Le petit chaperon rouge pratique enfin le “Zero Trust” (Hashicorp Version)

Transcript

1. — Le petit chaperon rouge pratique enfin le “Zero Trust”

   26 Janvier 2023

2. — Sommaire Notre environnement 01 Le petit chaperon rouge pratique

   enfin le “Zero Trust” 00 02 Il était une fois… 03 Tech 04 La morale

3. — he / him @sphinxgaiaone Cloud Builder chez WeScale Jérôme

   Masson

4. — 2015 +65 Création de WeScale Passionné(e)s de Cloud PARIS

   NANTES FULL REMOTE ON RECRUTE WE ARE WESCALE Présentation 00

5. Storyteller - Kubernetes’ City Hunter Phippy & friends (CNCF) Captain

   Kube Goldie Main Characters: Goldies Phippy & friends (CNCF)

6. as Bad Wolf: Litmus Incubating project LimtusChaos (CNCF) Lone Wolf

7. Environnement 01

8. — Préparation de notre environnement 01Le petit chaperon rouge pratique

   enfin le “Zero Trust”

9. — Infrastructure & Environnement Le petit chaperon rouge pratique enfin

   le “Zero Trust” 01 Infrastructure - Un / plusieurs cluster Kubernetes Apps - Installation avec Helm - Configuration & mise en place des tests - App Go - basée sur podtato-head : - manifest.yaml / server.go

10. — 01 Objectifs Concept principal du “Zero Trust”: "Ne jamais

    croire, Toujours vérifier” D’un Kubernetes Vanilla ou en mode service managé - Identifier les points de faiblesse - Appréhender les contres-mesures - Démystifier la simplicité de Kubernetes - Démystifier la complexité des outillages Le petit chaperon rouge pratique enfin le “Zero Trust”

11. Il était une fois 02 Le petit chaperon rouge pratique

    enfin le “Zero Trust”

12. — Il était une fois 02 Dans un village lointain…

    Vit une petite application, elle est la plus mignonne de son village. Sa mère-grand et surtout sa maman en sont folles. Tout le monde l’appelait le petit chaperon rouge ou “Goldie Red”

13. — Il était une fois 02 Dans un village lointain…

    Un jour sa maman lui dit : « Va voir comme se porte ta mère-grand, car on m'a dit qu'elle était malade, porte-lui une galette et ce petit pot de beurre. Ne parle surtout à personne et reviens avant la tombée de la nuit !!! »

14. — Il était une fois 02 Le village Kubernetes, Ta

    mère-grand vit dans le village Kubernetes, « C'était un cluster où il faisait bon vivre … »

15. — Il était une fois 02 La rencontre, Sur le

    chemin, notre petite application croise le loup solitaire, et il lui demande où elle va : « Je vais voir ma mère-grand, et lui porter une galette avec un petit pot de beurre que ma mère lui envoie. »

16. — Il était une fois 02 La rencontre, Mais où

    vit-elle : « Dans le village Kubernetes tout là-bas, derrière le endpoint: … » Montre moi ta carte, pour que je puisse te guider : « Tiens voilà mon kubeconfig » Tu peux passer par là, mais moi je suis pressé. Au revoir et à bientôt !!!

17. — Il était une fois 02 Le Loup solitaire était

    bien un méchant loup, Il se presse d’aller voir la mère-grand, il toque à la porte et imite la voix du petit chaperon rouge : Mère-grand lui répond : « Tire la chevillette et la bobinette cherra! » Le loup entre, la dévore et prend sa place.

18. — Il était une fois 02 Pendant ce temps là,

    Insouciante, la petite application prend son temps, elle regarde les fleurs et discute avec les animaux … Jusqu’au moment où …

19. Le petit chaperon rouge arrive devant la maison de mère-grand

    02

20. — Il était une fois 02 Goldie rouge toque à

    la porte, « Tire la chevillette et la bobinette cherra ! » - s'écria le loup Le petit chaperon rouge entre. Il voit sa mère-grand et dit : « Que vous avez de grands yeux !? » « C’est pour mieux te voir mon enfant. » - répond le loup

21. — Il était une fois 02 Goldie rouge continue ses

    questions, Le petit chaperon rouge dit ensuite : « Que vous avez de grandes oreilles !? » « C’est pour mieux t’entendre mon enfant. » - répond le loup

22. — Il était une fois 02 « C’est pour mieux

    te MANGER !!! » Le loup dévore le petit chaperon rouge et s’endort le ventre bien rond… Jusqu’au moment où … Goldie rouge pose une dernière question: « Que vous avez de grandes dents !? »

23. Le chasseur arrive 02

24. Kubernetes patterns 03 Reprenons en mode “Zero trust”

25. — 03 Objectifs - “Zero Trust” Concept principal du “Zero

    Trust”: "Ne jamais croire, Toujours vérifier” D’un Kubernetes Vanilla ou en mode service managé - Identifier les points de faiblesse - Appréhender les contres-mesures - Démystifier la simplicité de Kubernetes - Démystifier la complexité des outillages Le petit chaperon rouge pratique enfin le “Zero Trust”

26. — Zero Trust 03 Identité Concept principal du Zero Trust

    1. Gestion de l’identité et l’accès au cluster Ne jamais croire, Toujours vérifier

27. — Zero Trust 03 Conformité Zero Trust in cluster 2.

    Contrôle de flux avec Consul 3. Sécuriser vos secrets avec Vault ++ Contrôle de conformité avec Sentinel (Enterprise)

28. Tech 03 vs

29. — Tech 03 Terraform Terraform & Zero Trust Fonctionnalités -

    Standardisation - Connection avec Vault - Détection de drift

30. — Tech 03 Terraform module "eks_cluster" { source = "terraform-aws-modules/eks/aws"

    version = "18.30.2" ... cluster_endpoint_private_access = true cluster_endpoint_public_access = true }

31. — Tech 03 Packer Packer & Zero Trust Fonctionnalités -

    Léger - Multi-provider - Intégration Vault - Provisionner

32. — Tech 03 Packer source "docker" "myimg" { image =

    "sphinxgaia/ansible:ubuntu14.04" export_path = "packer_example" run_command = ["-d", "-i", "-t", "--entrypoint=/bin/bash", "{{.Image}}"] } build { sources = [ "source.docker.myimg" ] provisioner "ansible-local" { playbook_file = "./playbook.yml" extra_arguments = ["--extra-vars", \"pizza_toppings=${var.topping}\""] } }

33. — Tech 03 Boundary Boundary & Zero Trust Fonctionnalités -

    Authentification utilisateur - Intégration avec Vault - Coupure des connexions - Tracking des connexions

34. — Tech 03 Boundary

35. — Tech 03 Consul Consul - Service Mesh & Zero

    Trust Fonctionnalités - Sidecar => mTLS - Observabilité - Load-Balancers

36. — Tech 03 Consul

37. — Tech 03 Vault Vault & Zero Trust Gestion de

    Secrets & Identités - PKI - Secret dynamique - Intégration Kubernetes: Vault CSI / Authentification

38. — Tech 03 Vault manifest.yaml volumeMounts: - name: secrets-store-inline mountPath:

    "/secret" readOnly: true secret.yaml spec: parameters: objects: | - objectName: "version" secretPath: "littlebear/data/chair?version=2"

39. La morale 04

40. — La morale Ecosystème de Kubernetes 04 Network Security /

    Access / Encryption Cloud Auth / Standard / Network policies Cluster Scan / Least Privileges / Signing / Runtime Container Scan / Full TLS / Least Privilege Code Authentication Service Mesh / mTLS Boundary / Consul Network policies CSI Network & Secrets Network firewall Calico / Vault CSI / Neuvector Container Scanning Runtime Scanning Trivy Code & Dependencies scanning mTLS Certificate generator Trivy / Consul / Vault PKI

41. problèmes ?

42. None

43. Merci de votre attention. Contact Jérôme Masson Cloud Builder &

    DevOps Github/Gitlab: Sphinxgaia @sphinxgaiaone