Le blog technique de Kokiris, « Advanced Partner » OVH Cloud et spécialiste de l’hébergement et de l’infogérence depuis plus de 20 ans
Quels mécanismes mettons-nous en œuvre chez Kokiris pour protéger les services web de nos clients ?
Préambule
Le WAF (Web Application Firewall) ne sera pas abordé dans cet article.
Le réseau OVH, un environnement de facto protégé
Notre infrastructure étant sur le réseau d’OVH Cloud, nous héritons directement des mécanismes de sécurité mise en œuvre par celui-ci.
- le réseau OVH Cloud est protégé des tentatives de DDOS pouvant atteindre 1.3 Tbit/s ;
- tous les équipements sont protégés par une suite d’équipements spécialisés ;
- toutes les adresses ip sont par défaut en mitigation automatique ; ce qui veut dire que lors d’une attaque, en quelques secondes les équipements de protection protégeront le flux arrivant sur les serveurs clients. Cette mitigation, automatiquement déclenchée par défaut, peut aussi l’être manuellement sur décision de l’équipe technique Kokiris.
Pré-positionnement d’outils : l’admin-toolkit Kokiris
Nous déployons sur chaque serveur une boîte à outil d’administration, l’admin-toolkit, celle-ci contient une variété de scripts permettant au technicien d’établir si une attaque est en cours puis de la mitiger/bloquer.
…Kokiris et le monitoring
Chez Kokiris l’observabilité est un sujet de premier plan, elle nous permet d’optimiser les interventions, de limiter la durée des coupures de service et de circonscrire les incidents. L’observabilité se matérialise par le monitoring qui lui-même se subdivise en alerting et métrologie.
! Sur les captures d’écran, les informations confidentielles ont été floutées !
L’alerting
Chez Kokiris, après plusieurs années sous Shinken, nous avons choisi de migrer sous Icinga2. Icinga2 est une solution complète, modulaire et intuitive.
L’alerting est alimenté par chaque déploiement Ansible, il permet à l’équipe technique Kokiris de livrer au client un serveur totalement surveillé, conforme dans tous ses aspects à la commande passée.
Architecture multi-serveur, premier pas pour techniquement pérenniser son business
Le passage d’une architecture mono à multi-serveurs s’accompagne de nouvelles contraintes essentiellement liées au partage des données entre les serveurs. Voici une liste assez exhaustive des questions à prendre en compte.
Où sont stockées les sessions utilisateurs ?
Dans un ordre décroissant orienté performance :
- stockage dans un memcache local avec écriture séquentielle sur tous les serveurs ;
- stockage dans un redis local et répliqué ;
- stockage en base SQL commune.
C’est Kokiris qui mettra en place le service de stockage de session partagé.
…