Concevoir, déployer et exécuter des applications cloud natives sous forme de containers sur site ou dans le cloud nécessite des mesures de sécurité adaptées. D’autant plus que ces applications composites interagissent avec des composants tiers et souvent externes (API, services Web, etc.). Et alors qu’elles utilisent des solutions open source, qu’en est-il de leur intégrité, de fiabilité et de leur sécurité? En outre, il s’agit également de contrôler les accès d’utilisateur parfois inconnus a priori et de disposer d’une traçabilité et d’une visibilité globale.
Le moyen le plus efficace pour ses applications mises à jour en continu (donc exposées en continu) semble être une plateforme de sécurité agissant spécifiquement à chaque étape du cycle de développement DevOps: développement, build, déploiement, exécution, modifications…
Aqua Security, l’histoire continue…
Plusieurs startups se sont rapidement préoccupées de cette problématique et en ont fait leur spécialité. Parmi les précurseurs, Place de l’IT dressait début 2018 un portait d’Aqua Security, suite à une rencontre avec ses fondateurs à Tel-Aviv (l’IT Press Tour). En 2015, Amir Jerbi (ex de CA Technologies et concepteur d’Access Control) et Dror Davidoff (ex de ClickTale, McAfee, Sentrigo, cVidya, Netegrity) ont créé la startup Scalock, rebaptisée Aqua Security, afin de fournir une solution de sécurité évolutive protégeant tout le cycle de vie (y compris en production) des applications “containerisées”.
Depuis, la startup a bien grandi! A l’époque, elle employait 65 collaborateurs et avait levé 35 millions de dollars. En 2018, la plateforme devient Kubernetes Native et supporte Amazon EKS (Elastic Kubernetes Services) ou encore Pivotal Cloud Foundry.
En 2019, Aqua 4.0 apporte le support des machines virtuelles (en plus des containers), des fonctions assurance et de détection d’anomalie en mode serverless, et sait reprendre les mesures de sécurité et de conformité du système d’exploitation hôte.
La startup lève alors 62 millions de dollars (Ligthspeed Venture, Insight Partners, M12 -Microsoft, TLV Partners et Shlomo Karmer -cofondateur de Checkpoint Software). Aqua 4.2 arrive avec son Vulnerability Shield avec détection et blocage des tentatives d’attaque en temps réel et sa technologie NanoEnforcer protégeant l’exécution des fonctions serverless.
En novembre 2019, Aqua Security annonce l’ajout du support des VM (même celles n’exécutant pas de containers) avec micro-segmentation côté sécurité. Dans la foulée, elle rachète CloudSploit, spécialiste de la gestion de la posture de sécurité dans le cloud (CSPM) et de l’open source. Le CSPM (Cloud Security Posture Management) consiste à vérifier en continu les erreurs de configuration et le respect des politiques de conformité sur les infrastructures cloud (IaaS, PaaS ou SaaS). En effet, les entreprises restent juridiquement responsables de ces aspects.
En mai 2020, alors qu’elle vient de lancer Dynamic Threat Analysis (sandbox pour containers), Aqua lève 30 millions de dollars (Ligthspeed Venture, Insight Partners, M12 -Microsoft, TLV Partners et Greenspring Associates). Elle compte alors 250 collaborateurs.
En juillet 2020 (en plein confinement mondial), elle lance Aqua SaaS (sa plateforme CSP jusque-là uniquement sur site ou en mode IaaS) et Aqua CSPM (suite au rachat de CloudSploit), suivi de sa déclinaison pour Kubernetes Aqua KSPM (sans agent).
L’année 2021 sera une année charnière avec une levée de 135 millions de dollars en mars (M12 Ventures, Lightspeed Venture Partners, Insight Partners, TLV Partners, Greenspring Associates et Acrew Capital). L’opération porte son financement total à 265 millions de dollars et l’amène au statut de licorne avec une valorisation à plus d’un milliard de dollars. Elle rachète alors le projet open source TFSec en juillet (projet d’analyse statique pour l’infrastructure-as-code dans un flux DevOps) et Argon Security, un concurrent spécialiste des attaques de type Supply Chain (par traçage et vérification en continu de l’intégrité du code, des actifs, de l’environnement de développement, etc.).
En novembre 2021, le fonds californien Capital One Ventures investit une somme non communiquée dans Aqua Security.
Une plateforme unifiée intervenant sur 3 axes
Disponible en SaaS ou en logiciel sur site, la Cloud Security Platform (CSP) d’Aqua Security fait partie de ce que l’on appelle aujourd’hui les CNAPP (Cloud Native Application Protection Platform ou plateforme de protection des applications cloud native). Disponible sur tous les clouds (en mode public, privé ou multicloud), Aqua CSP sécurise les containers, les machines virtuelles et même les fonctions serverless.
S’intégrant aux côtés de outils de la chaîne DevOps, la solution procure une sécurité et une protection sur trois niveaux: le Build pour prévenir dès la conception de l’application (sécurité du code, des images, et fonctions, règles de sécurité, etc.), l’infrastructure pour un environnement fiable (gestion de la posture de sécurité cloud et gestion de la conformité sur le clou et les infrastructures kubernetes, contrôle et orchestration à travers les divers hyperscalers etc.), et les workloads pour protéger l’environnement d’exécution (immutabilité et gestion des privilèges, visibilité des workloads et des connexions pour gérer les accès et investiguer si nécessaire).
L’utilisation d’une plateforme unifiée permet à Aqua Security de disposer d’une base de données unique accessible à toutes les fonctions et tous les modules. Ainsi, chacun profite des résultats et découvertes des autres sur tout le cycle de vie de l’application, comme la découverte et la catégorisation des risques. Ce qui a aussi pour résultat de l’imiter fortement les faux positifs contrairement à une approche combinant divers outils.
Des nouveautés majeures pour y voir plus clair
L’éditeur vient d’annoncer de nouvelles fonctionnalités sur sa plateforme CNAPP.
Pour concevoir une application, un ou plusieurs développeurs produisent divers blocs de code, prototypes, modèles de donnée, etc. Ces artefacts se multiplient rapidement et deviennent vite complexes à répertorier et à classer. Aqua Cloud Security Platform sait désormais découvrir automatiquement les artefacts (ainsi que les ressources “cloud native”) et les classer en quelques minutes.
L’inventaire des actifs répertorie les clusters Kubernetes, conteneurs, fonctions, machines virtuelles, registres et autres ressources cloud. Puis il les associe aux informations sur les vulnérabilités, erreurs de configuration, données sensibles, malwares, etc. Et ce moteur sait filtrer les actifs selon leur catégorie, leur type ou la gravité du ou des risque(s) associé(s).
Indispensable pour s’assurer à tout moment du bon fonctionnement des applications, la solution analyse les workloads cloud afin de détecter les éventuelles vulnérabilités, malware… (qui évoluent eux aussi) pendant l’exécution de l’application. Et la liste des résultats classés par ordre de priorité est générée en quelques minutes.
Enfin, la fonction Cloud Security Insights s’appuie sur des graphes pour fournir une analyse globale et complète des risques de chaque application. Une visibilité salutaire et indispensable.
L’éditeur signale enfin qu’il est possible d’associer sa plateforme CNAPP à sa solution de détection et réponse cloud native Aqua CNDR (Cloud Native Detection ans Response) pour disposer d’une catégorisation des risques évoluée sur tout le cycle de vie applicatif. Le tout est évidemment automatisé.
Plus de visibilité et de compréhension, n’est-ce pas le minimum pour éviter de mener une politique de sécurité en plein cyber-brouillard?
Tags Aqua CNDR Aqua CSP Aqua CSPM Aqua KSPM Aqua SaaS Argon Security Cloud Security Insights CloudSploit CNAPP Dror Davidoff Dynamic Threat Analysis NanoEnforcer TFSec Vulnerability Shield