Durcissement de l'infrastructure
Le durcissement applique le principe de réduction de la surface d'attaque à chaque couche : système, conteneurs et réseau.
Niveau réseau
- Segmentation VLAN : isolation des zones (admin / SOC / cyber range).
- Aucun port d'administration exposé sur Internet ; accès via VPN WireGuard uniquement.
- Filtrage pfSense entre VLAN selon le principe du moindre accès.
Niveau conteneurs (Docker)
Les docker-compose appliquent plusieurs mesures de durcissement :
no-new-privileges:true: empêche un processus d'élever ses privilèges dans le conteneur.- Réseau
internal: truepour les bases de données : aucune exposition de port vers l'extérieur, communication interne uniquement. - Healthchecks : détection automatique d'un service défaillant.
- Volumes nommés : persistance maîtrisée des données.
- Secrets via
.enven mode0600, jamais en clair dans les images.
services:
mariadb:
security_opt:
- no-new-privileges:true
networks:
- internal
networks:
internal:
internal: true # aucun accès réseau externe
Niveau système
- Initialisation via cloud-init (pas de configuration manuelle non tracée).
- Accès SSH par clé uniquement (clé injectée par Terraform/cloud-init).
- Droits de fichiers restrictifs sur les secrets et configurations.
Question probable du jury
« Vos bases de données sont-elles accessibles depuis l'extérieur ? » → Non : le réseau Docker est internal: true, MariaDB et MongoDB ne publient aucun port. Seuls les services applicatifs du même réseau Docker peuvent les joindre.