Immutable Infrastructure: No SSH - Blog - Boxfuse • Immutable Infrastructure Made Easy.
mercredi 15 juillet 2015 à 10:39@jeekajoo shaarlinks 15/07/2015
Faire de l'infra immutable sans docker.
On se force en plus à ne pas avoir ssh sur les instances pour se forcer à fonctionner avec des images (et réduire la surface d'attaque) : si on a besoin de faire une modif on trash l'instance et on switch sur une nouvelle qui est basée sur une autre version d'une image.
C'est bien joli mais pour fonctionner avec ces principes cela implique d'avoir un process bien bien carré pour faire ces images, comme la solution de l'auteur du billet en question.
Enfin pour débugguer, sans ssh c'est compliqué. Docker n'encourage pas non plus à mettre ssh dans les containers mais on peut l'avoir sur les machines qui les hébergent.
A creuser, concept néanmoins intéressant. Reste à trouver comment l'implémenter.
(Permalink)
On se force en plus à ne pas avoir ssh sur les instances pour se forcer à fonctionner avec des images (et réduire la surface d'attaque) : si on a besoin de faire une modif on trash l'instance et on switch sur une nouvelle qui est basée sur une autre version d'une image.
C'est bien joli mais pour fonctionner avec ces principes cela implique d'avoir un process bien bien carré pour faire ces images, comme la solution de l'auteur du billet en question.
Enfin pour débugguer, sans ssh c'est compliqué. Docker n'encourage pas non plus à mettre ssh dans les containers mais on peut l'avoir sur les machines qui les hébergent.
A creuser, concept néanmoins intéressant. Reste à trouver comment l'implémenter.
(Permalink)
Les liens de Kevin Merigot 15/07/2015
Ah, intéressant !
Mais je trouve ce système beaucoup trop rigide et très difficile à mettre en place si t'es pas hyper mature sur ton infra et tes process.
Une solution alternative et plus souple est de ne rendre SSH accessible qu'à partir d'un serveur de rebond déterminé, hyper sécurisé et monitoré, avec comptes personnels, certificats, etc. et allumé uniquement durant les heures d'exploitation si vous n'êtes pas en service 24/7.
Le SSH de vos serveurs n'est ainsi pas attaquable depuis l'Internet, et si jamais il y a le moindre soucis, la moindre suspicion, une faille 0day, vous éteignez le serveur de rebond, ce qui suffit à protéger votre prod d'un coup.
Pour fournir ce type de service (rebond) vous pouvez vous baser sur des systèmes qui ont été soumises aux pires analyses, aux attaques les plus importantes sans un seul problème, en retirant tous les paquets inutiles (le mieux étant de ne pas les installer dès le départ hein), comme Tails, OpenBSD ou Slackware.
(Permalink)
Mais je trouve ce système beaucoup trop rigide et très difficile à mettre en place si t'es pas hyper mature sur ton infra et tes process.
Une solution alternative et plus souple est de ne rendre SSH accessible qu'à partir d'un serveur de rebond déterminé, hyper sécurisé et monitoré, avec comptes personnels, certificats, etc. et allumé uniquement durant les heures d'exploitation si vous n'êtes pas en service 24/7.
Le SSH de vos serveurs n'est ainsi pas attaquable depuis l'Internet, et si jamais il y a le moindre soucis, la moindre suspicion, une faille 0day, vous éteignez le serveur de rebond, ce qui suffit à protéger votre prod d'un coup.
Pour fournir ce type de service (rebond) vous pouvez vous baser sur des systèmes qui ont été soumises aux pires analyses, aux attaques les plus importantes sans un seul problème, en retirant tous les paquets inutiles (le mieux étant de ne pas les installer dès le départ hein), comme Tails, OpenBSD ou Slackware.
(Permalink)