En direct de Las Vegas. Au-delà du simple réseau, Cisco regarde depuis plusieurs années d’autres territoires comme la couche applicative (micro-services et API). Dans ce cadre, l’équipementier s’est doté d’une entité en charge des technologies émergentes qui fait office d’incubateur de certains projets. A l’occasion de Cisco Live, deux initiatives ont particulièrement mis en valeur : Calisti et Panoptica.

Calisti, l’opérateur mesh Istio version Cisco

Guillaume Sauvage de Saint Marc, senior director Engineering chez Cisco, précise « aujourd’hui, il y a deux sujets importants sur cette couche applicative : la modernisation des applications en allant vers des micro-services et qu’ils soient connectés et sécurisés ». Pour la partie connexion, Calisti est « une application de gestion de services mesh basé sur Istio, elle s’occupe de connecter l’ensemble des éléments d’un déploiement Kubernetes, cluster, pods, dans plusieurs clouds, de gérer les cycles de vie et de s’assurer du bon fonctionnement », précise le responsable.

Le tableau de bord de Calisti. (Crédit Photo: JC)

Pour mémoire, Istio est un projet open source créé et promu par Google au sein de Kubernetes pour proposer un service mesh. Il s’agit d’un logiciel de gestion des infrastructures qui assure des communications rapides et fiables entre les micro-services dont dépendent les applications. Il assure plusieurs fonctions, dont l’identification des applications, l'équilibrage de charge, l'authentification et le chiffrement. Dans le cadre de Calisti, Cisco a rajouté des fonctionnalités à destination des développeurs, mais aussi des équipes SRE, qui s’occupe de la robustesse et de la qualité des applications. « Au sein du tableau de bord, les utilisateurs peuvent gérer des déploiements progressifs de montée de version par exemple », présente Guillaume Sauvage de Saint Marc. Il ajoute une autre fonctionnalité, « circuit breaker, quand une dégradation d’un micro-service est constatée, il est possible de casser ses connexions pour les rediriger vers un autre micro-service ».

Panoptica, la vigie des micro-services et des API

Panoptica est un service SaaS qui comprend plusieurs briques logicielles  et « à vocation à devenir une suite », nous explique le directeur de l’ingénierie. Mais la première ambition est de « sécuriser les apps nativement cloud mélangeant des conteneurs et des API. Nous regardons les différentes vulnérabilités sur l’aspect conteneurs et vérifions les API en fonction du classement OWASP Top 10 des risques », précise-t-il. La solution est sans agent, « il faut simplement un accès au compte Kubernetes pour récupérer les différentes images et ensuite les scanner » poursuit-il.

Panoptica dresse une liste de vulnérabilités au sein des conteneurs mais aussi sur les API. (Crédit Photo: JC)

En lien avec la communauté open source, Cisco a présenté deux projets au sein de Panoptica, Kubeclarity, « pour ouvrir à plusieurs scanners de vulnérabilités, car les utilisateurs préfèrent travailler avec certains », observe Guillaume Sauvage de Saint Marc. L’autre initiative est APIclarity, un module à télécharger au sein de Kubernetes pour faire un inventaire des API. « Il existe trois types d’API : celles créées par l’entreprise et utilisées en interne, celles fournies par des tiers et intégrées en interne et des API externes », indique-t-il. En cartographiant et en le combinant avec le réseau mesh, « il est possible de détecter des API zombies et shadow API ». A noter que cette analyse de sécurité des API est encore en beta, tout comme celle des environnements serverless. Signalons enfin que les deux solutions Calisti et Panoptica sont disponibles en mode freemium.