Phase 9 - Sécurité et Hardening¶
Objectif¶
Sécuriser l'infrastructure selon les normes (CIS, gouvernementales) : hardening, RBAC avancé, TLS, audit.
Architecture Sécurité¶
graph TB
user["👤 Utilisateur<br/>Accès authentifié"]
admin["👤 Admin<br/>Accès privilégié"]
subgraph Perimeter["Périmètre"]
firewall["🔥 Firewall<br/>iptables/nftables"]
waf["🛡️ WAF<br/>ModSecurity"]
end
subgraph Auth["Authentification"]
keystone["🔑 Keystone<br/>Tokens, RBAC"]
ldap["📁 LDAP/AD<br/>Fédération"]
mfa["🔐 MFA<br/>TOTP 2FA"]
end
subgraph Crypto["Chiffrement"]
tls["🔒 TLS<br/>In-transit"]
barbican["🗝️ Barbican<br/>At-rest keys"]
end
subgraph Audit["Audit"]
cadf["📋 CADF<br/>API audit trail"]
siem["📊 SIEM<br/>Corrélation"]
end
user -->|HTTPS| firewall
firewall -->|Filtered| keystone
keystone --> ldap
keystone --> cadfSujets de cette phase¶
| # | Sujet | Description | Durée estimée |
|---|---|---|---|
| 01 | Hardening CIS | Benchmarks, remédiation | 4-5 heures |
| 02 | RBAC Keystone avancé | Policies custom | 3-4 heures |
| 03 | TLS everywhere | Certificats | 3-4 heures |
| 04 | Audit logging | CADF, traçabilité | 2-3 heures |
| 05 | Security scanning | Trivy, vulnerability | 2-3 heures |
Checklist sécurité gouvernementale¶
Authentification¶
- Mots de passe forts imposés
- MFA pour admins (optionnel)
- Sessions timeout configuré
- Tokens courte durée
Chiffrement¶
- TLS 1.3 pour toutes les API
- Certificats signés (pas self-signed en prod)
- Volumes chiffrés (LUKS via Barbican)
Audit¶
- Logging de toutes les actions API
- Rétention des logs conforme
- Alerting sur actions sensibles
Réseau¶
- Segmentation réseau stricte
- Security groups par défaut restrictifs
- Pas de ports ouverts inutiles
Checkpoint de validation¶
- Benchmark CIS passé (score > 80%)
- TLS activé sur toutes les API
- Policies RBAC personnalisées
- Audit logs fonctionnels
- Scan de vulnérabilités clean