L’expérience AWS avec Lumo, REX Société Générale par Akram Blouza et David Caramelo

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Build the future L'EXPÉRIENCE AWS AVEC
LUMO @ SOCIETE GENERALE DAVID CARAMELO / AKRAM BLOUZA

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Qui sommes-nous ? David CARAMELO CTO
@ Lumo Akram BLOUZA Cloud Builder @david_caramelo @akram_wewe

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Lumo en 2 mots 2012 2012

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Lumo en 4 chiffres 2012 7
500 personnes 6 Millions € + 50 projets +330 millions kWh

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe L’aventure commence en 2017

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe La découverte ... 212

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Server unique - Webapp - BDD
- Images - Documents - Etc ...

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Niveau insuffisant Sécurité Scalabilité Résilience Auditabilité

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Obligations dans le monde bancaire -
Exemplarité - Traçabilité - Historisation - Sécurité - Résilience

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe 1er niveau de sécurisation - -
Ajout d’un firewall - - Multi data center - - Mise en place d’une stratégie de backup - - Séparation des responsabilités - - Amélioration de la sécurité applicative - - Campagne de Pen-Test

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Le jour J : 21 juin
2018

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Mission : Propulser LUMO dans le
cloud AWS - Sécurité - Automatisation - Scalabilité - Résilience - Auditabilité - Simple à l’usage

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Comment ? Sécurité

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Gestion des comptes ❖ Gestion
des comptes

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Gestion des utilisateurs et rôles
❖ Quatre rôles: watchers, tinkers, keepers et settlers ❖ Mécanisme de gestion des rôles: exemple rôle keepers/settlers

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Isolation réseaux ❖ Un VPC
par environnement ❖ Deux Subnets publiques ( un subnet par AZ) ❖ Deux subnets privées ( un subnet par AZ )

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Pare-feu applicatif ❖ AWS WAF:
Protéger votre application contre les failles du Web pouvant affecter: ➢ La disponibilité ➢ La sécurité ➢ La surconsommation des ressources. ❏ Intégration des règles protégeant des dix risques de sécurité applicatifs Web les plus critiques et définis par l’Open Web Application Security Project ( OWASP) ❖ AWS Shield: Protection contre DDoS (Déni du service distribué).

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Security Group ❖ Plusieurs règles
contrôle du trafic entrant et sortant. ❖ Les règles sont positionnées au niveau des ressources AWS: EC2, ALB, RDS, bastion-vpn.

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Https ❖ AWS Certificate Manager
❖ Gestion facile des certificats pour les déployer sur les ressources AWS ❖ Mécanisme de validation du certificat ❖ Gestion du renouvellement du certificat.

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: VPN ❖ Outils internes de
l’entreprise sont accessible uniquement par VPN VPN EC 2 - Vpn Connect

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Sécurité: Cryptage des données sensibles ❖
AWS KMS ❖ Gestion de clés de chiffrement centralisé. ❖ Intégré au services AWS ❖ Emplacement sécurisé pour stocker les clés chiffrement

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Comment ? RESILIENCE

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Résilience: Rappel Capacité d’une architecture de
continuer à offrir la même qualité de service même si certaines ressources deviennent inaccessibles.

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Résilience: Application + RDS en multi
AZ.

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Comment ? SCALABILITÉ

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Scalabilité Capacité d’une architecture à croître
verticalement ( sizing des machines) et horizontalement (Ajoutant des machines)

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Scalabilité: Autoscaling Group ➢ Scalabilité Horizontale
➢ Groupe cible: Load Balancer ALB ➢ Capacité souhaitée ➢ Maximum ( Max) ➢ Minimum (Min) ➢ Période de grâce

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Scalabilité: CloudFront ➢ Réseau rapide de
diffusion du contenu ( Content Delivery Network: CDN) ➢ Réseau global de 134 points de présence. ➢ Redirige le flux internet Https vers le load Balancer

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Comment ? Automatisation

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Automatisation: Déploiement de l’infrastructure ➢ Centralisation
des tfstate (tfstate par environnement) dans un backend s3 privée et crypté par une clé KMS ➢ Projet Terraform en layers ( organisation, tfbackend, network-landscape …) ➢ Maximiser l'utilisation des modules sécuriser vos déploiement Terraform TERRAFORM LAYERING : POURQUOI ET COMMENT ?

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Automatisation: Déploiement de l’application développeur push
GitHub 1 pipeline dépoiement 2 Jenkins Autoscaling group Autoscaling group New Autoscaling group New old 1- Prepare l’instance ( install git, ansible …) 2- Pull depuis GitHub ansible Playbook 3- ansible: configure apache + pull et déploie Lumo dans Apache Launch Configuration f d 3 pull: asg_rolling (ansible projet) ansible-playbook aws_asg_roller.yml -e batch_size=2 4 Rolling update dans AWS: aws_asg_roller

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Améliorations ➢ Tooling ➢ Dockerisation ➢
Archivage ➢ Exploitation / monitoring ➢ Automatiser le provisionning automatique d’un nouvel environnement … ➢ Multi-région

@Xebiconfr #Xebicon18 @David_Caramelo @Akram_wewe Conclusion - 2 personnes / 6
mois - Sécurité - Expertise / Partenariat Projet Equipe Ecologie Technique

L’expérience AWS avec Lumo, REX Société Général...

L’expérience AWS avec Lumo, REX Société Générale par Akram Blouza et David Caramelo

More Decks by WeScale

Other Decks in Technology

Featured

Transcript