no way to compare when less than two revisions
Différences
Ci-dessous, les différences entre deux révisions de la page.
— | resume-technique:securite [01/12/2023 10:12] (Version actuelle) – créée Fabien Duchaussois | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ====== Sécurité de l' | ||
+ | |||
+ | ===== TL; DR ===== | ||
+ | |||
+ | Raoull s' | ||
+ | |||
+ | * L' | ||
+ | * Les disques et leur sauvegardes sont chiffrés intégralement, | ||
+ | * Le réseau est segmenté. | ||
+ | |||
+ | Raoull prévoit un renforcement régulier de la sécurité des systèmes et réseaux. Ces changements arriveront progressivement dès les prochains mois et accompagneront l' | ||
+ | |||
+ | |||
+ | ===== Préambule ===== | ||
+ | |||
+ | Raoull a choisi d' | ||
+ | Après de nombreux tests et reconsidérations sur le matériel et les logiciels à utiliser, Raoull a finalisé son schéma d' | ||
+ | L' | ||
+ | Voir la page [[resume-technique: | ||
+ | |||
+ | La première phase est le deploiment de l' | ||
+ | Le déploiement de cette infrastructure est détaillé et illustré dans la section [[resume-technique: | ||
+ | |||
+ | Les consolidations de sécurité logicielle seront mises en place dans la foulée dès début 2024 : utilisation d'un proxy inverse commun et synchronisé, | ||
+ | La gestion de la sécurité étant une démarche continue, d' | ||
+ | |||
+ | Cette page précisera l' | ||
+ | |||
+ | ===== Sécurité physique et chiffrement ===== | ||
+ | |||
+ | > //Un petit pas pour l' | ||
+ | > // | ||
+ | |||
+ | Nos serveurs sont installés dans des tiers lieux. Même si nous avons une très grande confiance envers ces structures partenaires et amies, la sécurité physique n'est pas garantie comme un centre de données classique. Le vol ou incident font parties des possibilités prises en compte dès leur installation. | ||
+ | |||
+ | En conséquence, | ||
+ | Le chiffrement complet des disques est mis en place avec l' | ||
+ | |||
+ | Nos serveurs physiques tournent principalement sous //Proxmox Virtual Environment// | ||
+ | Raoull installe donc Proxmox sur une distribution Debian dont les disques sont préalablement chiffrées avec LVM. Le thinpool de Proxmox est inclus dans les partitions chiffrées grâce à une installation de Debian avec un partitionnement particulier que Raoull a documenté. L' | ||
+ | L' | ||
+ | |||
+ | Nous utilisons le [[https:// | ||
+ | |||
+ | ===== Accès ===== | ||
+ | |||
+ | D'ici fin 2023, tous les serveurs de l' | ||
+ | Le réseau serveur n'est accessible qu' | ||
+ | Un accès wireguard est créé pour chaque admin de Raoull.\\ | ||
+ | L' | ||
+ | Les VMs et conteneurs sont accessibles avec SSH dans leur VLAN ou via les consoles des hyperviseurs PVE. | ||
+ | |||
+ | L' | ||
+ | |||
+ | Un rôle //Ansible// garantit une configuration conforme du serveur SSH.\\ | ||
+ | De plus, pour garantir l' | ||
+ | * Mettre à jour les clefs des admins : en ne déployant que les clefs mises à jour par l' | ||
+ | * Gérer deux ensembles de clefs : pour les serveurs de test et les serveurs de prod | ||
+ | Cela permet de donner un accès progressif aux nouveaux membres, l' | ||
+ | |||
+ | Les réunions ordinaires ou assemblés générales sont l' | ||
+ | |||
+ | ===== Droits Admin ===== | ||
+ | |||
+ | <note important> | ||
+ | |||
+ | Les adhérent⋅es Raoull peuvent devenir admin des systèmes et applications si iels le souhaitent en deux étapes : | ||
+ | * Dès son arrivée dans la structure, le nouveau membre peut accéder aux environnements de lab et de tests. | ||
+ | * Après quelques semaines et validation aux consensus des admins existant, le nouveau membre peut accéder aux environnements de production. | ||
+ | |||
+ | |||
+ | ==== Système ==== | ||
+ | |||
+ | L' | ||
+ | Il n'y a actuellement pas de comptes nominatifs sur les systèmes d' | ||
+ | |||
+ | Lorsque nécessaire, | ||
+ | |||
+ | ==== Applications ==== | ||
+ | |||
+ | L' | ||
+ | Si les droits peuvent être attribués à des comptes nominatifs, ceux-ci sont alloués de la même façon que les accès systèmes, d' | ||
+ | Lorsqu' | ||
+ | |||
+ | ==== Charte des admins ==== | ||
+ | |||
+ | La charte des administrateur⋅rices est en cours de rédaction. Elle doit définir les attentes envers les admins concernant la protection des données sensibles et de la vie privée, ainsi que les principes de précautions à appliquer, les conséquences de leurs actions, et leurs responsabilités. | ||
+ | |||
+ | ==== Bonnes pratiques ==== | ||
+ | |||
+ | Il est demandé à chaque administrateur⋅rice de disposer d'un disque ou d'une partition chiffrée sur son ordinateur personnel si celui-ci est utilisé pour traiter des données sensibles. | ||
+ | |||
+ | ===== Segmentation réseau ===== | ||
+ | |||
+ | <note tip>Page détaillée : [[resume-technique: | ||
+ | |||
+ | Chaque site dispose d'une organisation réseau identique, composée de plusieurs VLANs ([[https:// | ||
+ | Les VLANs sont gérés par le routeur / cœur de réseau / pare-feu. Par défaut, les communications inter VLAN ne sont pas autorisées, | ||
+ | |||
+ | Un VLAN dédié est attribué à chaque structure pour ses services hébergés. L' | ||
+ | Au sein du VLAN de chaque structure, il n'y a pas de segmentation supplémentaire entre applications et données, les données sont liées directement aux VMs ou conteneurs. | ||
+ | |||
+ | En revanche, un VLAN frontal distinct existe pour les serveurs d' | ||
+ | |||
+ | Les hyperviseurs et serveurs de sauvegarde sont accessibles via un VLAN de gestion dédié. Une VM compromise ne doit pas pouvoir servir de rebond pour attaquer l' | ||
+ | |||
+ | Pour les machines disposant de cartes d' | ||
+ | |||
+ | De manière générale, les interfaces d’administrations (IDRAC, SSH, web, ...) ne sont accessibles que depuis un réseau non-public, uniquement accessible via VPN après authentification. | ||
+ | |||
+ | ===== Certificats et PKI ===== | ||
+ | |||
+ | Les certificats TLS pour les accès externes sont générés par // | ||
+ | Une gestion spécifique en cours de construction doit permettre la réplication de certificats entre proxy inverses en cas de bascule d'un service d'un site à l' | ||
+ | |||
+ | Raoull ne dispose pas de PKI interne pour les chiffrements de flux à l' | ||
+ | |||
+ | ===== Résilience ===== | ||
+ | |||
+ | <note tip>Page détaillée : [[resume-technique: | ||
+ | |||
+ | Les sauvegardes des VMs et conteneurs sont réalisées à laide de //Proxmox Backup Server//. Les sauvegardes sont chiffrées avant d' | ||
+ | En cas de panne, il est alors possible de remettre en service les serveurs et applications concernées dans un autre site, moyennant une modification des enregistrements DNS. | ||
+ | |||
+ | ===== Mises à jour ===== | ||
+ | ==== Systèmes ==== | ||
+ | |||
+ | La mise à jour des systèmes n'est pas encore automatisée. | ||
+ | |||
+ | Cette question est en cours d' | ||
+ | * L' | ||
+ | * Un //Ansible Playbook// pour réaliser les mises à jour complètes sur les conteneurs et VMS, avec capture d'un instantané, | ||
+ | |||
+ | ==== Applications ==== | ||
+ | |||
+ | Les applications sont mises à jour au cas par cas, en fonction des nouvelles versions ou correctifs publiées. | ||
+ | |||
+ | La politique de mise à jour et l' | ||
+ | |||
+ | |||
+ | ===== Gestion des adhérent⋅e et utilisateur⋅ices ===== | ||
+ | |||
+ | ==== Utilisateur⋅rices ==== | ||
+ | Aucun service ne nécessite de création de compte pour le moment. | ||
+ | |||
+ | La gestion des comptes s' | ||
+ | |||
+ | ==== Adhérents ==== | ||
+ | |||
+ | Raoull ne dispose pas encore d' | ||
+ | |||
+ | La gestion des adhérents s' | ||
+ | |||
+ | ===== Autres bonnes pratiques ===== | ||
+ | |||
+ | <note important> | ||
+ | |||
+ | Voici une liste de projets qui devraient arriver progressivement dans l' | ||
+ | |||
+ | * Limitation de l' | ||
+ | * Serveur de dépôt de paquets local : Un dépôt local pour les distributions Linux des conteneurs et VMS est installé sur chaque site. Les VMs et conteneurs - qui n' | ||
+ | * Ensemble de sécurité sur le proxy inverse : Le proxy inverse sera complété de couches de sécurité à base de logiciels libre de type Par-Feu Applicatif (WAF), protection par Réputation IP (eg Crowdsec...), | ||
+ | |||
+ | * La politique de mot de passe sera renforcée par l' | ||