A l’heure où la tendance DevOps croit rapidement, la question de la sécurité de ce mode de travail devient de plus en plus présente. Rohde & Schwarz Cybersecurity vient d’apporter une réponse à cette problématique en dévoilant l’offre Trusted Application Factory (TAF). « L’objectif est de protéger les applications avec des formes différentes. L’offre comprend un moteur de sécurité et des micros WAF (Web Application Firewall) qui s’intègrent dans les pipes CI/CD », explique Edouard Viot, directeur des produits de management.
« La solution reprend les fonctionnalités de la version gateway du WAF, mais elle se rapproche d’un microservice pour devenir un micro-WAF », poursuit le dirigeant. Pour arriver à cet allégement, Trusted Application Factory prend en compte le contexte de l’application, « par exemple si elle ne réalise pas de requête SQL, la solution va désactiver la protection du SQL », spécifie Edouard Viot. Grâce à ce « description context », le type de persistance utilisée, le langage de programmation, le système d’exploitation du serveur et les formats de données, les politiques de protection sont automatiquement ajustés en invoquant les moteurs adaptés. Cette stratégie évite les faux positifs. « Aux Assises de la sécurité, beaucoup de clients étaient intéressés par l’automatisation des traitements des faux-positifs ».
Une solution agnostique et une mode freemium
Est-ce que la solution n’est pas en concurrence avec les offres de sécurisation déjà présente dans Docker ou dans Kubernetes ? « TAF vient en complément. Le WAF vient en général sur la partie run du développement et nous l’amenons vers le build. La solution se veut agnostique et les micros WAF peuvent se retrouver derrière un cluster Kubernetes ou Swarm de Docker », observe le dirigeant. Il tacle ainsi la concurrence qui se focalise uniquement sur les environnements Kubernetes.
La tarification de l’offre est double. « Il y a d’abord un modèle freemium où la solution est gratuite dans la partie build. L’objectif est que les développeurs s’approprient l’offre, puis elle devient payante en mode run. Le second modèle est le pay as you go », détaille Edouard Viot. Et le dirigeant esquisse les futures évolutions de TAF, « qui passera par une interface pour faire des dahsboard en SaaS, une amélioration dans l’analyse du contexte et des comportements, adapter les politiques de sécurité pour les micros WAF ».
Rien de très novateur, j'ai déjà utilisé une solution 100% DevSecOps il y a 15 ans à la poste belge (bpost). Ca pouvait gérer de manière totalement automatique les config de leurs 250 applications. C'est développé par une boîte qui s'appelle Approach Belgium (et qui a bien grandi depuis 15 ans il me semble).
Signaler un abus