Lionel GAIROARD, Practice Leader DevOps chez Squad était présent à la troisième édition de la WAX CONF, l'évènement rassemblant experts du DevSecOps et de la Cybersécurité. Revivez les conférences qui l'ont marqué dans ce RETEX passionnant :
« J'essaie de déployer des microservices on-premise, c'est grave docteur ? Ou comment industrialiser le déploiement d'applications microservice on-premise » par Ludovic Blass, IKKI LEAGUE et Gérald Roncajolo, SOFTWAY MEDICAL
Le challenge ? Industrialiser le déploiement de microservices d'une architecture vieillissante. Et qui de mieux pour nous guider que Ludovic Blass et Gérald Roncajolo de Softway Medical, une entreprise complète réalisant l'édition, l'intégration et l'hébergement.
Leur projet de passer de l'éditeur à l'hébergeur s'inscrit dans le contexte de 34 squads fonctionnelles qui développent des produits, services ou fonctionnalités, soutenues par des équipes transverses et d'infrastructure.
Ils nous ont parlé de "Hospital Manager", un outil de gestion du dossier des patients qui est un monolithe Java. Pour le rendre plus souple, ils ont décidé de le découper en une architecture microservices pour gagner en modularité et scalabilité .
La solution RedHat OpenShift a été leur choix pour orchestrer les conteneurs, avec le code hébergé sur une instance privée GitLab. Les mises à jour sont gérées via des pipelines GitLab en continu .
Ils ont dû jongler avec deux modes d'installation : des clusters locaux hébergés directement chez certains clients pour réduire la latence, et l'utilisation de l'ensemble de la solution SaaS et des microservices.
Une équipe DevOps éphémère a été mise sur pied pour former les squads et responsabiliser les équipes à la mise en place de l'industrialisation. Pour la gestion du packaging et du déploiement, ils ont utilisé Helm et ArgoCD .
Ils ont réussi à valider un POC avec un premier service critique qui doit être mis à jour chaque semaine, puis ont généralisé et défini une stratégie de templatization pour rendre les actions d'intégration et de déploiement homogènes et réutilisables facilement.
Leur bilan ? Des mises à jour sûres et rapides, les sites locaux à jour, et des équipes autonomes dans la mise à jour et le déploiement de leurs services. 20 microservices industrialisés sur 50 services, c'est un bon début !
Reste à finir l'industrialisation des micro-services, continuer l'évangélisation des squads, construire des dashboards avec des métriques clés d'infrastructure, ajouter plus de tests automatisés dans la CI et mettre en place de l'A/B testing ou du Blue/Green testing.
« On a mis du Chaos en production à Carrefour » par François Berthault, FGTECH
Chaos Engineering à la WAX CONF, ça vous dit quelque chose ? C'est le travail de François Berthault, expert K8s et responsable de la mise en place du Chaos Engineering chez Carrefour. Préparez-vous, ça va faire du bruit !
D'abord, une petite leçon : qu'est-ce que le Chaos Engineering ? C'est l'art de l'imprévisibilité dans un système complexe. Ce concept, a été popularisé par Netflix lors de leur migration vers le cloud AWS .
Comment ça fonctionne ? On commence avec un état stable, puis on fait une hypothèse sur cet état, on introduit une variation et on réfute ou confirme l'hypothèse. C'est un moyen de tester la résilience d'un système. Attention, ce n'est pas un test à la machette, ni un système anti-fragile.
Le Chaos Engineering, c'est comme un vaccin : on injecte des défaillances dans le système pour simuler des pannes avant qu'elles n'arrivent en production. C'est un moyen de renforcer la résilience du système, un peu comme notre corps devient plus résistant après un vaccin .
Pourquoi le Chaos ? Parce que ça se propage. De Netflix à OuiSNCF, de nombreuses entreprises adoptent cette approche pour améliorer leur résilience. Et chez Carrefour ? Le Chaos est arrivé sous la forme de "Chaos Night" : des sessions nocturnes de débogage en production.
Et le bilan ? C'est une véritable aventure d'apprentissage, de partage et d'amélioration. Avec le Chaos Engineering, on devient plus fort, plus résilient, on simule des scénarios réalistes et on minimise l'impact des pannes en ayant une très bonne connaissance des applications et de leurs interactions. Bref, on expérimente, on échoue, on corrige et on s'améliore. C'est ça, l'agilité !
« Quand Ansible ne suffit plus : orchestrer 236 firewalls d'une infrastructure critique chez Enedis », par Lucas Galton et Henri Sourdet, Enedis
Vous pensez que Ansible peut tout faire ? Détrompez-vous ! Lucas Galton et Henri Sourdet nous expliquent comment ils ont développé FOOGaaS, un Firewall logique, pour gérer efficacement 236 firewalls d'une infrastructure critique chez Enedis.
FOOGaaS, développé en GoLand, est un Firewall logique qui regroupe plusieurs firewalls physiques et applique des règles pour déployer facilement des configurations sur des pare-feux multi-fournisseurs. L'application est stateless, seule la version de l'application à déployer est générée.
Mais pourquoi ne pas simplement utiliser Ansible ?
- La complexité : Ansible peine à gérer les multiples constructeurs de firewalls et la manipulation des données OSP.
- Les performances : Ansible mettrait 425 minutes pour mettre à jour l'ensemble des règles de firewall de la zone (55 000 règles à écrire à 850ms par règle), ce qui est beaucoup trop long.
- La gestion des droits : il est difficile de maintenir la segmentation des droits avec Ansible.
- La réactivité : Ansible n'est pas assez réactif pour les besoins d'Enedis.
Alors, ils ont créé FOOGaaS : un MVP avec définition "as code", validation en 2 étapes et le souhait d'avoir une certaine réactivité dans la gestion des règles pare-feux.
Le langage des politiques (policy) ressemble fortement au langage HCL de Terraform.
Et le résultat ? Une très haute disponibilité pour orchestrer et mettre à jour 55 000 règles sur 236 firewalls sur les instances de cluster OpenStack chez AURA (Enedis). Voilà une solution qui fait le travail, et bien !
« Ma vie en vente flash sur le Dark Web » par Nicolas Comet, Ubisoft Bordeaux
Nicolas Comet, Senior Cloud Engineer chez Ubisoft Bordeaux, a partagé un récit personnel captivant lors de la WAX CONF. Avec une pointe d'humour, il a relaté la découverte inquiétante de la vente de ses informations personnelles et professionnelles sur le Dark Web.
Alors qu'il profitait tranquillement de son week-end en famille, un appel de la CTI d'Ubisoft a transformé ce moment de détente en véritable épisode de série policière.
« Bonjour, Nicolas, juste pour te dire que plus de 400 de tes comptes utilisateurs sont actuellement en vente flash sur le Dark Web...» Et voilà notre ami Nicolas en mode panique...
Qu'à cela ne tienne, après quelques échanges avec la sécurité d'Ubisoft et une réinitialisation en mode turbo de tous ses comptes compromis, Nicolas a partagé avec humour son aventure sur la grande scène de la conférence, transformant sa mésaventure en leçon de sécurité informatique pour tous .
Ubisoft a travaillé avec un prestataire pour acheter toutes les informations vendues sur le Dark Web afin d'évaluer l'ampleur des dégâts.
Nicolas a ensuite partagé quelques astuces pour ne pas se faire piéger comme : utiliser une politique efficace de mots de passe (méthode diceware, passphrases, MFA, rotation des mots de passe), et opter pour des gestionnaires de mots de passe (KeePass, BitWarden, Keeper...).
Un conseil qu'il a résumé avec l'humour qu'on lui connaît : « Faites ce que je dis, pas ce que je fais ! »
Le clou du spectacle ? L'aveu que la faille est venue de son propre ordinateur personnel, à la suite du téléchargement d'une version non officielle de CPU-Z. Un conseil pour les gamers, toujours télécharger les logiciels officiels !
Nicolas a terminé son discours en évoquant la norme WebAuthn du W3C qui permet une authentification forte sans mot de passe par l'utilisations de clés asymétriques.
Cette présentation mémorable nous a rappelé qu'on peut apprendre et rire en même temps mais surtout à quel point il est important de mener une politique de sécurité stricte et de sensibiliser l'ensemble du personnel de nos organisations.
« L'analyse comportementale au service de la sécurité de votre production » par Rachid Zarouali, SevenSphere
Quand Rachid Zarouali, CNCF ambassador, Docker Captain, Microsoft Azure MVP, parle de sécurité, on écoute !
Lors de la WAX CONF, Rachid nous a fait une présentation fascinante de l'outil Falco, avec une démo live incluse . Pour ceux qui ne connaissent pas, Falco est un outil open-source qui permet la détection des menaces et l'analyse comportementale dans les environnements de conteneurs et d'orchestration, comme Kubernetes.
Il est votre espion de confiance, travaillant en temps réel pour surveiller les activités du système et appliquer des règles de sécurité pour identifier les comportements suspects ou malveillants .
Falco peut faire bien plus que simplement jouer à l'espion :
- Détection des comportements anormaux : Falco analyse les événements du système et, s'il y a une activité qui correspond à une règle de sécurité définie, il déclenche une alerte pour signaler un comportement potentiellement dangereux.
- Règles de sécurité personnalisables : Besoin de règles spécifiques à votre environnement ? Falco a ce qu'il vous faut. Il offre la possibilité de créer et de personnaliser des règles de sécurité en fonction de vos besoins.
- Intégration avec d'autres outils : Falco peut être intégré à d'autres systèmes de sécurité pour renforcer la détection des menaces et la réponse aux incidents.
- Notifications en temps réel : Quand une activité suspecte est détectée, Falco alerte immédiatement les administrateurs ou les équipes de sécurité pour une réponse rapide et une investigation approfondie.
- Audit et conformité : En surveillant et enregistrant les activités du système, Falco peut aider à répondre aux exigences de conformité réglementaires.
- Support des conteneurs et de Kubernetes : Falco a été conçu spécifiquement pour les environnements de conteneurs et d'orchestration tels que Kubernetes, lui permettant de détecter des menaces spécifiques à ces environnements.
La conférence s'est conclue par une démo d'application d'une règle comportementale sur l'accès à un site sur un port particulier.
Si un utilisateur tente une requête, Falco enregistre automatiquement les actions, bloque l'utilisateur d'accéder de nouveau à la VM cible et peut ensuite agréger les logs et les rendre disponibles dans un SIEM pour une analyse et une détection de menaces potentielles. Un véritable must-have en matière de cybersécurité !
Pour conclure, la WAX CONF 2023 a été un rassemblement incroyable de professionnels et d'experts dans les domaines du DevSecOps et de la CyberSécurité.
Les participants ont eu l'occasion d'apprendre, d'échanger et de se connecter, le tout sous le signe de l'amélioration continue et de l'innovation technologique.
Nous sommes impatients d'y retourner l'année prochaine pour une autre dose d'apprentissage, d'inspiration et de partage !
Lionel GAIROARD
Practice Leader DevOps