Sécurité et DevOps : un lien à entretenir
This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol
Face à l’émergence des nouvelles architectures applicatives (comme les conteneurs et les architectures à maillage de services), des architectures sans serveur (« serverless »), des charges de travail natives Cloud et au recours croissant aux API, les organisations ont désormais besoin d’une protection des applications Web et des API capable d’assurer une sécurisation à la vitesse du développement – sans compromettre l’agilité, le délai de mise sur le marché ou la productivité globale.
Ces solutions doivent faire preuve de flexibilité par rapport aux environnements de développement et s’adapter aux besoins de l’entreprise. Avant d’envisager une solution, il convient de s’assurer qu’elle répond à la fois aux besoins de l’équipe DevOps et aux besoins de l’équipe de sécurité.
Voici quelques-unes des caractéristiques clés à prendre en considération lors de l’évaluation d’une protection WAAP qui s’intègre bien dans votre pipeline CI/CD.
Cohérence dans tous les environnements informatiques hybrides
Les centres de données, les Clouds privés et les Clouds publics ont tous besoin de réglages fins et d’ajustements qui ont pour effet d’engendrer des lacunes dans la posture de sécurité applicative de votre organisation. Privilégiez les solutions de sécurité qui assurent une sécurité unifiée, robuste et cohérente quel que soit l’environnement dans lequel vos applications s’exécutent.
Meilleure visibilité des événements de sécurité qui méritent une attention (en particulier les API) et des métriques de performances
En adoptant une approche intégrée de la sécurité, vous obtenez une vue intégrée à 360 degrés des problèmes de sécurité et des performances via un emplacement centralisé.
[Sur le même thème : Comment sécuriser les API dans un monde interconnecté]
Évolutivité
Ce terme désigne des solutions de sécurité qui font preuve d’« élasticité ». Elles peuvent faire progresser et adapter la sécurité applicative au moyen d’outils d’orchestration du développement, protégeant l’ensemble des instances et des charges de travail, avec notamment des règles d’apprentissage automatique et des paramètres de configuration.
Une sécurité efficace (protection Zero-Day)
Les modèles de sécurité négatifs et positifs sont nécessaires pour se protéger contre les menaces connues et inconnues, optimisant ainsi la sécurité et limitant les faux positifs pour une meilleure expérience utilisateur.
Une sécurité adaptative
La détection immédiate des nouvelles applications et des applications modifiées dans le pipeline CI/CD s’avère insuffisante et doit être relayée par la génération et l’optimisation automatiques des règles de sécurité.
[Sur le même thème : La sécurité applicative en 2021]
Une intégration sans risque
Une intégration sans risque aux divers outils et systèmes mettant en péril le développement applicatif et les solutions d’orchestration pour éviter autant que possible les retards dans les cycles de développement et de mise en production.
La progression de la sécurité applicative dépendra essentiellement de la capacité des équipes produit et de développement applicatif à équilibrer le besoin de sécurisation des infrastructures pendant la migration des applications dans des Clouds publics via l’automatisation et la gouvernance. Les organisations doivent changer leur façon de gérer la sécurité des applications et des API, tant du point de vue du rôle qu’elle joue dans le développement applicatif que des solutions de sécurité qu’elles mettent en place pour les protéger.