Google Cloud lance des services pour renforcer la sécurité des logiciels open-source et simplifier les déploiements zero trust. (Crédit GitLab)
Les services de sécurité annoncés par Google Cloud cette semaine visent à renforcer la sécurité des logiciels open source, à simplifier l'adoption de la confiance zéro et à améliorer la gouvernance du cloud.
Pour répondre aux défis des entreprises en matière de sécurisation des logiciels open source et d'accélération de l'adoption des architectures de confiance zéro, Google Cloud a annoncé, lors de son sommet annuel Google Cloud Security Summit, qui a eu lieu le 17 mai cette année, le déploiement de services de sécurité. L'offre, qui s'appuie sur l'initiative Invisible Security, promet d'intégrer la sécurité dans les outils et services les plus utilisés par les entreprises et autres clients. C'est notamment le cas du service appelé Assured Open Source Software (Assured OSS), destiné à faciliter la gestion sécurisée des dépendances des logiciels open source par les entreprises. « Aujourd'hui, la correction des vulnérabilités de sécurité dans les logiciels open source ressemble souvent au jeu de la taupe : on en corrige une, et deux autres apparaissent », a écrit Sunil Potti, vice-président et directeur général de Google Cloud Security, dans un blog consacré à ces services. « Ce qui explique les résultats des recherches effectuées par Sonatype software, où l'on voit que, d'une année sur l'autre, les cyberattaques visant les fournisseurs de logiciels open-source (OSS) augmentent de 650 % », a-t-il ajouté.
« Grâce à Assured OSS, les entreprises utilisatrices de logiciels open source pourront intégrer les mêmes paquets OSS que ceux que nous utilisons dans nos propres environnements », a déclaré la firme de Mountain View. « Les paquets sélectionnés par Google sont régulièrement scannés, analysés et testés pour détecter les vulnérabilités, et ils sont distribués à partir d'un registre Artifact Registry sécurisé et protégé par Google », a encore expliqué M. Potti. Plus de 500 paquets sont actuellement disponibles sur GitHub. « L'ampleur de l'effort mené par Google pour trouver les vulnérabilités dans les logiciels open source serait un défi pour n'importe quelle entreprise », a ajouté le dirigeant. « En permanence, 550 des projets open source les plus couramment utilisés sont soumis à la technique du fuzzing, un processus qui a permis de trouver plus de 36 000 vulnérabilités en janvier 2022 ». Le service Assured OSS devrait être proposé en avant-première au troisième trimestre 2022.
Cap sur le zero trust
Sur le front du zero trust, Google a présenté BeyondCorp Enterprise Essentials, un service à même d'inciter les entreprises clientes à déployer des environnements de confiance zéro. La solution apporte des contrôles d'accès contextuels pour les applications SaaS ou toute autre application connectée via le Security Assertions Markup Language (SAML), un protocole basé sur XML qui prend en charge l'authentification et l'autorisation en temps réel dans des environnements de services Web fédérés. « Il comprend également des fonctionnalités de protection des menaces et des données, comme la prévention des pertes de données, la protection contre les logiciels malveillants et le phishing, et le filtrage des URL, intégrées au navigateur Chrome », a encore précisé M. Potti.
« Cette solution simple et efficace peut protéger le personnel, en particulier les employés distribués ou les utilisateurs fonctionnant en BYOD », a encore déclaré le vice-président et directeur général de Google Cloud Security. « Les administrateurs peuvent aussi utiliser les tableaux de bord Chrome pour avoir une visibilité sur les activités dangereuses des utilisateurs sur les appareils non gérés », a-t-il ajouté. « BeyondCorp Enterprise comprend un connecteur d'app et client qui peut simplifier les connexions avec les applications fonctionnant sur d'autres clouds comme Azure ou AWS sans avoir besoin d'ouvrir de pare-feu ou de mettre en place des connexions VPN site à site », a aussi déclaré M. Potti. Le connecteur client permet un accès de confiance zéro aux applications non http, à des apps client lourd, hébergées sur site ou dans d'autres clouds », a précisé le dirigeant.
Google a également ajouté d'autres outils et services de sécurité, notamment :
- Security Foundation : « Ce service doit aider les entreprises à adopter plus facilement les capacités de sécurité de Google Cloud », a expliqué Sunil Potti. Á travers Security Foundation, les clients peuvent bénéficier de conseils de Google sur la mise en place de la protection des données, de la sécurité du réseau, de la surveillance de la sécurité et d'autres fonctions.
- Security Command Center : Grâce à ces capacités de détection personnalisées pour la plateforme de gestion des risques de Google, les clients peuvent ajouter leurs propres règles de détection et effectuer des contrôles de configuration en fonction de leurs besoins spécifiques.
Suivez-nous