Comprendre précisément le fonctionnement d’un système est important pour la réalisation d’une attaque, mais également pour le maintenir en conditions opérationnelles. Les développeurs et devops utilisent des outils spécifiques pour observer et comprendre leurs systèmes en temps réel - et même de façon proactive. Par exemple, pour comprendre la performance d’une application web, pour prédire le remplissage d’un disque dur ou pour détecter des erreurs dans les logs d’un fournisseur de cloud. Ces données peuvent aussi aider un attaquant à comprendre d’une part l’architecture du système ciblé, et d’autre part ses réactions à leurs stimuli.

Lorsque l'on veut transporter des données de façon sécurisée, il faut s'assurer de deux choses. D'une part, que les données reçues n'ont pas été altérées – volontairement ou non –, d'autre part qu’elles ne puissent pas être lues par des tiers, on parle alors de chiffrement. En fonction des choix effectués, nous verrons que sur la totalité d’une trame des morceaux plus ou moins grands sont chiffrés et/ou authentifiés. Les trois solutions de VPN que nous avons retenues : OpenVPN, IPSec et WireGuard utilisent des modus operandi différents que nous allons passer en revue.

OpenVPN est la solution de tunneling usuelle des utilisateurs de Linux. Et ce, depuis longtemps. En grande partie, car elle permet des configurations impossibles avec d’autres solutions concurrentes en sus d’être plutôt simple à mettre en oeuvre. Nous allons voir ici comment établir une connexion robuste avec des options simples.

IPSec est la version « officielle » de tunneling pour TCP/IP. Il a été développé pour IPv6 puis backporté vers IPv4. Mais depuis il a un peu vieilli même si c’est l’outil professionnel par excellence. Il est disponible sur toutes les plateformes. Même si sa mise en œuvre est un peu plus complexe que celle d’OpenVPN et nettement plus que celle de WireGuard.

Dernier arrivé dans la cour des grands, WireGuard se distingue par son concept, mais aussi par son codage. C’est une façon actuelle d’entrevoir la question du VPN.

Automatiser un VPN est d'une logique crasse. S'il est bien un ensemble que l'on se doit de rendre automatique ou automagique, c'est le VPN. Et c'est un bon exercice pour comprendre les ressorts de l'automatisation logicielle.

Tester les manifestes Kubernetes pour se prévenir des erreurs de configuration avant de déployer sur un cluster de production est l’une des étapes cruciales après les tests applicatifs. Automatiser ces tests à travers un pipeline GitLab-CI et assurer un Continuous Delivery via Argo CD est le scénario parfait pour la mise en œuvre d’une démarche DevOps/GitOps. C’est ce que nous allons découvrir dans cet article.

Dans un précédent article, intitulé « Déployer une grille de données Infinispan à l’aide d’Ansible », nous avons démontré comment Ansible permet d’automatiser entièrement le déploiement d’une grille de données Infinispan. Aujourd’hui, nous reprenons là où nous nous étions arrêtés, en nous intéressant à la configuration du système, toujours sans aucune opération manuelle et de manière fiable et répétable à l’aide de notre outil d’automatisation de prédilection.