@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Build the future L'EXPÉRIENCE AWS AVEC LUMO @ SOCIETE GENERALE DAVID CARAMELO / AKRAM BLOUZA

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Qui sommes-nous ? David CARAMELO CTO @ Lumo Akram BLOUZA Cloud Builder @david_caramelo @akram_wewe

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Lumo en 2 mots 2012 2012

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Lumo en 4 chiffres 2012 7 500 personnes 6 Millions € + 50 projets +330 millions kWh

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe L’aventure commence en 2017

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe La découverte ... 212

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Server unique - Webapp - BDD - Images - Documents - Etc ...

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Niveau insuffisant Sécurité Scalabilité Résilience Auditabilité

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Obligations dans le monde bancaire - Exemplarité - Traçabilité - Historisation - Sécurité - Résilience

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe 1er niveau de sécurisation - - Ajout d’un firewall - - Multi data center - - Mise en place d’une stratégie de backup - - Séparation des responsabilités - - Amélioration de la sécurité applicative - - Campagne de Pen-Test

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Le jour J : 21 juin 2018

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Mission : Propulser LUMO dans le cloud AWS - Sécurité - Automatisation - Scalabilité - Résilience - Auditabilité - Simple à l’usage

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Comment ? Sécurité

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Gestion des comptes ❖ Gestion des comptes

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Gestion des utilisateurs et rôles ❖ Quatre rôles: watchers, tinkers, keepers et settlers ❖ Mécanisme de gestion des rôles: exemple rôle keepers/settlers

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Isolation réseaux ❖ Un VPC par environnement ❖ Deux Subnets publiques ( un subnet par AZ) ❖ Deux subnets privées ( un subnet par AZ )

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Pare-feu applicatif ❖ AWS WAF: Protéger votre application contre les failles du Web pouvant affecter: ➢ La disponibilité ➢ La sécurité ➢ La surconsommation des ressources. ❏ Intégration des règles protégeant des dix risques de sécurité applicatifs Web les plus critiques et définis par l’Open Web Application Security Project ( OWASP) ❖ AWS Shield: Protection contre DDoS (Déni du service distribué).

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Security Group ❖ Plusieurs règles contrôle du trafic entrant et sortant. ❖ Les règles sont positionnées au niveau des ressources AWS: EC2, ALB, RDS, bastion-vpn.

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Https ❖ AWS Certificate Manager ❖ Gestion facile des certificats pour les déployer sur les ressources AWS ❖ Mécanisme de validation du certificat ❖ Gestion du renouvellement du certificat.

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: VPN ❖ Outils internes de l’entreprise sont accessible uniquement par VPN VPN EC 2 - Vpn Connect

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Cryptage des données sensibles ❖ AWS KMS ❖ Gestion de clés de chiffrement centralisé. ❖ Intégré au services AWS ❖ Emplacement sécurisé pour stocker les clés chiffrement

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Comment ? RESILIENCE

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Résilience: Rappel Capacité d’une architecture de continuer à offrir la même qualité de service même si certaines ressources deviennent inaccessibles.

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Résilience: Application + RDS en multi AZ.

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Comment ? SCALABILITÉ

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Scalabilité Capacité d’une architecture à croître verticalement ( sizing des machines) et horizontalement (Ajoutant des machines)

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Scalabilité: Autoscaling Group ➢ Scalabilité Horizontale ➢ Groupe cible: Load Balancer ALB ➢ Capacité souhaitée ➢ Maximum ( Max) ➢ Minimum (Min) ➢ Période de grâce

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Scalabilité: CloudFront ➢ Réseau rapide de diffusion du contenu ( Content Delivery Network: CDN) ➢ Réseau global de 134 points de présence. ➢ Redirige le flux internet Https vers le load Balancer

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Comment ? Automatisation

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Automatisation: Déploiement de l’infrastructure ➢ Centralisation des tfstate (tfstate par environnement) dans un backend s3 privée et crypté par une clé KMS ➢ Projet Terraform en layers ( organisation, tfbackend, network-landscape …) ➢ Maximiser l'utilisation des modules sécuriser vos déploiement Terraform TERRAFORM LAYERING : POURQUOI ET COMMENT ?

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Automatisation: Déploiement de l’application développeur push GitHub 1 pipeline dépoiement 2 Jenkins Autoscaling group Autoscaling group New Autoscaling group New old 1- Prepare l’instance ( install git, ansible …) 2- Pull depuis GitHub ansible Playbook 3- ansible: configure apache + pull et déploie Lumo dans Apache Launch Configuration f d 3 pull: asg_rolling (ansible projet) ansible-playbook aws_asg_roller.yml -e batch_size=2 4 Rolling update dans AWS: aws_asg_roller

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Améliorations ➢ Tooling ➢ Dockerisation ➢ Archivage ➢ Exploitation / monitoring ➢ Automatiser le provisionning automatique d’un nouvel environnement … ➢ Multi-région

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Conclusion - 2 personnes / 6 mois - Sécurité - Expertise / Partenariat Projet Equipe Ecologie Technique