Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Cloud Native Zero Trust infrastructures : une approche nécessaire pour passer au Cloud

— Article en partenariat avec Squarescale —

Si vous êtes développeur Cloud Native, vous savez forcément que la sécurité de votre infrastructure comme de votre application est un sujet complexe et indispensable à prendre au sérieux. Si vous ne le savez pas, spoiler alert: vous allez bientôt le savoir par la force des choses, et ça risque d’être violent…

La crise sanitaire aura eu comme conséquence de faire prendre conscience à la plupart des entreprises que la sécurité informatique est un sujet qui n’est pas traité à la hauteur des enjeux.

On ne compte plus les actes de  cyber-malveillance, qui sont malheureusement devenus des faits divers. Les autorités incitent les entreprises à investir massivement sur la cybersécurité, le gouvernement vient encore d’annoncer un nouveau plan d’investissement massif sur la sécurité du numérique.

Bref, il ne serait pas étonnant de voir des administrateurs systèmes traumatisés, appeler leur chien (ou leur enfant ?) Log4Shell dans les mois qui viennent.

Je vais donc vous parler aujourd’hui du modèle d’architecture Zero Trust, qui va vraisemblablement s’imposer dans le domaine du Cloud Native.

Aujourd’hui, une infrastructure réseau repose généralement sur l’approche « château fort et douves”. Le périmètre réseau dans lequel se trouvent les ressources critiques à protéger est assimilé à l’intérieur du château fort. Les épaisses murailles de pierres, le pont-levis, et les douves protègent des entrées à l’intérieur du château.

Il est difficile de pénétrer dans l’enceinte du château fort. Mais que se passe-t-il si une personne malveillante réussit à entrer à l’intérieur du château, bénéficiant par exemple d’une faille avec le système de pont-levis ? Une fois à l’intérieur, la personne malveillante peut accéder aux ressources du château.

Basiquement, ce type d’approche cherche à éliminer le risque de pénétration au sein du réseau critique. Mais si l’on y parvient quand même, il n’y a presque plus de protection à l’intérieur.

L’approche Zero Trust part d’un paradigme différent: on considère qu’on ne peut faire confiance à aucune machine, aucun être humain. C’est une remise en cause de la confiance implicite accordée dans le modèle périmétrique.

À chaque fois qu’une machine ou un humain doit accéder à une ressource, il doit prouver son identité, de manière récurrente, il ne peut accéder qu’à ce qui lui est explicitement autorisé, et tous les échanges sont chiffrés.

Dans le cloud, et plus particulièrement avec une approche multi-cloud, les ressources sont distribuées, et les différents services ne sont pas forcément centralisés dans un périmètre isolé. Il est souvent nécessaire de mettre en place des niveaux de sécurité différents pour différents périmètres.

Le modèle Zero Trust est donc adapté aux infrastructures Cloud Native.

Pour autant, la mise en place d’une architecture Zero Trust est considérée comme très coûteuse et complexe. Elle nécessite une expertise pointue, particulièrement délicate à intégrer dans un projet dans le contexte de pénurie de compétences cyber que nous connaissons.

L’ANSSI, met en garde sur l’enjeu d’un tel chantier :

 “A ce jour, le recours à un modèle Zero Trust est ardu, faute de maturité : le déploiement est susceptible d’entraîner des erreurs d’installation ou de configuration, d’accroître la vulnérabilité des systèmes d’information et de donner aux entreprises un faux sentiment de sécurité.”

https://www.ssi.gouv.fr/agence/publication/le-modele-zero-trust/

On peut également noter les difficultés opérationnelles d’un tel modèle. Sa complexité potentielle jouant largement en sa défaveur.

Et c’est bien pour cette raison que je vous présente SquareScale régulièrement depuis quelques mois.

SquareScale est un outil qui permet de déployer et de piloter from scratch une infrastructure Cloud Native Zero Trust, sur n’importe quel IaaS provider, cloud privé (Openstack, VMWare) ou cloud hybride.

Je ne vais pas revenir sur une présentation détaillée de SquareScale, je laisse à la fin de l’article le lien vers les précédentes présentations.

Ce qu’il faut retenir ici, c’est que SquareScale automatise le déploiement de l’ensemble de l’infrastructure, avec toutes les bonnes pratiques de sécurité et tous les composants correctement configurés pour la mise en place d’une infrastructure Zero Trust.

SquareScale met en place un cluster Vault, un gestionnaire de secrets qui permet de gérer la rotation automatique des credentials, qui évite l’erreur de sécurité la plus basique (et effroyablement fréquente), qui consiste à stocker les credentials d’accès à une base de données, par exemple, dans le code, et parfois même dans le gestionnaire de version…

Depuis le mois dernier, SquareScale automatise également la mise en place du Service Mesh. Sans faire un exposé technique détaillé sur le sujet, le Service Mesh considère que par défaut, aucun service ne peut parler à un autre service. On va alors configurer les intentions, c’est-à-dire définir quel service a le droit de communiquer avec quel(s) autre(s) service(s).

De plus, le Service Mesh va créer un tunnel TLS sur toutes les routes autorisées. Ce chiffrement systématique est transparent : il n’est pas connu de l’application, le développeur n’a donc pas à s’en soucier.

Grâce à SquareScale, les développeurs peuvent se concentrer sur leur métier et le faire bien. Ces derniers évitent alors de faire de la “cuisine ops” qui est une expertise à part entière.

L’approche Zero Trust permet également de faciliter les chantiers de certification de sécurité en démontrant la non-rupture de la chaîne de confiance. C’est d’ailleurs une autre grosse valeur ajoutée de SquareScale: le choix des profils de sécurité, allant de la sécurité basique aux profils de certification (eIDAS, PCI DSS, HDS, SecNumCloud, …).

Dans cet article, j’ai survolé le sujet. Le modèle Zero Trust implique beaucoup d’autres concepts, que je vous présenterai lors des prochains articles sur SquareScale.

Pour conclure, je rappelle que SquareScale recrute des DevOps passionnés par l’automatisation d’infrastructures, n’hésitez pas à les contacter de ma part : https://squarescale.com

Pour se rafraîchir la mémoire, les derniers articles présentant SquareScale :

Si vous êtes un passionné de cybersécurité et que vous cherchez à apprendre de nouvelles choses, avez-vous déjà pensé à suivre des streams en live de hackers sur Twitch ?

Ils ne sont pas si nombreux et ils sont tous référencés sur cette page. Tous ceux qui n’ont pas streamés depuis +14 jours sont retirés de la liste, ainsi vous n’aurez que du frais.

Les gens en train de streamer à l’heure où j’écris ces lignes sont également marqués comme « En ligne » avec une pastille verte et un lien vers leur chaine YouTube est également fourni.

Et si vous êtes vous-même streamer cybersécu, n’oubliez pas de vous rajouter dans le fichier streamers.csv avec une pull request sur le projet.


Vous avez besoin d’illustrer un document ou un article sur votre site ? Vous cherchez des icônes et des illustrations pour votre application ?

Ne cherchez plus !

Grâce au site Reshot proposé par Envato, vous aurez accès gratuitement et sans aucun besoin de licence à plus de 40 000 icônes, 25 000 photos et 1500 illustrations vectorielles en tous genres.

Dans la même ligne que Pexels et bien d’autres, cela vous permettra d’illustrer à peu près tout ce que vous voudrez sans avoir besoin de débourser un centime.

Et les photos sont vraiment de bonne qualité. De plus, les thèmes sont suffisamment variés pour que vous y trouviez votre compte. D’ailleurs toute la liste des tags est ici.


Si vous avez besoin de faire un petit schéma propre et clair pour illustrer un article ou de la documentation dans le cadre d’un projet de développement, j’ai un super outil libre pour vous.

Cela s’appelle tldraw et ça permet de dessiner des formes géométriques de bases, de les lier, de mettre un peu de texte et surtout d’exporter ensuite tout ça au format SVG ou JSON.

Voici un rendu SVG de la chose :

IciLà basTruc

L’interface est vraiment bien pensée, surtout qu’en plus de l’interface web que vous trouverez ici, il existe également des plugins pour les éditeurs de code comme Visual Studio ou des traitements de texte comme Taio.

Et si vous êtes curieux de voir ce que réserve la suite, la prochaine version de tldraw en cours de dev est disponible ici.

Et tldraw plaira également aux développeurs puisque vous pourrez le manipuler à l’aide de son API directement depuis la console de dev du navigateur comme vous pouvez le voir sur ces tweets.

Vraiment génial ! Un service qui vient rejoindre ma boite à outils !


Google Maps, c’est super génial à utiliser, mais pas forcément à imprimer. Heureusement, il existe un site qui s’appelle PDF Map Maker qui va vous permettre de générer un PDF prêt à imprimer à partir de Google Maps.

Vous choisissez l’emplacement, le format de la page (portrait, paysage…etc.), le fond de carte dont vous avez besoin (trafic routier, satellite, plan…etc.), mais également le niveau de zoom, le style 3D ou non, la rotation et surtout un pitch pour avoir une carte sous un angle diffèrent de celui de la vue supérieure du satellite.

Une fois que vous avez ce que vous voulez, vous cliquez sur Download Map et vous récupérez un beau PDF que vous pourrez ensuite imprimer ou envoyer.

Ce qui est vraiment cool avec ce service, c’est que vous pouvez y ajouter vos propres données géographiques en les important au format JSON. Pour générer ce genre de fichiers, rendez-vous sur Vector.

Pratique pour fournir une carte à des invités, décider de l’emplacement de vos pièges à loups ou organiser une chasse au trésor dans les rues de votre ville.


Vous voyez cette fonctionnalité sur Zoom ou Google Meet qui permet de vous détourer du fond pour ensuite afficher ce que vous voulez derrière, même sans fond vert ?

Et bien le plugin Virtual Background permet de faire la même chose sous OBS Windows 64 bit (uniquement).

Fond virtuel oblige, le détourage sera bien sûr un peu dégueu, mais vous n’aurez pas à investir dans un fond vert.

Ainsi, vous pourrez passer de ça :

À ça :

Elle n’est pas belle la vie ?

Par contre, attention, il peut y avoir des glitchs donc si VRAIMENT vous ne voulez pas que votre public puisse voir ce qu’il y a derrière vous, il ne vaudrait mieux pas utiliser ce plugin et investir dans un vrai fond vert. Je vous recommande celui-ci que j’utilise et qui est très bien.


Mes gazouillis

📣 En live : Ce stream, c'est comme si t'étais en vacances à Ibiza ! https://t.co/rb8xBItNgV #kbn #twitch
Ça démarre !!! #kbn https://t.co/Lxy2xlNdNe