Meetup Lizard #4 - IAC (Infrastructure as code) et cybersécurité

From metal to IAC

• Serveurs physiques,
• Virtualisation,
• IaaS (Matériel), PaaS (OS), SaaS (SW)

Aujourd’hui IAC (Infrastructure as Code) - pour augmenter la valeur métier

Exemple Heroku - PaaS

Au delà des 12 facteurs d’Heroku

1 repo par application, API first, Design/Build/Release/Run, Configuration/Credentials/Code, Logs, Versions jetables, Services externes (Bdd, queues de message, smtp, …), Parité dev prod (environnement de dev au plus proche), Process d’administration au plus proche de la prod, Stateless autant que possible, Gérer la concurrence, Télémétrie, Authentification/Autorisation.

Microservices

RETEX R PIÉPLU, COMET CNES 04/2019

40000 lignes de Yaml pour déployer tout le centre en moins d’une demi-journée et avec plus de qualité

• Auparavant, 3 mois pour déployer un centre de contrôle de satellites,
• Environ 10 VMs, 30 logiciels, des composants réseau, des interconnexions variées,
• Tout est géré dans git.

As code… ?

Multicloud pour le déploiement, dont SDN (Software Defined Network). Par exemple:

provider "aws" {
profile    = "default"
region     = "us-east-1"
}

resource "aws_instance" "example" {
ami           = "ami-2757f631"
instance_type = "t2.micro"
}

Apply changes avec terraform apply…

ou As software ?

Tiré de cloud native infrastructure (O’Reilly):

location: "Paris"
name: moninfra
dns:
  fqdn: infra.example.com
network:
  cidr: 172.0.0.0/12
serverPools:
  - bootstrapScript: /home/user/bootstrap.sh
    diskSize: 40gb
    firewalls:
      - rules:
        - ingressFromPort: 443
          ingressProtocol: tcp
          ingressSource: 0.0.0.0/0
          ingressToPort: 443
    maxCount: 1
    minCount: 1
    image: centos-amd64-7
    subnets:
      - cidr: 172.0.100.0/24

IAC et sécurité

• Policy as code,
• Déploiement après les tests,
• Checks de conformité (règles de sécurité),
• Checks de conformité (réglementaire, juridique, métier).
• Tests d’activité (couverture et unused).

Et audit en continu

Ce n’est pas tout

Chaos management

Et pistes pour la résilience:

• Load balancing, shedding, service discovery, gestion des timeouts, coupe-circuits,
• Securité et authentification, routage (interne, externe), insights et monitoring (réseau, applicatif, …).

Conclusion

Don’t Outsource Thinking

Tiré de cloud native infrastructure (O’Reilly)

Pour nous éclairer

• Christophe Villeneuve/HelloSct1,
• Martial Saunois/Deezer,
• Gautier Labadie et Edouard Camoin/Outscale,
• Nicolas Grekas/Symphony.

Merci à nos sponsors: Microfocus, Deezer et SensioLabs.