application Factory est désormais disponible avec une version destinée à lancer des projets pilotes de la phase de développement à la production. Elle intègre les principaux concepts clés tels que : Context Description, le service de micro-WAF sous forme de container, la définition des exceptions de sécurité dans le code de l’application et le suivi des services. Toutes ces fonctionnalités seront constamment enrichies pour prendre en compte les retours des équipes DevSecOps.