Securiser le runtime¶
La sécurité runtime protège les workloads pendant leur execution en production. Contrairement a la sécurité build-time (scanning d'images, analyse statique), la sécurité runtime détecte et bloque les menaces qui se manifestent apres le déploiement : escape de conteneur, privilege escalation, lateral movement, crypto mining.
Sécurité build-time vs runtime¶
| Aspect | Build-time | Runtime |
|---|---|---|
| Quand | Avant le déploiement (CI/CD) | Pendant l'execution en production |
| Quoi | Vulnerabilites connues (CVE), mauvaises configurations | Comportements anormaux, intrusions actives |
| Comment | Scanning d'images, analyse statique, admission control | Detection comportementale (eBPF), enforcement en temps reel |
| Outils | Trivy, Grype, Snyk | Falco, OPA/Gatekeeper, KubeArmor |
| Limites | Ne détecte pas les zero-days, les attaques runtime | Faux positifs, overhead de performance |
Les deux approches sont complementaires. La sécurité build-time reduit la surface d'attaque, la sécurité runtime détecte ce qui passe à travers.
Classification¶
| Aspect | Niveau |
|---|---|
| Données manipulees | Confidentiel (politiques de sécurité, alertes, événements) |
| Zone de déploiement | Production (plan de management) |
| Chiffrement | mTLS entre composants, stockage chiffre des alertes |
Les regles de sécurité sont elles-mêmes sensibles
Les politiques Falco et OPA révèlent quels contrôles sont en place. Un attaquant connaissant les regles peut les contourner. L'accès aux dashboards de sécurité et aux configurations de regles doit etre restreint. Voir le chapitre Confidentialite.
Chapitres¶
| Chapitre | Sujet |
|---|---|
| Fondamentaux | Defense in depth, MITRE ATT&CK containers, menaces runtime, policy-as-code |
| Comparaison des solutions | Falco vs OPA/Gatekeeper vs Trivy vs KubeArmor vs CrowdSec — grille ADR |
| Architecture de référence | Falco daemonset, OPA admission controller, Trivy operator, integration SIEM |
| Installation et configuration | Déploiement Falco, OPA/Gatekeeper, Trivy operator via Helm |
| Integration | Observabilité, CI/CD, IAM, politique de classification |
| Confidentialite | Sensibilite des regles, isolation du plan de management, intégrité GitOps |
| Bonnes pratiques | Tuning Falco, exceptions OPA, compliance-as-code, incident response |