F5XC – Protection de l’infrastructure App

Je vais écrire sur un nouveau service de F5 Distributed Cloud qui vient de l'entreprise Threat Stack. Il s'agit d'une entreprise de cybersécurité récemment acquise par F5, et le nouveau service s'appelle AIP ou App Infrastructure Protection. Dans ce cas, l'intégration dans le Distributed Cloud s'est faite rapidement et directement.

Le service AIP permet à F5 d'accéder aux charges de travail dans le cloud (Cloud Workload Protection). AIP est une solution 100% de sécurité. C'est une solution totalement alignée avec un chef de sécurité (CISO). Nous savons tous que F5 propose des services de réseau ainsi que des services d'application. Dans ce cas, l'interlocuteur sera toujours quelqu'un de la sécurité.

Grâce à la transformation numérique, il existe bien plus de modèles de déploiement d'applications qu'il y a quelques années. Il y a quelques années, nous avions un serveur sur lequel l'application était déployée. C'était une simple infrastructure. Aujourd'hui, il existe des technologies telles que Kubernetes, Dockers ou des services dans plusieurs clouds. Il existe donc de nombreux modes de déploiement, très différents et très changeants. De plus, les administrateurs informatiques qui exécutent ces solutions n'ont pas le temps de gérer, d'analyser et d'améliorer l'infrastructure. Cela ouvre la porte à de nouvelles vulnérabilités et à de nouveaux problèmes. L'automatisation, le DevOps, etc. apportent de nombreux avantages et rendent le tout très agile, mais nous avons d'autres types de problèmes. En fait, il y a plus de méthodes d'attaques. Nous savons déjà que OWASP Top 10 est intégré dans F5 AWAF, mais nous travaillons maintenant avec Kubernetes, Containers as a Services, Dockers, de nouveaux modèles de gestion dans les clouds publics au niveau de l'infrastructure. En conséquence, la surface d'attaque est plus grande et il est assez compliqué d'avoir une visibilité et un contrôle de gestion sur l'ensemble de l'infrastructure.

Certaines menaces que nous pouvons trouver dans l'infrastructure sont les suivantes. Par exemple, nous aurons l'exfiltration d'informations, la modification de fichiers, l'échappement du conteneur, etc. au niveau du conteneur. Ou, nous aurons une modification de politique, un déploiement d'image non autorisé, des modifications de Kubernetes, etc. au niveau de l'orchestration. Bref, il y a beaucoup de choses à surveiller, et le contrôle de toute l'infrastructure est très difficile.

La surface de menace accrue

AIP est capable de surveiller et de collecter des informations sur tous ces appareils pour savoir ce qui se passe dans l'infrastructure. Cependant, c'est ce qu'il fait massivement. Par conséquent, AIP collecte des journaux, les analyse et nous fournit des informations et des recommandations sur ce qui se passe.

 

F5 Distributed Cloud AIP fournit une observabilité complète

Quels sont les principaux cas d'utilisation ? Tout d'abord, la détection des menaces : il dispose d'un moteur d'apprentissage qui analysera tous les appareils protégés de l'infrastructure. Par conséquent, AIP nous informera des événements que nous n'avons pas pu prévoir car une infrastructure informatique a généralement des changements prévisibles. Dans une infrastructure, vous devez apporter des changements prévisibles. Tous les changements imprévisibles seront notifiés par AIP afin que nous puissions enquêter en profondeur. Deuxièmement, le cas d'utilisation le plus important peut être la conformité car il est vraiment facile d'avoir une visibilité sur les principales normes du marché, par exemple PCI-DSS. Si vous souhaitez savoir si votre infrastructure est conforme à une norme, grâce à AIP, il est très facile de le savoir car il y a beaucoup de granularité et tellement de détails sont collectés qu'il est très facile de générer un rapport de conformité pour savoir où nous nous conformons à une norme et à quel point nous ne nous conformons pas pour améliorer la plateforme. Il existe des rapports utiles à présenter lors d'un audit. Enfin, un autre cas d'utilisation est la posture de sécurité liée aux intégrations avec les clouds publics. Par exemple, AWS est actuellement pris en charge et il est très facile de se connecter à l'API de AWS pour surveiller ce qui se passe dans l'infrastructure hébergée dans ce cloud public. Ainsi, AIP pourrait nous avertir s'il y a un bucket ouvert à tout le monde et qu'il n'a aucun type de contrôle d'accès, ou par exemple s'il y a des rôles qui ont trop d'autorisations.

 

Principaux cas d'utilisation

Comment fonctionne l'AIP ? Il fonctionne principalement par télémétrie, c'est-à-dire en collectant la télémétrie de tous les serveurs, des clusters Kubernetes et de l'ensemble de l'infrastructure. De plus, AIP est également proposé en tant que service géré où tous les événements sont envoyés à F5XC et, en cas d'événement d'anomalie, le client est averti et le problème de sécurité est expliqué afin de mener une enquête et une atténuation. Il s'agit donc d'une solution de visibilité car AIP détectera, investiguera et proposera des recommandations d'atténuation. Cependant, la télémétrie prend tout son sens quand on parle de règles. Nous avons un règlement basé sur des normes et des recommandations. D'une part, il existe des règles propres à F5, mais d'autre part, il existe également des recommandations d'AWS, de Docker, de la norme CIS, de Mitre, etc. Il existe donc de nombreuses règles prédéfinies. De plus, AIP est capable de prédire le comportement de l'infrastructure et nous informera des problèmes prévisibles.

Á bientôt !