Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Il existe enfin un moyen d'améliorer la sécurité de Cloud Container Registry
Lily Hay Newman
Alors que les attaques de la chaîne d'approvisionnement logicielle sont devenues une menace quotidienne, où les mauvais acteurs empoisonnent une étape du processus de développement ou de distribution, l'industrie de la technologie a pris conscience de la nécessité de sécuriser chaque maillon de la chaîne. Mais la mise en œuvre réelle des améliorations est difficile, en particulier pour l'écosystème tentaculaire de développement de cloud open source. Désormais, la société de sécurité Chainguard affirme disposer d'une solution plus sécurisée pour un composant omniprésent mais longtemps négligé.
Les "registres de conteneurs" sont en quelque sorte comme des magasins d'applications ou des centres d'échange où les développeurs téléchargent des "images" de conteneurs cloud contenant chacun un logiciel différent. Les services cloud que vous utilisez tous les jours naviguent constamment et silencieusement dans les registres de conteneurs pour accéder aux applications, mais ces registres sont souvent mal sécurisés avec juste un mot de passe qui peut être perdu, volé ou deviné. Cela signifie souvent que les personnes qui ne devraient pas avoir accès à une image de conteneur donnée peuvent la télécharger ou, pire, elles peuvent télécharger des images dans le registre qui pourraient être malveillantes. Le nouveau registre d'images de conteneurs de Chainguard vise à combler ce trou ésotérique mais omniprésent.
"Presque toutes les mauvaises choses possibles se sont produites avec les registres de conteneurs que vous pouvez imaginer", déclare Dan Lorenc, PDG de Chainguard et chercheur de longue date sur la sécurité de la chaîne d'approvisionnement en logiciels. "Les gens perdent leurs mots de passe, les gens poussent des logiciels malveillants exprès, les gens oublient de mettre à jour des trucs. L'industrie utilise ça depuis longtemps — tout le monde s'amusait, expédiait du code — et personne ne pensait aux conséquences à long terme."
Les chercheurs de Chainguard disent qu'ils envisagent depuis longtemps de développer un registre plus réfléchi, en particulier un registre qui supprime les mots de passe et utilise à la place une approche d'authentification unique pour contrôler l'accès au registre. De cette façon, un registre peut être conçu pour être aussi accessible ou aussi verrouillé que nécessaire, et seules les personnes connectées à d'autres comptes, comme les services d'identité d'entreprise ou les comptes Google, puis spécifiquement autorisées peuvent interagir avec le registre.
"Les registres de conteneurs ont été un maillon faible", déclare Jason Hall, ingénieur logiciel chez Chainguard. "Ils sont assez ennuyeux, assez standard. C'est un logiciel qui s'appuie sur un logiciel pour fournir un logiciel. Nous devons faire mieux et nous débarrasser des mots de passe pour parler au registre et pouvoir pousser vers le registre."
La grande limitation du déploiement d'un système comme celui-ci, cependant, a été le coût. L'exécution d'un registre de conteneurs coûte généralement très cher en raison des « frais de sortie ». En d'autres termes, les fournisseurs de cloud ne facturent pas les entreprises clientes pour télécharger des données dans le cloud, mais ils les facturent chaque fois que quelqu'un télécharge les données. Donc, si les registres de conteneurs sont comme une boutique d'applications où tout le monde vient télécharger des images de conteneurs, les frais de sortie peuvent devenir très élevés, très rapidement. Cela a découragé les travaux de refonte de la sécurité des registres de conteneurs, car personne ne voulait assumer les coûts associés à l'offre d'une alternative plus sûre.
Jérémy Blanc
Kate Knibbs
Personnel filaire
Stéphanie Mc Neal
La percée de Chainguard est survenue lorsque la société d'infrastructure Internet Cloudflare a annoncé la disponibilité générale de son service de stockage R2 en septembre. L'objectif du produit est d'offrir des frais de sortie réduits aux clients Cloudflare et même aucun frais pour les données téléchargées rarement. Une fois que R2 est apparu comme une option, les chercheurs de Chainguard avaient tout ce dont ils avaient besoin pour aller de l'avant avec un registre plus sécurisé.
Aly Cabral, vice-président de la gestion des produits pour les travailleurs de Cloudflare, déclare qu'en tant que réseau de diffusion de contenu, l'entreprise est en mesure d'offrir un service comme R2 car elle a déjà beaucoup investi dans l'optimisation de ses systèmes pour gérer et déplacer efficacement les données à travers le monde. . Et elle souligne que les frais de sortie sont problématiques dans un certain nombre de domaines, pas seulement dans le développement de logiciels cloud. Par exemple, les entreprises d'IA ont de plus en plus besoin de moyens pour déplacer leurs ensembles de données de formation vers différentes régions et plates-formes pour trouver la puissance de traitement GPU.
Cependant, lorsqu'il s'agit de créer des registres cloud plus sécurisés, Cabral affirme que l'initiative de Chainguard est exactement le type de projet que Cloudflare espérait soutenir avec R2.
"Le travail de Chainguard pour repenser l'infrastructure de livraison de logiciels clés, comme les registres de conteneurs, et s'assurer qu'elle est construite avec les principes de sécurité dès la conception dont l'écosystème a besoin, est le type d'attention proactive qui aidera à prévenir les attaques malveillantes", dit-elle. "Trop souvent, la sécurité est une réflexion après coup, ce qui peut être préjudiciable à mesure que les acteurs de la menace deviennent de plus en plus sophistiqués et avisés dans leur capacité à exploiter des mesures de sécurité inférieures aux normes."
Chainguard utilisera son registre sécurisé pour distribuer des images et rendra également la conception du registre disponible afin que d'autres puissent l'adopter. Pour les utilisateurs réguliers du Web, le changement sera invisible, mais il pourrait empêcher les retombées des attaques de la chaîne d'approvisionnement logicielle qui peuvent avoir - et ont - des impacts tangibles sur la vie des gens.