Protection de Linux via une API — optimisée pour les performances

ProduitsCloud Workload ProtectionLinux

Les partenaires Sophos peuvent désormais offrir des performances et un temps de fonctionnement accrus grâce aux nouvelles fonctionnalités de sécurité de Sophos pour Linux et les conteneurs, disponibles via une API.

17 Juin 2022 Par

Aujourd’hui, nous sommes fiers de lancer une autre avancée majeure de Sophos Cloud Workload Protection, avec de nouvelles fonctionnalités de sécurité pour Linux et les conteneurs, disponibles grâce une API qui s’intègre aux systèmes SecOps et DevOps de vos clients.

Des performances sans faille

Si un temps de fonctionnement maximal est votre principale exigence en tant que client, les outils de sécurité doivent être légers et s’intégrer dans les workflows existants. Ainsi, vos clients évitent les risques et optimisent les performances des applications.

Pour les entreprises agiles qui étendent leur environnement de production, il n’est pas toujours facile de garantir une protection complète. C’est particulièrement vrai pour les environnements distribués comprenant des serveurs physiques, des machines virtuelles et des conteneurs, déployés localement ou dans le Cloud.

Le nouveau Sophos Linux Sensor détecte de manière proactive les attaques complexes dans l’ensemble de l’environnement de production Linux et signale à vos clients les attaques qui nécessitent leur attention. Vos clients maximisent ainsi les temps de fonctionnement et évitent les hôtes surchargés, un problème courant des outils de sécurité traditionnels.

Options de déploiement au choix

Comme nous l’avions annoncé en avril 2022, vos clients peuvent désormais choisir entre deux modèles de déploiement pour notre protection de Linux et des conteneurs. La première option, un agent léger, est gérée depuis notre console de gestion centralisée Sophos Central. La deuxième désormais disponible, Sophos Linux Sensor, est optimisée pour les détections à l’exécution (runtime) et est idéale pour les charges de travail sensibles à la latence.

Gestion dans Sophos Central – L’agent Linux léger fournit aux équipes de sécurité les informations essentielles dont elles ont besoin pour analyser et répondre aux comportements à risque, aux exploits et aux malwares depuis une seule console. En surveillant l’hôte Linux, cette option de déploiement permet aux équipes de gérer toutes les solutions Sophos à partir d’une seule et même interface. Elles peuvent ainsi passer en toute transparence de la chasse aux menaces au nettoyage et à la gestion.

Nouvelle intégration d’une API – Sophos Linux Sensor est une option de déploiement très flexible qui offre les meilleures performances possibles. Ce capteur Linux utilise des API pour intégrer les détections de menaces au runtime dans les environnements hôtes ou les conteneurs, avec vos propres outils de réponse aux menaces ou ceux de vos clients.

Le capteur donne accès à un ensemble complet de détections au runtime, y compris des détections supplémentaires pour l’exploitation des applications et du système. Vos clients bénéficient ainsi d’un contrôle et d’une granularité accrus pour créer des ensembles de règles personnalisés contenant uniquement les détections comportementales au runtime nécessaires pour des cas d’usage spécifiques de surveillance de la sécurité.

Voici quelques exemples de détections pour Linux et les conteneurs fournies par Sophos :

  • Évasion des conteneurs : Identifie les attaquants qui élèvent leurs privilèges à partir de l’accès au conteneur pour passer à l’hôte du conteneur.
  • Cryptomineurs : Détecte les noms de programmes ou les arguments communément associés aux mineurs de crypto-monnaies.
  • Destruction de données : Alerte sur le fait qu’un attaquant pourrait tenter de supprimer des indicateurs de compromission qui font partie d’une investigation en cours.
  • Exploitation du noyau : Met en évidence si les fonctions internes du noyau sont altérées sur un hôte.

Intégration simple aux systèmes SecOps et DevOps existants

Sophos Linux Sensor a été conçu pour offrir davantage de flexibilité. Les clients peuvent ainsi aisément utiliser les données des détections au runtime des comportements malveillants et des exploits de l’hôte et des conteneurs, et ce d’une manière qui s’intègre naturellement à vos workflows existants. L’API permet d’intégrer facilement ces données dans vos systèmes, outils et processus SecOps et DevOps existants. Cela comprend également les SIEM (Splunk, etc.) ou l’envoi d’alertes à l’aide d’un webhook vers Amazon S3, Amazon Simple Queue Service, Google Cloud Storage, ELK et Azure Storage pour que ces données soient récupérées pour analyse.

Ceux qui préfèrent utiliser une console de gestion, avec des capacités intégrées de chasse aux menaces, d’investigation et de remédiation, peuvent choisir d’installer l’agent Linux de Sophos. Les partenaires ou les clients peuvent ainsi gérer la protection depuis Sophos Central, notre console de gestion unique. Celle-ci unifie les capacités de la plateforme de sécurité du Cloud hybride de Sophos, dont les solutions Sophos Cloud Workload Protection et Sophos Cloud Security Posture Management, la gestion de la posture de sécurité Kubernetes, l’analyse des images de conteneurs, l’analyse de l’infrastructure programmable (IaC), la gestion des droits de l’infrastructure Cloud et la surveillance des dépenses du Cloud. Vous obtenez ainsi visibilité, sécurité et conformité.

Pour en savoir plus sur Sophos Cloud Workload Protection, visitez la page sophos.fr/cwpp.

Nos partenaires actuels qui souhaitent activer le capteur Linux peuvent contacter sophoslinuxsensor@sophos.com pour commencer.

À propos de l’auteur

Responsible for Product Marketing of all Email gateway solutions, Rich got his break building marketing strategies for tech startups and VARs within the IT and telecoms industry, and most recently spent 7 years in the IaaS industry, leading Product strategy and Product Marketing for a premium brand within Europe’s largest hosting provider group.