Recent content

L'organisation de votre zone d'accueil

L'organisation de votre zone d'accueil

Suivre le déploiement de vos SCPs

Suivre le déploiement de vos SCPs

En finir avec les buckets S3 publics (at scale)

En finir avec les buckets S3 publics (at scale)

Popular topics

aws cloud data guardrail landingzone security
aws cloud landingzone security

L'organisation de votre zone d'accueil

La mise en place d'une zone d'acceuil (Landing Zone) est un prérequis pour évolution sécuritaire de votre consommation infonuagique.

Cédric Thibault
Cédric Thibault
L'organisation de votre zone d'accueil
Photo generated by ChatGPT

Introduction

Mis en avant par Google dans son dernier rapport sur les menaces infonuagiques, le mouvement latéral dans les environnements Cloud est une des observations les plus fréquentes lors d’une compromission. Ce mouvement latéral est d’autant plus facilité du fait que beaucoup d’entreprises ont amorcé leur aventure vers l’infonuagique sous forme de preuve de concept il y a quelques années. 

Focalisées sur la migration d’une application, ces entreprises ont parfois perdu la vision macro de l’infrastructure infonuagique pour se focaliser sur une vision devops très axée projet. En français, c’est ce qu’on appelle “mettre la charrue avant les boeufs…”.

En effet, avant de basculer des charges de travail, il est intéressant de se questionner sur la façon dont on va administrer la plateforme infonuagique dans un horizon de plusieurs années, et par la même la façon dont on va l’architecturer de manière holistique.

Concept

Le concept d’architecture des “landing zones” dans l’infonuagique trouve son origine dans la nécessité de fournir un cadre sécurisé et bien structuré pour la gestion des ressources dans des environnements cloud complexes. Développée initialement par AWS puis repris par Azure et Google Cloud, une landing zone sert de point de départ standardisé pour déployer des environnements cloud en production, en incluant les configurations de réseau, sécurité, gouvernance et conformité. Cela permet aux entreprises d’accélérer l’adoption du cloud tout en maintenant une posture sécuritaire et élastique dès le départ.

Comme son nom l’indique, il s’agit donc de l’environnement dans lequel vont atterrir les charges de travail, la fondation de votre Cloud en quelque sorte

Il est intéressant de noter que cette fondation n’est pas uniquement un concept lié à la sécurité. En effet, même si les Landing zone sont une recommandation forte des équipes de sécurité infonuagique, elles viennent aussi beaucoup faciliter le travail pour les équipes réseau de par leur modèle de Hub and Spoke, ainsi que les équipes de finance pour la reddition de compte. En réalité, ce sont toutes les équipes TI impliquées dans l’infonuagique qui seront impactées, positivement, par la mise en oeuvre d’une landing zone.

Une des caractéristiques forte des landing zone, est l’isolation des charges de travail par environnement isolé. Dans AWS par exemple, on recommandera de créer un compte par type de charge de travail.

Les gains

Les gains sont multiples mais on peut retrouver principalement ceux ci :\

  • Standardisation et sécurité intégrées : Chaque nouveau déploiement de charge de travail se fait via la mise en oeuvre d’un nouvel environnement  standardisés, avec l’utilisation de AWS Control Tower ou Azure Blueprints pour des déploiements conformes et sécurisés dès la mise en place.
  • Gestion centralisée des comptes multi-environnements : Une grande entreprise peut rapidement se retrouver avec des centaines de comptes ou souscriptions, c’est pour cela qu’on recommande et déploit AWS Organizations ou Azure Management Groups, les entreprises peuvent facilement gérer plusieurs comptes ou abonnements tout en appliquant des politiques globales.
  • Contrôles de gouvernance renforcés : Mise en place de politiques via AWS Service Control Policies (SCPs) ou Azure Policy pour automatiser la conformité. C’est ce qui nous permets d’implanter ce qu’on appelle de la sécurité invariante.
  • Infrastructure modulaire et scalable : Utilisation de AWS CloudFormation ou Azure Resource Manager (ARM) pour automatiser et standardiser les ressources dans l’infrastructure. Avec la landing zone vient systématiquement les concepts d’iAc. Pourquoi ? Parce que c’est le seul moyen d’obtenir des composants standardisés et des concepts d’architecture répétables et fiables.
  • Optimisation des réseaux et du contrôle d’accès : Avec AWS VPC et Azure Virtual Networks, les entreprises peuvent configurer des architectures réseau sécurisées dès la phase initiale. La configuration de ces composants dans les landing zone est faite en étoile afin d’offrir des mécanismes d’inspection et de configuration centralisée du réseau.
  • Gestion centralisée de la sécurité et des journaux : Intégration de AWS Security Hub ou Azure Security Center pour un suivi global des menaces et des politiques de sécurité. L’idée ici est que la landing zone facilite grandement l’exploitation de la sécurité en centralisant les évènements et les alertes.

Avec la landing zone, vous allez non seulement mettre techniquement en place un environnement d’accueil, mais vous allez aussi choisir et valider plusieurs solutions annexes comme votre solution CI-CD ou encore votre choix de parefeux. Cela va donc vous permettre de fixer le cadre global de votre exploitation infonuagique. La mise en place d’une landing zone est un projet durant lequel vous allez devoir prendre de nombreuses décisions, soyez prêts…

Quand la déployer

Une landing zone n’est pas un projet nécessitant forcément d’avoir déjà plusieurs comptes de production. Bien souvent quand je discute avec des clients, ils me disent qu’ils ne sont pas rendus là et que leur empreinte infonuagique est trop faible. 

En réalite c’est justement quand vous avez peu de charges de travail que le moment est idéal pour déployer une landing zone. Car cela signifie que vous pouvez facilement migrer vos charges dans votre nouvel environnement, et cela signifie également que vous n’avez pas encore pris trop de mauvaises habitudes et définis de processus qui devront être modifiés. 

En effet, il ne faut pas oublier qu’une landing zone, ce n’est pas que de la technologie, ce sont également des façons de travailler avec le DevSecOps et les outils de securité. Cela englobe beaucoup de concepts qui, plus sont définis tôt, plus sont faciles à adopter.

Conclusion

Déployer la technologie est de plus en plus simple avec l’aide d’accélerateurs fournis par les plateformes comme la Landing Zone Accelerator d’AWS. Par conséquent, si vous possédez suffisamment de ressources qualifiées à l’interne, ce ne devrait pas être la partie la plus compliquée. Ce qui peut se révéler plus ardue est la validation de certains concepts d’architecture ainsi que le choix de technologies :

  • Par feu natif ou fourni par notre équipementier traditionnel ?
  • Inspection du trafic sortant centralisé ou non ?
  • Modèle de pipeline ?
  • Architecture centralisée de PAAS (K8S) ou décentralisation par équipe ?

Pour cela, il est recommandé de se faire accompagner par des experts possédant l’expérience au travers de multiples organisations.

L'organisation de votre zone d'accueil
Older post

Suivre le déploiement de vos SCPs

Le déploiement de SCPs dans AWS peut ête source de blocages non désirés. Suivez les effets de vos SCPs avec ces métriques.

You may also like

See all aws
Suivre le déploiement de vos SCPs
Cédric Thibault

Suivre le déploiement de vos SCPs

En finir avec les buckets S3 publics (at scale)
Cédric Thibault

En finir avec les buckets S3 publics (at scale)