L’Aqua Security Technical Assesment Program (TAP)

Publié le 17 October 2022
scroll
Couv-TAP
N’oubliez pas
de partager
cet article

J’ai eu le plaisir de participer du 16 au 20 mai au programme TAP organisé par Aqua Security à Londres je vais en profiter pour vous partager mon expérience sur cette formation 😄

Aqua c’est Qua ?

Aqua Security est un éditeur logiciel qui propose des solutions de sécurité dédiée aux problématiques Cloud. Il propose ainsi des solutions de CWPP (Cloud Workload Protection Plateforme) et de CSPM (Cloud Security Posture Management). Ces outils permettent d’avoir une vision centralisée des problématiques de sécurité dans le Cloud, de prévenir et de remédier à ceux-ci.

Il est important de prendre en compte la sécurité à tous les niveaux dans le développement des produits (build, run, infrastructure) en particulier dans le cadre du Cloud, et Aqua propose un outillage facile d’utilisation qui permet d’avoir une vision globale et d’implémenter ces contrôles.

Il est intéressant de noter qu’Aqua a une présence importante dans le monde de l’Open Source et que cette société est à l’origine de nombreux outils utilisés dans l’industrie aujourd’hui (trivy, kube-bench, kube-hunter …).

Le TAP

Maintenant que vous en savez un peu plus sur Aqua et leur solution, il nous faut parler de la question de l’intégration.

Il s’agit d’avoir les compétences pour l’installation de leurs outils et leurs configurations. Pour ce type de challenge, la plupart des entreprises commissionnent des prestataires, mais comment assurer la qualité de la prestation (et ne pas se retrouver avec une installation mal faite / un outil mal configuré) ? C’est là qu’intervient le Service Pro Aqua, qui regroupe un ensemble de professionnels qui ont été certifiés de leur niveau sur la solution d’Aqua Security et de leur niveau en général sur les problématiques Cloud / DevSecOps. Pour faire partie de cette communauté, il est nécessaire de passer un certain nombre de formations dont la plus exigeante et la plus élevée aujourd’hui est le TAP.

Cet examen se déroule sur 1 semaine en immersion totale, durant laquelle les professionnels sont confrontés à un cas client, et où ils ont à déployer, à configurer et à utiliser la plateforme de CWPP. Nous parlons ici de déploiement sur un cluster de la solution, mais également de l’intégration dans des pipelines CI/CD, et du monitoring sur des workload hybride (monitoring sur des services managés, utilisation de fonctionnalités d’injection de pods …) puis de remédier à certaines vulnérabilités / non-conformité détectées.

L’évaluation a lieu tout au long de la semaine et se clôture par un test et une interview sur le travail fournis puis le verdict tombe la semaine suivante de sur l’obtention ou non de la certification

Mon retour d’expérience sur le TAP

Le TAP que j’ai pu suivre a eu lieu à Londres, et concernait la région EMAE, il se faisait donc avec des ingénieurs allemands et anglais. Il va sans dire qu’un niveau d’anglais courant est nécessaire pour pouvoir y assister 😅

La semaine a été très intense et riche en apprentissages, car même si cela reste un examen nous avons pu longuement échanger avec les architectes d’Aqua. Ainsi, nous avons exploré des fonctionnalités avancées, qui répondent à des contraintes réelles et complexes rencontrées chez des clients. De plus, les moments d’échanges avec les autres participants ont été particulièrement intéressants, car chaque expert, a pu apporter sa vision de la sécurité en environnement conteneurisé (et j’espère avoir pu leur apporter autant que j’ai reçu 😉)

Conclusion

Cette semaine a été très enrichissante et j’ai le plaisir de vous annoncer que j’ai obtenu cette certification TAP, devenant ainsi le premier ingénieur officiellement certifié Aqua Certified Engineer (ACE) en France ! Et pour Metanext de devenir également Services Delivery Partner (SDP) .

Je voudrais remercier l’équipe d’Aqua, qui nous a accompagnés durant cette semaine ainsi que Metanext pour l’opportunité de participer au TAP !

Si vous avez besoin d’un accompagnement (conseil ou technique) sur des problématiques de sécurité et d’orchestration de charges conteneurisées, n’hésitez pas à nous contacter !

Cédric PAOLI, Consultant Cybersécurité