SlideShare une entreprise Scribd logo

Comment améliorer la sécurité de ses applications dans PKS

VMware Tanzu
VMware Tanzu

Pivotal Paris 2019: Cloud-Native Track Comment améliorer la sécurité de ses applications dans PKS

Logiciels
1  sur  40
Télécharger pour lire hors ligne
© Copyright 2019 Pivotal Software, Inc. All rights Reserved. Mathieu Gaubert & Yosri Ben Mahfoudh 2019/07/04 Comment améliorer la sécurité de ses applications dans PKS.
Qui sommes nous ? Mathieu Gaubert Architecte Cloud / DevOps Yosri Ben Mahfoudh Consultant Cloud & DevOps
Agenda 3 Metanext, qui nous sommes ? La sécurité dans PKS 21 Pour aller un peu plus loin… 3 Questions / Réponses 4
Metane xt, qui sommes nous ?
in good we trust good skills good services Conseil Conception & Architecture Intégration Gouvernance projet & Cycle de vie +15 ans d’existence 2002 13 130 M€ Notre quotidien pour délivrer la meilleure solution à nos clients. +700 projets Spécialistes Cloud Experts sur solutions de nouvelle génération Formés et certifiés Encadrés par des consultants ESN spécialisée dans les technologies d’infrastructures IT de nouvelle génération
6 L’ histoire de Metanext 2002 Création Metanext Acquisition VIRTIC, spécialiste VMware 2015 Offre OpenStack Production Ready 2018 1er MSC VMware en France 2005 Centre d’Expertises Système, Stockage, Réseaux 2010 Orientation Cloud Advisor & Builder Spécialiste Kubernetes / Microservices 2019 BU Cloud Computing OpenSource OpenStack CI/CD Containers Kubernetes Automatisation Orchestration VMware vSphere Suite vRealize NSX vSAN Horizon VMC on AWS PKS VMware vRealize Suite Lifecycle Manager Cloud Public Amazon Web Services Google Cloud Platform Azure Alibaba OVH
▪ Conseil & Expertise OpenSource : Containers & Orchestration de Containers Un partenariat évident avec faisant de nous le principal cabinet de conseil et intégrateur pour PKS en France 02/07/2019 Reproduction et Diffusion interdite sans l’accord de Metanext 7 ▪ Fort partenariat historique avec VMware et une expertise sur les solutions VMware ▪ 1er partenaire Master Services Competency DCV en France ▪ A ce jour, 2 status MSC : DCV + NV & ▪ Une rencontre au VMworld 2018 avec les VP VMware & Pivotal ▪ Une évidence : ▪ Une association entre VMware & Pivotal ▪ Une combinaison de savoir-faire et d’expertises entre les équipes OpenSource & VMware de Metanext
Mais pourquoi une boite d'infra vient vous parler aujourd'hui ? 8
Quelques notions de sécurité informatiqu e
L’authentification
La non répudiatio n
La disponibilit é de l’applicatio n Copyright: Luc Tesson – www.dessinateurdepresse.com
Où est-ce qu’on l’applique ? 15
La sécurité tout le long du cycle de votre application 16 Conception CIBuilddockerimageTestyourkubemanifest CDDeployyourmanifests Runtime Application lifecycleonk8s Décommission
Focus de la session 17 Conception CIBuilddockerimageTestyourkube manifest CD Deployyour manifests Runtime Application lifecycleon k8s Décommiss ion
La sécurité dans PKS
Harbor Registry L’offre PKS de Pivotal 19 OpenSource Scan des vulnérabilités Scan de sécurité Signature des conteneurs Multi-tenant RBAC K8S Security Features RBAC Network Policies Security Context Admission Controller …. Uaa Server MarketPlace Oauth2 SSO Kubernetes Authentication RBAC Etendre PKS avec des solutions partenaire, communautaires … (Twistlock par exemple)
A quels moments interviennent les composants ? Conception CIBuilddockerimageTestyourkube manifest CD Deployyour manifests Runtime Application lifecycleon k8s Decommiss ion
PodSecurityPolicy arrivent sur PKS Mise en place avec la version 1.4 de PKS 21 gcloud beta container clusters create mycluster --enable-pod-security-policy gcloud beta container clusters update mycluster --no-enable-pod-security-policy Activé par défaut pour k8S > 1.12 Comment ça s’active ?
PSP ? Qu’est ce que c’est ? 22
Comment ça fonctionne ? 23
Qu’est-ce que ça couvre ? ▪ L’exécution de containers privilégiés ▪ L’utilisation des namespaces de l’hôte ▪ Types de volumes utilisables ▪ Volumes de l’hôtes utilisables ▪ fsGroup ▪ UID et GID des containers ▪ Contrôle de l’escalade de 24 ▪ Linux Capabilities authorisées ▪ Contextes seLinux ▪ Profiles AppArmor ▪ Profiles Seccomp ▪ Profiles Sysctl ▪ …
PodSecurityPolicy 25
Comment ça s’écrit ? 26
Petit exemple d’exécution 27
Pour aller un peu plus loin…
Complétons notre tool chain Conception CIBuilddockerimageTestyourkubemanifest CDDeployyourmanifests Runtime Application lifecycleonk8s Décommission
Améliorer la sécurité lors du déploiement: OPA ! • SolutionOpenSource • Validation & Mutating Webhook (Admission Control) • Langage déclaratif (Rego)
Comment ça fonctionne ? 31
Qu’est-ce que ça couvre ? L’intégralités des ressources d’un manifest Kubernetes. Exemples: -Interdire la création de Pods sans ressources limités -Interdire certains Registry Docker / OCI -Fixer un minimum de réplicats dans un déploiement -Interdire certains fqdns par namespaces 32
Comment ça s’écrit ? 33
OPA et PSP redondants ? 34 PS P OP A • Associé à un User / SA • Pod Centric • Orienté système • Orienté runtime • Natif Kubernetes • Orienté création et modification • Toutes les ressources peuvent être controllées • Règles complexes possibles à mettre en œuvre
Complétons notre tool chain Conception CIBuilddockerimageTestyourkubemanifest CDDeployyourmanifests Runtime Application lifecycleonk8s Décommission
Améliorer la sécurité lors de la CI : Conftest ! ▪Outil OpenSource de Instrumenta ▪Basé sur Open Policy Agent  ▪Quasi-réutilisation des policies Rego utilisées pour OPA ▪Packaging des Policies en OCI registry 36
Complétons notre tool chain Conception CIBuilddockerimageTestyourkubemanifest CDDeployyourmanifests Runtime Application lifecycleonk8s Décommission
Améliorer la sécurité lors du runtime : Falco ▪ SolutionOpenSource ▪ Validation & Mutating Webhook (Admission Control) ▪ Langage déclaratif (Rego)
52, avenue André Morizet 92 100 Boulogne-Billancourt Métro : (L9) Billancourt/Marcel Sembat Ou (L10) Saint-Cloud/Jean-Jaures good@metanext.co m 01 42 31 26 70 www.metanext.com
in good we trust.

Recommandé

#AssurTech : BlockChain et assurance : des POC aux applications pratiques
#AssurTech : BlockChain et assurance : des POC aux applications pratiques#AssurTech : BlockChain et assurance : des POC aux applications pratiques
#AssurTech : BlockChain et assurance : des POC aux applications pratiquesSerrerom
 
Présentation de BlockChain Strategists
Présentation de BlockChain StrategistsPrésentation de BlockChain Strategists
Présentation de BlockChain StrategistsEric Lévy-Bencheton
 
IGO : trio et défenseurs gagnants : projet de collaboration
IGO : trio et défenseurs gagnants : projet de collaborationIGO : trio et défenseurs gagnants : projet de collaboration
IGO : trio et défenseurs gagnants : projet de collaborationigouverte
 
#AssurTech : BlockChain et assurance : des POC aux applications pratiques
#AssurTech : BlockChain et assurance : des POC aux applications pratiques#AssurTech : BlockChain et assurance : des POC aux applications pratiques
#AssurTech : BlockChain et assurance : des POC aux applications pratiquesSerrerom
 
La Duck Conf - Le rôle de l'architect(ur)e dans un contexte agile
La Duck Conf - Le rôle de l'architect(ur)e dans un contexte agile La Duck Conf - Le rôle de l'architect(ur)e dans un contexte agile
La Duck Conf - Le rôle de l'architect(ur)e dans un contexte agile OCTO Technology
 
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"OCTO Technology
 
Formation M2i - Windows Server 2022 : grande avancée ou simple appellation ?
Formation M2i - Windows Server 2022 : grande avancée ou simple appellation ?Formation M2i - Windows Server 2022 : grande avancée ou simple appellation ?
Formation M2i - Windows Server 2022 : grande avancée ou simple appellation ?M2i Formation
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureJason De Oliveira
 

Recommandé

#AssurTech : BlockChain et assurance : des POC aux applications pratiques
#AssurTech : BlockChain et assurance : des POC aux applications pratiques#AssurTech : BlockChain et assurance : des POC aux applications pratiques
#AssurTech : BlockChain et assurance : des POC aux applications pratiquesSerrerom
 
Présentation de BlockChain Strategists
Présentation de BlockChain StrategistsPrésentation de BlockChain Strategists
Présentation de BlockChain StrategistsEric Lévy-Bencheton
 
IGO : trio et défenseurs gagnants : projet de collaboration
IGO : trio et défenseurs gagnants : projet de collaborationIGO : trio et défenseurs gagnants : projet de collaboration
IGO : trio et défenseurs gagnants : projet de collaborationigouverte
 
#AssurTech : BlockChain et assurance : des POC aux applications pratiques
#AssurTech : BlockChain et assurance : des POC aux applications pratiques#AssurTech : BlockChain et assurance : des POC aux applications pratiques
#AssurTech : BlockChain et assurance : des POC aux applications pratiquesSerrerom
 
La Duck Conf - Le rôle de l'architect(ur)e dans un contexte agile
La Duck Conf - Le rôle de l'architect(ur)e dans un contexte agile La Duck Conf - Le rôle de l'architect(ur)e dans un contexte agile
La Duck Conf - Le rôle de l'architect(ur)e dans un contexte agile OCTO Technology
 
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"OCTO Technology
 
Formation M2i - Windows Server 2022 : grande avancée ou simple appellation ?
Formation M2i - Windows Server 2022 : grande avancée ou simple appellation ?Formation M2i - Windows Server 2022 : grande avancée ou simple appellation ?
Formation M2i - Windows Server 2022 : grande avancée ou simple appellation ?M2i Formation
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureJason De Oliveira
 
SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...Microsoft Ideas
 
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionLA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionOCTO Technology
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...matteo mazzeri
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco Canada
 
meetup devops aix-marseille - décembre 2023
meetup devops aix-marseille - décembre 2023meetup devops aix-marseille - décembre 2023
meetup devops aix-marseille - décembre 2023Frederic Leger
 
IBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiS
IBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiSIBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiS
IBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiSIBM France Lab
 
CWIN17 Morocco / Microservices as a factory reda zerhouni
CWIN17 Morocco / Microservices as a factory reda zerhouniCWIN17 Morocco / Microservices as a factory reda zerhouni
CWIN17 Morocco / Microservices as a factory reda zerhouniCapgemini
 
La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe" La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe" OCTO Technology
 
Catalogue formation Tunnel-IT 2019
Catalogue formation Tunnel-IT 2019Catalogue formation Tunnel-IT 2019
Catalogue formation Tunnel-IT 2019Tunnel-IT
 
Garder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changementGarder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changementCisco Canada
 
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...Nouh Droussi
 
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...Nouh Droussi
 
Kuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialKuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialOVHcloud
 
Emakina Academy - Blue Kiwi - 20070614
Emakina Academy - Blue Kiwi - 20070614Emakina Academy - Blue Kiwi - 20070614
Emakina Academy - Blue Kiwi - 20070614Marin
 
Mon CV Detaillé
Mon CV Detaillé Mon CV Detaillé
Mon CV Detaillé Hicham HADDAD
 
Le Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudLe Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudOCTO Technology
 
Industrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûtsIndustrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûtsFactoVia
 
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Microsoft Technet France
 
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Microsoft Décideurs IT
 
Cy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCERTyou Formation
 
What AI Means For Your Product Strategy And What To Do About It
What AI Means For Your Product Strategy And What To Do About ItWhat AI Means For Your Product Strategy And What To Do About It
What AI Means For Your Product Strategy And What To Do About ItVMware Tanzu
 
Make the Right Thing the Obvious Thing at Cardinal Health 2023
Make the Right Thing the Obvious Thing at Cardinal Health 2023Make the Right Thing the Obvious Thing at Cardinal Health 2023
Make the Right Thing the Obvious Thing at Cardinal Health 2023VMware Tanzu
 

Contenu connexe

Similaire à Comment améliorer la sécurité de ses applications dans PKS

SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...Microsoft Ideas
 
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionLA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionOCTO Technology
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...matteo mazzeri
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco Canada
 
meetup devops aix-marseille - décembre 2023
meetup devops aix-marseille - décembre 2023meetup devops aix-marseille - décembre 2023
meetup devops aix-marseille - décembre 2023Frederic Leger
 
IBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiS
IBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiSIBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiS
IBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiSIBM France Lab
 
CWIN17 Morocco / Microservices as a factory reda zerhouni
CWIN17 Morocco / Microservices as a factory reda zerhouniCWIN17 Morocco / Microservices as a factory reda zerhouni
CWIN17 Morocco / Microservices as a factory reda zerhouniCapgemini
 
La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe" La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe" OCTO Technology
 
Catalogue formation Tunnel-IT 2019
Catalogue formation Tunnel-IT 2019Catalogue formation Tunnel-IT 2019
Catalogue formation Tunnel-IT 2019Tunnel-IT
 
Garder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changementGarder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changementCisco Canada
 
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...Nouh Droussi
 
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...Nouh Droussi
 
Kuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialKuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialOVHcloud
 
Emakina Academy - Blue Kiwi - 20070614
Emakina Academy - Blue Kiwi - 20070614Emakina Academy - Blue Kiwi - 20070614
Emakina Academy - Blue Kiwi - 20070614Marin
 
Le Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudLe Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudOCTO Technology
 
Industrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûtsIndustrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûtsFactoVia
 
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Microsoft Technet France
 
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Microsoft Décideurs IT
 
Cy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCERTyou Formation
 

Similaire à Comment améliorer la sécurité de ses applications dans PKS (20)

SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...SkySight : une nouvelle génération de services d’orchestration des solutions ...
SkySight : une nouvelle génération de services d’orchestration des solutions ...
 
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolutionLA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
LA DUCK CONF 2023 - La vie d'Ops au coeur d'un SI en évolution
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
 
meetup devops aix-marseille - décembre 2023
meetup devops aix-marseille - décembre 2023meetup devops aix-marseille - décembre 2023
meetup devops aix-marseille - décembre 2023
 
IBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiS
IBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiSIBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiS
IBM Bluemix Paris meetup #23 - 20170425 - Rex de l'entreprise SiS
 
CWIN17 Morocco / Microservices as a factory reda zerhouni
CWIN17 Morocco / Microservices as a factory reda zerhouniCWIN17 Morocco / Microservices as a factory reda zerhouni
CWIN17 Morocco / Microservices as a factory reda zerhouni
 
La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe" La Duck Conf - "Kube is the new mainframe"
La Duck Conf - "Kube is the new mainframe"
 
Catalogue formation Tunnel-IT 2019
Catalogue formation Tunnel-IT 2019Catalogue formation Tunnel-IT 2019
Catalogue formation Tunnel-IT 2019
 
Garder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changementGarder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changement
 
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
Travail pour augmenter la sécurité en Cloud Computing : Implémentation de la ...
 
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
Implémentation de la norme PCI DSS dans le Cloud (PFE Master Faculté des scie...
 
Kuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potentialKuberbetes 101: Unlocking containerisation’s full potential
Kuberbetes 101: Unlocking containerisation’s full potential
 
Emakina Academy - Blue Kiwi - 20070614
Emakina Academy - Blue Kiwi - 20070614Emakina Academy - Blue Kiwi - 20070614
Emakina Academy - Blue Kiwi - 20070614
 
Mon CV Detaillé
Mon CV Detaillé Mon CV Detaillé
Mon CV Detaillé
 
Le Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du CloudLe Comptoir OCTO - Les nouvelles topologies du Cloud
Le Comptoir OCTO - Les nouvelles topologies du Cloud
 
Industrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûtsIndustrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûts
 
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
 
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
Fin du support WS 2003 : les technologies sont là ; quelle méthodologie suivr...
 
Cy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exinCy3209 formation-cloud-computing-foundation-certification-exin
Cy3209 formation-cloud-computing-foundation-certification-exin
 

Plus de VMware Tanzu

What AI Means For Your Product Strategy And What To Do About It
What AI Means For Your Product Strategy And What To Do About ItWhat AI Means For Your Product Strategy And What To Do About It
What AI Means For Your Product Strategy And What To Do About ItVMware Tanzu
 
Make the Right Thing the Obvious Thing at Cardinal Health 2023
Make the Right Thing the Obvious Thing at Cardinal Health 2023Make the Right Thing the Obvious Thing at Cardinal Health 2023
Make the Right Thing the Obvious Thing at Cardinal Health 2023VMware Tanzu
 
Enhancing DevEx and Simplifying Operations at Scale
Enhancing DevEx and Simplifying Operations at ScaleEnhancing DevEx and Simplifying Operations at Scale
Enhancing DevEx and Simplifying Operations at ScaleVMware Tanzu
 
Spring Update | July 2023
Spring Update | July 2023Spring Update | July 2023
Spring Update | July 2023VMware Tanzu
 
Platforms, Platform Engineering, & Platform as a Product
Platforms, Platform Engineering, & Platform as a ProductPlatforms, Platform Engineering, & Platform as a Product
Platforms, Platform Engineering, & Platform as a ProductVMware Tanzu
 
Building Cloud Ready Apps
Building Cloud Ready AppsBuilding Cloud Ready Apps
Building Cloud Ready AppsVMware Tanzu
 
Spring Boot 3 And Beyond
Spring Boot 3 And BeyondSpring Boot 3 And Beyond
Spring Boot 3 And BeyondVMware Tanzu
 
Spring Cloud Gateway - SpringOne Tour 2023 Charles Schwab.pdf
Spring Cloud Gateway - SpringOne Tour 2023 Charles Schwab.pdfSpring Cloud Gateway - SpringOne Tour 2023 Charles Schwab.pdf
Spring Cloud Gateway - SpringOne Tour 2023 Charles Schwab.pdfVMware Tanzu
 
Simplify and Scale Enterprise Apps in the Cloud | Boston 2023
Simplify and Scale Enterprise Apps in the Cloud | Boston 2023Simplify and Scale Enterprise Apps in the Cloud | Boston 2023
Simplify and Scale Enterprise Apps in the Cloud | Boston 2023VMware Tanzu
 
Simplify and Scale Enterprise Apps in the Cloud | Seattle 2023
Simplify and Scale Enterprise Apps in the Cloud | Seattle 2023Simplify and Scale Enterprise Apps in the Cloud | Seattle 2023
Simplify and Scale Enterprise Apps in the Cloud | Seattle 2023VMware Tanzu
 
tanzu_developer_connect.pptx
tanzu_developer_connect.pptxtanzu_developer_connect.pptx
tanzu_developer_connect.pptxVMware Tanzu
 
Tanzu Virtual Developer Connect Workshop - French
Tanzu Virtual Developer Connect Workshop - FrenchTanzu Virtual Developer Connect Workshop - French
Tanzu Virtual Developer Connect Workshop - FrenchVMware Tanzu
 
Tanzu Developer Connect Workshop - English
Tanzu Developer Connect Workshop - EnglishTanzu Developer Connect Workshop - English
Tanzu Developer Connect Workshop - EnglishVMware Tanzu
 
Virtual Developer Connect Workshop - English
Virtual Developer Connect Workshop - EnglishVirtual Developer Connect Workshop - English
Virtual Developer Connect Workshop - EnglishVMware Tanzu
 
Tanzu Developer Connect - French
Tanzu Developer Connect - FrenchTanzu Developer Connect - French
Tanzu Developer Connect - FrenchVMware Tanzu
 
Simplify and Scale Enterprise Apps in the Cloud | Dallas 2023
Simplify and Scale Enterprise Apps in the Cloud | Dallas 2023Simplify and Scale Enterprise Apps in the Cloud | Dallas 2023
Simplify and Scale Enterprise Apps in the Cloud | Dallas 2023VMware Tanzu
 
SpringOne Tour: Deliver 15-Factor Applications on Kubernetes with Spring Boot
SpringOne Tour: Deliver 15-Factor Applications on Kubernetes with Spring BootSpringOne Tour: Deliver 15-Factor Applications on Kubernetes with Spring Boot
SpringOne Tour: Deliver 15-Factor Applications on Kubernetes with Spring BootVMware Tanzu
 
SpringOne Tour: The Influential Software Engineer
SpringOne Tour: The Influential Software EngineerSpringOne Tour: The Influential Software Engineer
SpringOne Tour: The Influential Software EngineerVMware Tanzu
 
SpringOne Tour: Domain-Driven Design: Theory vs Practice
SpringOne Tour: Domain-Driven Design: Theory vs PracticeSpringOne Tour: Domain-Driven Design: Theory vs Practice
SpringOne Tour: Domain-Driven Design: Theory vs PracticeVMware Tanzu
 
SpringOne Tour: Spring Recipes: A Collection of Common-Sense Solutions
SpringOne Tour: Spring Recipes: A Collection of Common-Sense SolutionsSpringOne Tour: Spring Recipes: A Collection of Common-Sense Solutions
SpringOne Tour: Spring Recipes: A Collection of Common-Sense SolutionsVMware Tanzu
 

Plus de VMware Tanzu (20)

What AI Means For Your Product Strategy And What To Do About It
What AI Means For Your Product Strategy And What To Do About ItWhat AI Means For Your Product Strategy And What To Do About It
What AI Means For Your Product Strategy And What To Do About It
 
Make the Right Thing the Obvious Thing at Cardinal Health 2023
Make the Right Thing the Obvious Thing at Cardinal Health 2023Make the Right Thing the Obvious Thing at Cardinal Health 2023
Make the Right Thing the Obvious Thing at Cardinal Health 2023
 
Enhancing DevEx and Simplifying Operations at Scale
Enhancing DevEx and Simplifying Operations at ScaleEnhancing DevEx and Simplifying Operations at Scale
Enhancing DevEx and Simplifying Operations at Scale
 
Spring Update | July 2023
Spring Update | July 2023Spring Update | July 2023
Spring Update | July 2023
 
Platforms, Platform Engineering, & Platform as a Product
Platforms, Platform Engineering, & Platform as a ProductPlatforms, Platform Engineering, & Platform as a Product
Platforms, Platform Engineering, & Platform as a Product
 
Building Cloud Ready Apps
Building Cloud Ready AppsBuilding Cloud Ready Apps
Building Cloud Ready Apps
 
Spring Boot 3 And Beyond
Spring Boot 3 And BeyondSpring Boot 3 And Beyond
Spring Boot 3 And Beyond
 
Spring Cloud Gateway - SpringOne Tour 2023 Charles Schwab.pdf
Spring Cloud Gateway - SpringOne Tour 2023 Charles Schwab.pdfSpring Cloud Gateway - SpringOne Tour 2023 Charles Schwab.pdf
Spring Cloud Gateway - SpringOne Tour 2023 Charles Schwab.pdf
 
Simplify and Scale Enterprise Apps in the Cloud | Boston 2023
Simplify and Scale Enterprise Apps in the Cloud | Boston 2023Simplify and Scale Enterprise Apps in the Cloud | Boston 2023
Simplify and Scale Enterprise Apps in the Cloud | Boston 2023
 
Simplify and Scale Enterprise Apps in the Cloud | Seattle 2023
Simplify and Scale Enterprise Apps in the Cloud | Seattle 2023Simplify and Scale Enterprise Apps in the Cloud | Seattle 2023
Simplify and Scale Enterprise Apps in the Cloud | Seattle 2023
 
tanzu_developer_connect.pptx
tanzu_developer_connect.pptxtanzu_developer_connect.pptx
tanzu_developer_connect.pptx
 
Tanzu Virtual Developer Connect Workshop - French
Tanzu Virtual Developer Connect Workshop - FrenchTanzu Virtual Developer Connect Workshop - French
Tanzu Virtual Developer Connect Workshop - French
 
Tanzu Developer Connect Workshop - English
Tanzu Developer Connect Workshop - EnglishTanzu Developer Connect Workshop - English
Tanzu Developer Connect Workshop - English
 
Virtual Developer Connect Workshop - English
Virtual Developer Connect Workshop - EnglishVirtual Developer Connect Workshop - English
Virtual Developer Connect Workshop - English
 
Tanzu Developer Connect - French
Tanzu Developer Connect - FrenchTanzu Developer Connect - French
Tanzu Developer Connect - French
 
Simplify and Scale Enterprise Apps in the Cloud | Dallas 2023
Simplify and Scale Enterprise Apps in the Cloud | Dallas 2023Simplify and Scale Enterprise Apps in the Cloud | Dallas 2023
Simplify and Scale Enterprise Apps in the Cloud | Dallas 2023
 
SpringOne Tour: Deliver 15-Factor Applications on Kubernetes with Spring Boot
SpringOne Tour: Deliver 15-Factor Applications on Kubernetes with Spring BootSpringOne Tour: Deliver 15-Factor Applications on Kubernetes with Spring Boot
SpringOne Tour: Deliver 15-Factor Applications on Kubernetes with Spring Boot
 
SpringOne Tour: The Influential Software Engineer
SpringOne Tour: The Influential Software EngineerSpringOne Tour: The Influential Software Engineer
SpringOne Tour: The Influential Software Engineer
 
SpringOne Tour: Domain-Driven Design: Theory vs Practice
SpringOne Tour: Domain-Driven Design: Theory vs PracticeSpringOne Tour: Domain-Driven Design: Theory vs Practice
SpringOne Tour: Domain-Driven Design: Theory vs Practice
 
SpringOne Tour: Spring Recipes: A Collection of Common-Sense Solutions
SpringOne Tour: Spring Recipes: A Collection of Common-Sense SolutionsSpringOne Tour: Spring Recipes: A Collection of Common-Sense Solutions
SpringOne Tour: Spring Recipes: A Collection of Common-Sense Solutions
 

Comment améliorer la sécurité de ses applications dans PKS

  • 1. © Copyright 2019 Pivotal Software, Inc. All rights Reserved. Mathieu Gaubert & Yosri Ben Mahfoudh 2019/07/04 Comment améliorer la sécurité de ses applications dans PKS.
  • 2. Qui sommes nous ? Mathieu Gaubert Architecte Cloud / DevOps Yosri Ben Mahfoudh Consultant Cloud & DevOps
  • 3. Agenda 3 Metanext, qui nous sommes ? La sécurité dans PKS 21 Pour aller un peu plus loin… 3 Questions / Réponses 4
  • 5. in good we trust good skills good services Conseil Conception & Architecture Intégration Gouvernance projet & Cycle de vie +15 ans d’existence 2002 13 130 M€ Notre quotidien pour délivrer la meilleure solution à nos clients. +700 projets Spécialistes Cloud Experts sur solutions de nouvelle génération Formés et certifiés Encadrés par des consultants ESN spécialisée dans les technologies d’infrastructures IT de nouvelle génération
  • 6. 6 L’ histoire de Metanext 2002 Création Metanext Acquisition VIRTIC, spécialiste VMware 2015 Offre OpenStack Production Ready 2018 1er MSC VMware en France 2005 Centre d’Expertises Système, Stockage, Réseaux 2010 Orientation Cloud Advisor & Builder Spécialiste Kubernetes / Microservices 2019 BU Cloud Computing OpenSource OpenStack CI/CD Containers Kubernetes Automatisation Orchestration VMware vSphere Suite vRealize NSX vSAN Horizon VMC on AWS PKS VMware vRealize Suite Lifecycle Manager Cloud Public Amazon Web Services Google Cloud Platform Azure Alibaba OVH
  • 7. ▪ Conseil & Expertise OpenSource : Containers & Orchestration de Containers Un partenariat évident avec faisant de nous le principal cabinet de conseil et intégrateur pour PKS en France 02/07/2019 Reproduction et Diffusion interdite sans l’accord de Metanext 7 ▪ Fort partenariat historique avec VMware et une expertise sur les solutions VMware ▪ 1er partenaire Master Services Competency DCV en France ▪ A ce jour, 2 status MSC : DCV + NV & ▪ Une rencontre au VMworld 2018 avec les VP VMware & Pivotal ▪ Une évidence : ▪ Une association entre VMware & Pivotal ▪ Une combinaison de savoir-faire et d’expertises entre les équipes OpenSource & VMware de Metanext
  • 8. Mais pourquoi une boite d'infra vient vous parler aujourd'hui ? 8
  • 10.
  • 12.
  • 14. La disponibilit é de l’applicatio n Copyright: Luc Tesson – www.dessinateurdepresse.com
  • 15. Où est-ce qu’on l’applique ? 15
  • 16. La sécurité tout le long du cycle de votre application 16 Conception CIBuilddockerimageTestyourkubemanifest CDDeployyourmanifests Runtime Application lifecycleonk8s Décommission
  • 17. Focus de la session 17 Conception CIBuilddockerimageTestyourkube manifest CD Deployyour manifests Runtime Application lifecycleon k8s Décommiss ion
  • 19. Harbor Registry L’offre PKS de Pivotal 19 OpenSource Scan des vulnérabilités Scan de sécurité Signature des conteneurs Multi-tenant RBAC K8S Security Features RBAC Network Policies Security Context Admission Controller …. Uaa Server MarketPlace Oauth2 SSO Kubernetes Authentication RBAC Etendre PKS avec des solutions partenaire, communautaires … (Twistlock par exemple)
  • 20. A quels moments interviennent les composants ? Conception CIBuilddockerimageTestyourkube manifest CD Deployyour manifests Runtime Application lifecycleon k8s Decommiss ion
  • 21. PodSecurityPolicy arrivent sur PKS Mise en place avec la version 1.4 de PKS 21 gcloud beta container clusters create mycluster --enable-pod-security-policy gcloud beta container clusters update mycluster --no-enable-pod-security-policy Activé par défaut pour k8S > 1.12 Comment ça s’active ?
  • 22. PSP ? Qu’est ce que c’est ? 22
  • 24. Qu’est-ce que ça couvre ? ▪ L’exécution de containers privilégiés ▪ L’utilisation des namespaces de l’hôte ▪ Types de volumes utilisables ▪ Volumes de l’hôtes utilisables ▪ fsGroup ▪ UID et GID des containers ▪ Contrôle de l’escalade de 24 ▪ Linux Capabilities authorisées ▪ Contextes seLinux ▪ Profiles AppArmor ▪ Profiles Seccomp ▪ Profiles Sysctl ▪ …
  • 29. Complétons notre tool chain Conception CIBuilddockerimageTestyourkubemanifest CDDeployyourmanifests Runtime Application lifecycleonk8s Décommission
  • 30. Améliorer la sécurité lors du déploiement: OPA ! • SolutionOpenSource • Validation & Mutating Webhook (Admission Control) • Langage déclaratif (Rego)
  • 32. Qu’est-ce que ça couvre ? L’intégralités des ressources d’un manifest Kubernetes. Exemples: -Interdire la création de Pods sans ressources limités -Interdire certains Registry Docker / OCI -Fixer un minimum de réplicats dans un déploiement -Interdire certains fqdns par namespaces 32
  • 34. OPA et PSP redondants ? 34 PS P OP A • Associé à un User / SA • Pod Centric • Orienté système • Orienté runtime • Natif Kubernetes • Orienté création et modification • Toutes les ressources peuvent être controllées • Règles complexes possibles à mettre en œuvre
  • 35. Complétons notre tool chain Conception CIBuilddockerimageTestyourkubemanifest CDDeployyourmanifests Runtime Application lifecycleonk8s Décommission
  • 36. Améliorer la sécurité lors de la CI : Conftest ! ▪Outil OpenSource de Instrumenta ▪Basé sur Open Policy Agent  ▪Quasi-réutilisation des policies Rego utilisées pour OPA ▪Packaging des Policies en OCI registry 36
  • 37. Complétons notre tool chain Conception CIBuilddockerimageTestyourkubemanifest CDDeployyourmanifests Runtime Application lifecycleonk8s Décommission
  • 38. Améliorer la sécurité lors du runtime : Falco ▪ SolutionOpenSource ▪ Validation & Mutating Webhook (Admission Control) ▪ Langage déclaratif (Rego)
  • 39. 52, avenue André Morizet 92 100 Boulogne-Billancourt Métro : (L9) Billancourt/Marcel Sembat Ou (L10) Saint-Cloud/Jean-Jaures good@metanext.co m 01 42 31 26 70 www.metanext.com