Présentation animée au Devfest Nantes 2023 le 19/10/2023 sur la construction d'une pile réseau sur AWS multi comptes sécurisées et les travaux d'optimisations qui en découlent. Entrez, suivez le lapin blanc 🐰 et venez découvrir les étapes qui nous ont permis de vaincre l’Agent Smith 🕵️🕵️ ! À bord du Nebuchadnezzar 🚀, vous aurez un aperçu des préconisations AWS pour mettre en œuvre une architecture multi-comptes et une segmentation forte de la couche réseau. En suivant le Maître des Clés 🗝️, il vous expliquera comment ouvrir les portes de la Matrice grâce au SSO. Quant à l'Oracle 🔮, elle vous prédira un avenir incertain sur les coûts. Quelle pilule choisirez-vous ? 💊 Prenez la bleue, l'histoire s'arrête là. Vous vous réveillez dans votre lit, et vous continuez de suivre naïvement les recommandations AWS. Prenez la rouge, vous restez au Pays des Merveilles et nous vous montrons jusqu'où l’optimisation peut aller.

1. Devenez l’Élu et maitrisez la
Matrice AWS
Guillaume Membré
Consultant - Formateur
Arthur Guyader
Ingénieur Sécurité

2. Scénario
Entreprise
de taille
moyenne
Nantaise
Souhaite
passer sur
AWS
≃ 150 000
clients
Cloud
Task
Force = 5
personnes
sur 1 an
Volonté :
IAC +
Secure By
Design
2

3. “La matrice te tient. Suit le lapin blanc.”
Suivez le lapin blanc
3

4. “Je n'ai pas dit que ce serait facile, Néo, j'ai dit que ce serait la vérité.”
Nombreuses documentations
4

5. Néo
Lié à la matrice
Compte AWS
Network IAM S3
…
EC2
Icônes : https://icones8.fr
Petit rappel …
5

6. Compte AWS
Hors prod
Compte AWS
Prod
Néo
Morpheus
“Oubliez tout ce que vous savez, il n’y a pas qu’une matrice.“
Petit rappel …
6

7. 📁 Infrastructure
📁 Sandbox
📁 Security
📁 Workloads
📁 Production
Application 1
Application 2
📁 Intégration
Application 1
Application 2 7
AWS Organizations
Security Reference Architecture

8. 📁 Infrastructure
📁 Sandbox
📁 Security
📁 Workloads
📁 Production
Application 1
Application 2
📁 Intégration
Application 1
Application 2 8
AWS Organizations
Security Reference Architecture
Control Tower
● Bonnes pratiques
● Préconfiguration
● Conformité

9. 9
Security Reference Architecture - Workloads
Virtual private cloud (VPC)
RDS
EKS ALB
Application Account
EC2

10. 10
Security Reference Architecture - Workloads
Virtual private cloud (VPC)
Private subnet
Database subnet
RDS
EKS ALB
EC2
Application Account

11. 11
Security Reference Architecture - Workloads
Virtual private cloud (VPC)
Private subnet
Database subnet
RDS
WAF
S3
SSM
EKS ALB
EC2
Application Account

12. 12
Security Reference Architecture - Workloads
Virtual private cloud (VPC)
Private subnet
Database subnet
RDS
WAF
S3
SSM
EKS ALB
EC2
Application Account

13. 13
Virtual private cloud (VPC)
Private subnet
Shared Account
ECR
Virtual private cloud (VPC)
Public subnet Private subnet
Network Account
Route53
Resolver
ALB
NAT Gateway
Security Reference Architecture - Infrastructure
Virtual private cloud (VPC)
Private subnet
Kafka
Internet
Gateway

14. 14
Audit Account
Cloudtrail GuardDuty Security
Hub
Macie
Detective
Firewall
Manager
Security Reference Architecture - Security
Log Archive
Cloudtrail
Log
Access
Log
Config
Log
VPC Flow
Log

15. Combat avec l’agent Smith
“Vous entendez M. Anderson ? C’est le son de l’inévitabilité !”
15

16. 📁 Workloads
📁 Prod
📁 Preprod
📁 Integ
📁 Test
📁 InfraInteg
📁 InfraTest
📁 Infrastructure
📁 Prod
📁 Horsprod
📁 Infrainteg
📁 Infratest
AWS Organizations
Équipe plateforme
Équipe produit (développeur, testeur…)
Équipe plateforme
Mise en pratique du multi environnements
16

17. Account
Segmentation forte de la couche réseau - VPC
Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
Public subnet
Private subnet
Private subnet
Network Account
17

18. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
Private subnet
Public subnet
Public subnet
NAT Gateway
Internet
Gateway
Private subnet
ALB
Account
Network Account
18

19. Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
Private subnet
Virtual private cloud (VPC)
Public subnet
Virtual private cloud (VPC)
Workloads
NAT Gateway
Internet
Gateway
Private subnet
ALB
RDS
EKS
ALB
Account
Network Account
19

20. Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
Private subnet
Virtual private cloud (VPC)
Public subnet
Virtual private cloud (VPC)
Transit Gateway
NAT Gateway
Internet
Gateway
Private subnet
ALB
RDS
EKS
ALB
Transit
Gateway
Account
Network Account
20

21. Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
Private subnet
Virtual private cloud (VPC)
Public subnet
Virtual private cloud (VPC)
VPN
NAT Gateway
Internet
Gateway
Private subnet
ALB
RDS
EKS
ALB
Transit
Gateway
VPN
On Premise
Account
Network Account
21

22. Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
Private subnet
Virtual private cloud (VPC)
Public subnet
Virtual private cloud (VPC)
DNS
NAT Gateway
Internet
Gateway
Private subnet
ALB
RDS
EKS
ALB
Transit
Gateway
VPN
On Premise
Account
Network Account
22
Route53
Resolver

23. Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
Private subnet
Virtual private cloud (VPC)
Public subnet
Virtual private cloud (VPC)
Endpoints
NAT Gateway
Internet
Gateway
Private subnet
ALB
RDS
EKS
ALB
Transit
Gateway
VPN
On Premise
Account
Network Account
23
Route53
Resolver
S3
Secret
Manager
System
Manager

24. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
Private subnet
Virtual private cloud (VPC)
Public subnet
Virtual private cloud (VPC)
Multi comptes
NAT Gateway
Internet
Gateway
Private subnet
ALB
RDS
EKS
ALB
Transit
Gateway
VPN
On Premise
Account
Network Account
24
Route53
Resolver
S3
Secret
Manager
System
Manager

25. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Virtual private cloud (VPC)
Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
RDS
Route53
Resolver
S3
Secret
Manager
System
Manager
VPN
On Premise
Account
Network Account
Public subnet
Flux
entrants
Private subnet
NAT Gateway
Internet
Gateway
Private subnet EKS
ALB
Transit
Gateway
ALB
Flux entrants
25

26. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Virtual private cloud (VPC)
Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
ALB
RDS
Route53
Resolver
S3
Secret
Manager
System
Manager
VPN
On Premise
Account
Network Account
ALB
Private subnet
Flux
sortants
NAT Gateway
Private subnet EKS
Transit
Gateway
Public subnet
Flux sortants
26
Internet
Gateway

27. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Database subnet
Virtual private cloud (VPC)
Public subnet
Virtual private cloud (VPC)
NAT Gateway
Internet
Gateway
Private subnet
ALB
RDS
ALB
Transit
Gateway
Route53
Resolver
S3
Secret
Manager
VPN
On Premise
Account
Network Account
Virtual private cloud (VPC)
Flux
sortants
EKS
System
Manager
Private subnet
Flux sortants
27

28. Région
AZ A AZ B
AZ C
Région et zones de disponibilité
28

29. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Virtual private cloud (VPC)
Private subnet
Haute disponibilité
Private subnet
Database subnet
Database subnet
Database subnet
RDS
EKS
ALB
S3
Secret
Manager
Public subnet
Public subnet
Private subnet
Public subnet
Private subnet
Private subnet
Resolver
ALB
NAT Gateway
VPN
On Premise
System
Manager
Transit
Gateway
Internet
Gateway
Account
Network Account
29
Route53

30. Choisir la bonne pilule ?
“Choisis la pilule bleue et tout s'arrête.
Choisis la pilule rouge, tu restes au pays des merveilles.” 30

31. Stack applicative pré-migration
31

32. Services full managés
S3 EBS / EFS RDS
Postgresql
32

33. Bien mais…
EKS
Do It Yourself
contrôleur LoadBalancer : ALB
contrôleur Volume : EFS / EBS
autoscaler : Karpenter
downscaler : Kube-downscaler
remontée des logs : Opérateur Elastic
…
33

34. Bien mais…
MSK
Do It Yourself
gestion d’un cluster mutualisé multi account
librairie dev buggée depuis 2 ans
mise en place des connecteurs
…
34

35. Services non retenus
Prometheus
OpenSearch Grafana
35

36. Rencontre avec le maître des clés
“Je ne peux que te montrer la porte, c'est à toi qu'il appartient de la franchir.”
36

37. Compte AWS
Hors prod
Compte AWS
Prod
Néo
Morpheus
Petit rappel …
37
● Access Key (AK)
● Secret Access
Key (SK)
AK / SK

38. Compte AWS
Hors prod
Compte AWS
Prod
Compte
Utilisateur
☎
Assume
Role
Utilisateur
CI
Utilisateur
CI
Gestion des accès
Morpheus
Néo
38
AK / SK
AK / SK

39. Morpheus
Compte AWS
Hors prod
Néo
Compte AWS
Prod
Utilisateur
CI
Utilisateur
CI
IAM Identity Center
(AWS SSO)
Gestion des accès
39
⇒ Authentification fédérée (SAML)

40. Équipage du
Nebuchadnezzar
Sécurité Développeur Plateforme
Utilisateurs et groupes
IAM Identity Center (AWS SSO)
40

41. Programme
de combat
Équipage du
Nebuchadnezzar
AdministratorAccess
IAM Identity Center (AWS SSO)
41

42. Développeur
Plateforme
Sécurité
Prod Preprod
Integ Test
InfraInteg InfraTest
Sandbox
ViewOnlyAccess
Voir les ressources
(pas les données)
Gestion des accès
42

43. Prod Preprod
Integ Test
InfraInteg InfraTest
Sandbox
ReadOnlyAccess
Voir les ressources
et les données
Développeur
Plateforme
Sécurité
Gestion des accès
43

44. Prod Preprod
Integ Test
InfraInteg InfraTest
Sandbox
PowerUserAccess
Accès à toutes les
ressources sauf IAM
Développeur
Plateforme
Sécurité
Gestion des accès
44

45. Prod Preprod
Integ Test
InfraInteg InfraTest
Sandbox
AdministratorAccess
Accès à toutes les
ressources
Développeur
Plateforme
Sécurité
Gestion des accès
45

46. Temporary Access Request
⇒ Apporte de la flexibilité
46

47. Gestion des accès de la CI
Toutes
les 24
heures
47

48. Accès à la base de données
Instance
profile
EKS
48

49. “On ne voit pas plus loin que les choix qu’on ne peut pas comprendre.”
Rencontre de l'oracle
49

50. Coût 💸
● TOUT est facturé
● Tarifs dépends de la région : paris > ireland > virginie (US)
● Exemple : Transit Gateway
○ 0.06 $ de l’heure par attachement
○ 0.02 $ par Gb
⇒ ( 0.06 $/h * 730 h/mois ) * ( 4 comptes * 3 interfaces ) ≈ 525 $ / mois
50

51. Transit
Gateway
Virtual private cloud (VPC)
Virtual private cloud (VPC)
Private subnet
Centre de coûts
Private subnet
Database subnet
Database subnet
EKS
Database subnet
RDS
ALB
S3
Virtual private cloud (VPC)
Secret
Manager
Public subnet
Public subnet
Private subnet
Public subnet
Private subnet
Private subnet
Resolver
ALB
NAT Gateway System
Manager
VPN
On Premise
Internet
Gateway
Network Account
51
Route53
Account

52. Dur retour à la réalité : Aïe les coûts !
VPC endpoints 350 $
Transit Gateway 525 $
Nat Gateway 214 $
Resolver Route 53 405 $
Load Balancer 120 $
Total ≈ 1620 $
👍 Aucun équipement réseau en HA à gérer
Aucune prod 🤯
Coût pour 4 comptes interconnectés / mois
52

53. “Arrête d'essayer de me frapper, frappe-moi !”
Vaincre l’agent Smith
53

54. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Database subnet
Database subnet
Database subnet
S3
Secret
Manager
System
Manager
RDS
Account
VPN
On Premise
Route53
Private subnet
Private subnet
Private subnet
Resolver
Virtual private cloud (VPC)
Internet
Gateway
Network Account
Private subnet
Private subnet
EKS
ALB
Optimisations
Public subnet
Public subnet
Public subnet
ALB
NAT Gateway
Transit
Gateway
54

55. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Database subnet
Database subnet
Database subnet
S3
Secret
Manager
System
Manager
RDS
Account
VPN
On Premise
Route53
Private subnet
Private subnet
Private subnet
Resolver
Virtual private cloud (VPC)
Internet
Gateway
Network Account
Private subnet
Private subnet
EKS
ALB
Optimisations
Public subnet
Public subnet
Public subnet
ALB
NAT Gateway
Transit
Gateway
55

56. S3
Secret
Manager
System
Manager
Route53
Private subnet
Private subnet
Private subnet
On Premise
Transit
Gateway
Network Account
Virtual private cloud (VPC)
VPN
Resolver
Virtual private cloud (VPC)
Account
Database subnet
Database subnet
Database subnet
RDS
Internet
Gateway
Private subnet
Private subnet
ALB EKS
Virtual private cloud (VPC)
VPC Peering
Public subnet
Public subnet
Public subnet
Proxy
sortant
56
ALB

57. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Public subnet
Public subnet
Private subnet
Public subnet
Private subnet
Private subnet
VPN
On Premise
Transit
Gateway
Internet
Gateway
Network Account
Route53
ALB
Resolver
Proxy
sortant
Account
Virtual private cloud (VPC)
Private subnet
VPC Peering
Private subnet
Database subnet
Database subnet
Database subnet
S3
Secret
Manager
System
Manager
57
ALB
RDS
EKS

58. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Private subnet
Private subnet
Database subnet
Database subnet
Database subnet
S3
Secret
Manager
Route53
ALB
RDS
EKS
Account
VPN
Transit
Gateway
Network Account
Optimisations
Virtual private cloud (VPC)
Public subnet
Public subnet
Private subnet
Public subnet
Private subnet
Private subnet
System
Manager
On Premise
58
ALB
Resolver
Proxy
sortant
Internet
Gateway

59. Virtual private cloud (VPC)
Virtual private cloud (VPC)
Public subnet
Public subnet
Private subnet
Public subnet
Private subnet
Private subnet
System
Manager
VPN
On Premise
Transit
Gateway
Internet
Gateway
Network Account
Route53
ALB
Resolver
Proxy
sortant
Account
Virtual private cloud (VPC)
Private subnet
Optimisations
Private subnet
Database subnet
Database subnet
Database subnet
S3
Secret
Manager
59
ALB
RDS
EKS

60. Network Account
VPN
Transit
Gateway
Virtual private cloud (VPC)
Virtual private cloud (VPC)
Private subnet
Private subnet
Database subnet
Database subnet
Database subnet
S3
Secret
Manager
On Premise
Route53
ALB
RDS
Private subnet
Private subnet
Private subnet
System
Manager
Resolver
EKS
Account
Optimisations
Virtual private cloud (VPC)
Public subnet
Public subnet
Public subnet
Internet
Gateway
60
ALB
Proxy
sortant

61. Virtual private cloud (VPC)
Account
Virtual private cloud (VPC)
Public subnet
Public subnet
Private subnet
Public subnet
Private subnet
Private subnet
System
Manager
VPN
On Premise
Transit
Gateway
Internet
Gateway
Network Account
Route53
Resolver
Virtual private cloud (VPC)
Private subnet
Optimisations
Private subnet
Database subnet
Database subnet
Database subnet
S3
Secret
Manager
Public subnet
Public subnet
Public subnet
Internet
Gateway
61
ALB
ALB
RDS
EKS
Proxy
sortant

62. FinOps
Couper les envs non prod la nuit et le WE
● 7h → 19h
● lundi → vendredi
≈ 65 % d’économie
62

63. FinOps
Leviers complémentaires d’économie :
● Extinction des noeuds EKS
● Arrêt des bases RDS
● Destruction automatique au bout de 48h des features branches infra via Gitlab
● Revue toutes les semaines des coûts
● Utiliser des VMs Graviton : t4g
63

64. Au final ?
Avant Après
VPC endpoints 350 $ 90 $
Transit Gateway 525 $ 150 $
Nat Gateway 214 $ 71 $
Resolver Route 53 405 $ 95 $
Load Balancer 120 $ 96 $
Total ≈ 1620 $ ≈ 500 $
Coût équivalent 4 comptes interconnectés / mois
👍 Réduction de 70%
64

65. Conclusion
65

66. Avouez vos sentiments à Trinity
66