● Kaspersky FR 📅 01/06/2026 à 14:12

Cybersécurité 👤 Dmitry Pavlukhin

🏷️ Tags : cve vulnérabilités réseau surveillance

Parmi les différents outils proposés par Kaspersky figure une plateforme spécialement conçue pour sécuriser les environnements conteneurisés. Mais dans cet article, je souhaite vous parler de Kaspersky Container Security (KCS) – non pas en tant que représentant du fournisseur, mais en tant que membre d’une équipe qui utilise activement cette solution dans son travail quotidien. Notre équipe chargée de la sécurité des produits est chargée de mettre en place des processus de développement sécurisés à l’échelle de l’entreprise. Nous intervenons à chaque étape du cycle de vie du développement logiciel, et notre priorité est d’aider les équipes produit à détecter les problèmes de sécurité dès leur apparition afin qu’elles puissent respecter le calendrier de leurs lancements. Pour y parvenir, nous avons mis en place plusieurs processus, dont l’un est spécialement axé sur la sécurité des conteneurs. C’est précisément à ce niveau que nous pouvons compter sur notre propre plateforme Kaspersky Container Security. Les solutions de sécurité pour les conteneurs sont généralement considérées avant tout comme des outils d’analyse d’images destinés au registre de conteneurs. Cependant, Kaspersky Container Security (KCS) est davantage une plateforme de sécurité complète destinée aux environnements de conteneurs, qui prend en charge diverses tâches grâce à son intégration de bout en bout au flux de travail des conteneurs. Bien qu’il permette sans aucun doute d’analyser des images de conteneurs, ce qui est évidemment important, notre utilisation de KCS nous a démontré que sa véritable force réside dans son intégration simultanée à plusieurs étapes du flux de travail : Modèles standard Vérification des artefacts avant la sortie ou le déploiement Surveillance des conteneurs déjà en cours d’exécution dans le cluster Le scénario de base : comment KCS analyse les images Au fond, il s’agit d’un processus classique. KCS analyse les images à la recherche de problèmes courants dans les conteneurs : vulnérabilités connues, programmes malveillants, secrets codés en dur et erreurs de configuration. Cependant, le résultat de l’analyse n’est pas un simple verdict abstrait. Le système calcule une note de risque à partir des résultats, offrant ainsi une image claire de l’état de sécurité de la ressource. Dans la pratique, cette fonctionnalité est extrêmement utile, car les équipes ne se voient pas simplement un message » image non conforme « , mais obtiennent une analyse détaillée et transparente des facteurs à l’origine du risque et des mesures à prendre en priorité. Mais ce n’est pas tout. KCS fonctionne parfaitement dans les cas où la recherche d’un problème ne suffit pas : vous devez l’associer au cycle de vie de l’artefact. Lorsqu’une équipe gère des centaines de versions, une analyse périodique du registre ne suffit pas et nécessite presque toujours une intervention manuelle. Vous devez savoir quel pipeline est à l’origine du risque, quelles politiques ont été déclenchées et quelles sont les prochaines étapes. KCS assure ce lien essentiel. Scénario avancé : intégration CI/CD L’une des fonctionnalités moins connues de KCS est sa capacité à effectuer des analyses à grande échelle au sein des pipelines CI/CD. Pour notre équipe, c’est la manière la plus efficace d’utiliser le KCS. Le principe est simple : vous intégrez le scanner dans le pipeline, et les résultats de l’analyse apparaissent directement dans les journaux d’exécution. Ils sont également transmis à la console centrale de la solution, où ils sont consignés dans une section CI/CD dédiée qui relie les résultats au nom de l’artefact, à l’heure de l’analyse, au pipeline et au niveau de gravité. Dans un environnement CI/CD, vous pouvez analyser des images à partir d’archives tar ou directement à partir de dépôts Git. Prêt à l’emploi, KCS prend en charge GitLab, Jenkins, TeamCity et GitHub Actions. Dans la pratique, KCS peut être intégré à n’importe quel orchestrateur de pipeline. Un autre aspect essentiel de l’utilisation de KCS dans le cadre du CI/CD concerne les stratégies de sécurité. Notre solution repose sur un modèle dans lequel les règles permettent non seulement de collecter les résultats, mais aussi de contrôler le comportement du pipeline lui-même. Cette fonctionnalité s’avère particulièrement utile pour les déploiements progressifs. Vous pouvez commencer en mode audit, puis passer progressivement à des compilations défaillantes lorsque des secrets, des erreurs de configuration critiques ou des vulnérabilités sont détectés. Cette approche progressive s’avère généralement plus efficace que de simplement appuyer sur un bouton pour tout bloquer d’un seul coup. Comment KCS facilite nos processus de travail Nous disposons de notre propre système d’analyse de composition. Nous n’utilisons donc pas exclusivement KCS comme source de référence. Au contraire, il constitue un atout supplémentaire puissant dans nos processus de travail, et c’est précisément là que nous en tirons le plus grand bénéfice. Alors que notre système interne d’analyse de la composition gère le suivi des composants, les dépendances et l’évaluation des risques au niveau du code, KCS excelle dans la sécurisation du périmètre des conteneurs. Il gère la numérisation technique des images et la sécurité CI/CD, tout en regroupant les rapports sur les artefacts des conteneurs. Cela ne remet pas en cause notre analyse interne, mais la renforce précisément là où les conteneurs prennent en charge les charges de travail réelles. Cela nous est particulièrement utile dans deux cas de figure. D’une part, il permet de contrôler les artefacts dès les premières étapes du développement. D’autre part, il joue un rôle de contrôleur lors de la validation des versions. Nous ne discutons plus des risques après la sortie. Nous les détectons là où l’équipe peut encore corriger rapidement un Dockerfile, un chart Helm ou un jeu de configurations, sans processus d’approbation interminable. Sa gestion de la nomenclature logicielle (SBOM) mérite également d’être soulignée. Notre système repose principalement sur des SBOM à jour et pertinentes. KCS propose des modes spécialement conçus pour le traitement des SBOM et peut même générer des résultats d’analyse dans ce même format. À cet égard, KCS s’intègre parfaitement à nos processus internes, ce qui nous permet de l’adapter à nos flux de travail existants, et non l’inverse. Pourquoi KCS est bien plus qu’un simple scanner à nos yeux Son autre atout majeur réside dans la sécurité des clusters. À ce stade, KCS ne se limite pas à un simple outil d’analyse d’images. Il propose des règles d’exécution pour les conteneurs et les nœuds, des modes d’audit et de blocage, ainsi qu’un ensemble de profils de sécurité. Concrètement, cela signifie que KCS peut être utilisé non seulement pour détecter les vulnérabilités au sein d’une image, mais aussi pour surveiller l’activité réelle du conteneur une fois qu’il est en service. Les stratégies peuvent prendre en compte la provenance des images, les signatures numériques, les restrictions en matière de capacités et de volumes, et même les processus et les connexions réseau exécutés à l’intérieur du conteneur. Lorsqu’un problème est détecté, il est possible d’enregistrer d’abord les résultats en mode audit plutôt que de bloquer immédiatement le processus. Dans les environnements de production, c’est toujours la meilleure solution. Un autre outil essentiel consiste à garantir la traçabilité fiable des images. KCS prend en charge la vérification des signatures numériques, ce qui permet de ne plus se limiter à la simple détection des vulnérabilités (CVE), mais de sécuriser l’ensemble de la chaîne logistique logicielle de l’entreprise. Production de rapports KCS ne se contente pas d’afficher les problèmes qu’il détecte. Il constitue une source complète d’informations. Il permet de générer des rapports sur les images, les risques acceptés et les benchmarks Kubernetes. Les rapports générés sont disponibles aux formats HTML, PDF, CSV, JSON et XML, avec une prise en charge spécifique du format SARIF pour les rapports détaillés, ce qui est idéal pour l’intégration dans les flux de travail de sécurité des applications. En ce qui concerne les SBOM mentionnées ci-dessus, les scénarios d’analyse peuvent générer des artefacts et des résultats aux formats CycloneDX et SPDX, ce qui facilite leur intégration dans les processus existants. Pourquoi nous continuons à utiliser KCS Pour faire simple, KCS complète parfaitement nos processus de travail – non pas parce qu’il résout tous les problèmes, mais parce qu’il s’intègre efficacement dans les scénarios d’ingénierie. Nous apprécions également que l’équipe produit tienne compte de nos commentaires. L’équipe KCS intègre réellement nos requêtes opérationnelles dans sa feuille de route de développement. Par exemple, l’intégration poussée des SBOM et certains types de rapports spécifiques ont été ajoutés à KCS directement grâce à notre expérience de terrain. En résumé, lorsqu’il est correctement intégré, Kaspersky Container Security permet de couvrir plusieurs domaines à la fois : de l’analyse de base des conteneurs à la sécurité des environnements CI/CD et des clusters. D’après notre expérience, cette solution apporte une réelle valeur ajoutée au sein d’un écosystème de conteneurs dynamique. Pour en savoir plus sur cette solution, consultez la page officielle de KCS.

🔗 Lire l'article original 👁️ 0 lecture