Verizon Communications Inc. exploite l’un des principaux réseaux sans fil des États-Unis ainsi qu’un réseau national entièrement en fibre optique, et fournit des solutions intégrées aux entreprises du monde entier. La société compte 163 400 employés et a généré des revenus de près de 126 milliards de dollars en 2016.
Verizon est l’un des plus importants fournisseurs de technologies de communication au monde. La société connecte chaque jour des millions de personnes, d’entreprises et de communautés par le biais de son réseau primé pour percer dans les domaines du divertissement interactif, du multimédia numérique, de l'Internet des Objets et des services haut débit.
En tant que fournisseur de technologies pour de nombreuses entreprises leaders mondiales, Verizon est bien conscient des avantages du cloud computing. Pour prendre en charge la migration de ses applications métier vers Amazon Web Services (AWS), Verizon cherchait un moyen de dimensionner ses processus de validation de sécurité pour ne pas se limiter aux opérations manuelles de son équipe de sécurité. Chris Durand, directeur des services d'intégration de la sécurité du cloud chez Verizon, souligne que Verizon devait prendre en compte plusieurs facteurs pour apporter une solution efficace, notamment :
Environnement physique partagé— Grâce aux applications sur site, Verizon sait quels autres éléments s'exécutent dans son centre de données. Grâce au cloud, comme l’indique C. Durand, « Il n’existe aucune barrière physique : l’une de nos applications pourrait être exécutée sur le même serveur que celui de nos concurrents ».
Différents modèles de déploiement — Dans un modèle sur site, le matériel est déployé par l'équipe chargée du matériel, à l'instar des systèmes d'exploitation qui le sont par une autre équipe, etc. Dans le cloud, les développeurs, qui ne sont pas des experts dans ces deux aspects du déploiement, sont ceux qui mettent en service le matériel et les systèmes d'exploitation, ce qui constitue une raison supplémentaire de vérifier la configuration de la sécurité.
Recours à l'automatisation — Dans le cloud, le déploiement repose sur l'automatisation. Pour intégrer les processus de déploiement et prendre en charge les applications que Verizon envisage de migrer vers AWS, l'entreprise doit également prendre en charge la sécurité de manière automatisée.
« Nous utilisons une approche de défense en profondeur qui inclut de nombreux niveaux de contrôle, notamment préventif, de détection et de correction automatique », explique C. Durand. « La première partie, préventive, concerne l’arrêt du déploiement de mauvaises configurations de sécurité ».
Le nouveau DSOP (Development-Security-Operations Pipeline) de Verizon est une méthode préventive qu'utilise la société pour que les applications déployées sur le cloud public respectent toutes les stratégies de sécurité des applications cloud. DSOP, qui fonctionne lui-même sur AWS, a été conçu avec l’aide de Stelligent, une division de HOSTING et un partenaires consultant Premier du réseau de partenaires AWS (APN).
L’utilisation d'AWS CloudFormation permet aux développeurs et aux administrateurs système d’utiliser du code pour provisionner, mettre à jour et gérer un ensemble de ressources AWS associées, appelée pile, de manière cohérente et contrôlée. DSOP s'appuie sur AWS CloudFormation en représentant les éléments de validation de la sécurité nécessaires sous la forme de code, facilitant ainsi la mise en place d'un moyen automatisé d'assurer la conformité aux stratégies de sécurité.
« Nous avons accepté le fait que l'infrastructure est du code et que son développement devrait être traité comme tel », déclare C. Durand. « La progression logique suivante consiste à traiter la sécurité en tant que code afin d'automatiser et d'accélérer son intégration dans le processus de développement. Ce n'est que lorsque nous intégrerons tous les intervenants nécessaires à la fourniture des solutions cloud dans le processus de développement que nous pourrons réellement atteindre les objectifs requis dans une culture DevOps. La sécurité est la frontière suivante ».
DSOP divise le processus de validation de la sécurité en trois étapes indépendantes. Si une application ne passe pas la première étape, elle n’atteindra ni la deuxième, ni les suivantes, notamment :
Étape 1 : Analyse statique des modèles CloudFormation. Dans la première étape du pipeline, DSOP utilise CFN_NAG, un outil open source de Stelligent, pour effectuer une analyse statique du modèle CloudFormation. L'outil utilise des règles écrites par Stelligent pour vérifier les paramètres liés au chiffrement, à la journalisation des accès, aux groupes de sécurité et à la gestion des identités et des accès. Les résultats de CFN_NAG incluent les identificateurs de ressources logiques pour les ressources qui violent les règles de sécurité et une explication de la règle qui a été violée. Vous trouverez plus d'informations sur CFN_NAG dans cet article de blog Stelligent.
Étape 2 : Analyse de la pile CloudFormation déployée. Dans la deuxième étape du pipeline, DSOP utilise le modèle CloudFormation pour déployer l'application dans un environnement de test créé explicitement pour la validation de la sécurité. DSOP utilise ensuite le service AWS Config avec des règles écrites par Stelligent pour évaluer, auditer et évaluer les configurations de sécurité des ressources AWS créées dans la pile CloudFormation.
Étape 3 - Analyse de vulnérabilité. Dans la troisième phase du pipeline, DSOP utilise un produit tiers pour rechercher les vulnérabilités qui n'auraient pas été détectées lors des étapes 1 et 2, telles que les versions vulnérables des outils d'infrastructure ou l'absence de correctifs du système d'exploitation. Après l'analyse de vulnérabilité, l'environnement de test est détruit.
Les résultats du pipeline sont signés par une signature numérique, vérifiée par un agent du pipeline de déploiement automatisé de la société (basé sur Red Hat Ansible) pour déterminer si l’application est approuvée pour le déploiement en production. Chaque étape du pipeline peut également être gérée indépendamment par des équipes de développement.
« Presque tous les outils de sécurité nécessitent l'instanciation des ressources dans AWS pour qu'ils puissent valider une configuration de sécurité », explique C. Durand. « L’outil CFN_NAG de Stelligent résout ce problème en lisant et en évaluant un modèle CloudFormation pour le respect des stratégies de sécurité personnalisables avant de procéder à une opération CREATE_STACK. CFN_NAG pouvant également être utilisé indépendamment par les développeurs, il constitue un moyen efficace de détecter les mauvaises pratiques de codage au début du processus, telles que les ports non verrouillés ou un compartiment de code avec une ACL en lecture publique ».
Architecture de solution DSOP
DSOP s'exécute en tant que pipeline Jenkins dans Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) étant utilisé pour la capture des journaux et d'autres tâches de stockage. DSOP utilise également Amazon CloudFormation pour le déploiement de la pile (et le déploiement du service CFN_NAG lui-même), AWS Config pour la vérification dynamique de la conformité et AWS Lambda pour les règles de configuration personnalisées.
Conçu avec l’aide de Stelligent, DSOP de Verizon offre à la société un moyen automatisé de vérifier la bonne configuration de la sécurité de son infrastructure AWS avant le déploiement en production. Les avantages spécifiques comprennent :
Conformité totale aux stratégies de sécurité. DSOP offre à Verizon un moyen cohérent de garantir que les applications déployées sur le cloud AWS respectent toutes les règles de configuration de la sécurité, ce qui permet à l'entreprise de détecter les risques de sécurité potentiels avant le déploiement en production. « DSOP a démontré que nous pouvions atteindre une conformité à 100 % avec les stratégies de sécurité», déclare C. Durand. « De plus, avec DSOP, nous pouvons vérifier la configuration de sécurité d’une application dans un environnement de non-production, ce qui est beaucoup moins coûteux en termes de ressources que de trouver un problème après le déploiement ».
Support du développement agile. DSOP est entièrement en libre-service ; les équipes de développement peuvent l'exécuter à tout moment pour s'assurer que leurs applications sont prêtes pour la production, au lieu de transférer une application uniquement pour déterminer ultérieurement que des modifications de configuration sont nécessaires. « DSOP est entièrement automatisé et s'intègre à notre pipeline DevOps pour prendre en charge le développement agile », déclare C. Durand. « En outre, avec DSOP, nous créons une boucle de commentaires qui informe les développeurs de CloudFormation sur les meilleures pratiques et leur permet de mieux comprendre comment déployer une infrastructure AWS sécurisée ».
Création rapide et déploiement de nouvelles règles de sécurité. Dans le cadre de cet engagement, Stelligent a passé quelques semaines à former l’équipe de C. Durand sur la maintenance du DSOP. L’équipe peut rapidement et facilement écrire de nouvelles règles de sécurité, puis les appliquer immédiatement au pipeline. « Le transfert de connaissances était un aspect clé de cet engagement », affirme C. Durand. « En fait, Stelligent a fourni 100 % des coûts pour tous les aspects du projet. Nous avons reçu exactement ce que nous demandions, la qualité du travail était excellente et notre équipe comprend aujourd'hui parfaitement DSOP et est capable de l'améliorer par nous-mêmes. »
Scalabilité dans l'entreprise. DSOP étant entièrement automatisé et fonctionnant lui-même sur AWS, Verizon peut adapter son utilisation à l'ensemble de l'entreprise pour l'adapter aux nombreuses applications que la société prévoit de migrer vers le cloud. « Si nous effectuions tous les mêmes contrôles manuellement, cela prendrait beaucoup de ressources, et il y aurait toujours un risque d'erreur humaine », déclare C. Durand.
« Les avantages nets de DSOP sont simples : ils nous permettent d'éviter de déployer une infrastructure non sécurisée au lieu de détecter les problèmes après le déploiement. Nous effectuons toujours nos vérifications manuellement, et aucun problème de configuration de sécurité n’a pu être constaté lorsque DSOP était utilisé », conclut C. Durand.
Stelligent, un partenaire consultant Premier du réseau de partenaires AWS (APN) est une société de services technologiques qui fournit des services d'automatisation DevOps et gérés sur AWS.
Pour découvrir comment Stelligent peut aider votre entreprise à créer et gérer votre environnement AWS, consultez la liste de Stelligent dans l'annuaire des partenaires AWS.
En savoir plus sur les services AWS DevOps