Cyber Shelf

// Comparaison

Container Security vs Pentesting Azure Applications : lequel lire ?

Deux livres de cybersécurité sur Cloud, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52020
Container Security

Fundamentals for Securing Containerized Applications

Liz Rice

L'introduction first-principles de Liz Rice à comment fonctionnent réellement les conteneurs Linux — namespaces, cgroups, capabilities, seccomp, layering d'images — et les implications de sécurité qui découlent de cette mécanique.

Intermédiaire
3/52018
Pentesting Azure Applications

The Definitive Guide to Testing and Securing Deployments

Matt Burrough

Matt Burrough sur le comportement attaquant contre les tenants Azure : identité, stockage, VMs, manipulation de matériel de clés et les chemins de recon qui marchent contre de vraies souscriptions.

À lire si

Ingénieurs et gens de sécurité qui utilisent les conteneurs au quotidien mais les traitent comme des boîtes. Le livre est la rare introduction qui explique les conteneurs comme compositions de primitives Linux plutôt que comme produit Docker, et c'est exactement ce qui rend l'argument sécurité lisible.
Pentesters cloud dont le scope inclut les souscriptions Azure. Burrough couvre l'identité (Entra ID), l'abus de comptes de stockage, la recon niveau VM, la manipulation de matériel de clés et les patterns d'accès basés rôle qui pilotent la vraie post-exploitation Azure.

À éviter si

Lecteurs ayant besoin de couverture en profondeur Kubernetes, supply-chain (SLSA, in-toto, Sigstore) ou cloud-runtime spécifique (Fargate, Cloud Run, ECS) ; à coupler avec les livres Kubernetes et la documentation SLSA actuelle. Léger aussi sur les alternatives runtime Wasm, qui sont une fraction croissante du champ.
Lecteurs focalisés AWS ou GCP, ou quiconque voulant le tradecraft Azure actuel. Le livre précède le rebrand actuel AAD-vers-Entra-ID et plusieurs mises à jour de services majeurs ; à traiter comme fondamental, pas actuel.

Points clés

  • Un conteneur n'est pas une boîte ; c'est un processus avec des vues curatées de namespaces et de ressources, et la plupart des vulnérabilités conteneurs vivent dans l'écart entre ce modèle mental et le modèle boîte.
  • Le drop de capabilities, les filesystems racine en lecture seule et les profils seccomp ne sont pas optionnels — Rice fait l'argument de manière convaincante avec des exemples concrets.
  • L'hygiène supply-chain image est la moitié de l'histoire sécurité ; le livre précède SLSA mais le motive proprement.
  • Les patterns d'attaque Azure se centrent sur l'identité et les rôles, pas sur les vulnérabilités niveau réseau ; le cadrage du livre reflète cela.
  • Les mauvaises configurations de comptes de stockage restent un des findings Azure les plus communs ; la couverture du livre sur l'abus de clés d'accès est encore pertinente.
  • Le reporting pentest cloud diffère significativement du reporting pentest réseau ; les templates de livrables du livre sont des points de départ utiles.

Comment ils se comparent

Nous notons Container Security plus haut (4/5 contre 3/5 pour Pentesting Azure Applications). Pour la plupart des lecteurs, Container Security est le choix principal et Pentesting Azure Applications un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Container Security et Pentesting Azure Applications couvrent tous les deux Cloud : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Container Security

Alternatives à Container SecurityQue lire après Container Security

Pentesting Azure Applications

Alternatives à Pentesting Azure ApplicationsQue lire après Pentesting Azure Applications

Thématiques liées

Cloud