Migration Haute Disponibilité OpenBSD : cas client
Nous avons effectué une migration haute disponibilité OpenBSD pour un éditeur de logiciel. Découvrez comment dans la suite de l’article.
La sécurité informatique au cœur des préoccupations avec OpenBSD :
La sécurité informatique est un enjeu crucial pour les entreprises, et les techniques d’attaques s’améliorent continuellement.
Un firewall performant assure la fiabilité des services fournissant du contenu sur le web.
De nombreuses solutions existent, elles nécessitent d’être soigneusement choisies, parfaitement paramétrées, continuellement mises à jour, pour éviter que des intrus les contournent .
Conscient de ces enjeux et de leur importance, nous vous proposons de vous exposer l’ exemple d’un cas client ayant eu recours à notre expertise et savoir faire pour protéger ses serveurs avec OpenBSD.
Migration haute disponibilité OpenBSD : présentation de notre cas client
L’entreprise cliente est un éditeur français qui propose une plateforme pour héberger du contenu.
Le trafic moyen est de 400mb/s en continue. Son firewall était un logiciel propriétaire pas assez performant pour contrer des attaques SYNFLOOD et gérer la Haute-Disponibilité.
Les attaques régulières bloquaient les accès aux sites web et saturaient la bande passante.
L’entreprise nous a contactés pour renforcer la sécurité de l’ensemble de son cluster.
Notre audit de sécurité :
Nous avons commencé par un audit de sécurité, comprenant notamment les
analyses suivantes :
-Type d’attaque
-Trafic quotidien
-La charge supportable
-Le type de flux
-Haute-Disponibilité attendue
-Charge de fonctionnement
Migration haute disponibilité OpenBSD : démarche et installation
Notre démarche :
Co-construction d’une solution répondant aux problématiques de production du client, qu’elles se situent au niveau du réseau, du système, des métiers, du développement.
Installation d’un firewall performant « OpenBSD » qui est un logiciel Open-source avec une richesse fonctionnelle couvrant tous les besoins du client.
Mise en place de la haute disponibilité des Pare-Feu, avec un master et un slave.
Cette disposition permet d’avoir toujours un firewall actif, si le master tombe en panne, le slave prend directement le relais. Au passage , cette architecture simplifie les mise à jour sans arrêt de service.
Installation de l’outil Pfsync, permettant de maintenir en parfait état de synchronisation des sessions ouvertes du FW Master vers le FW slave. Le basculement, s’il doit se faire, sera alors complètement transparent !
Branchement des outils de supervision fine afin de suivre de près le bon fonctionnement des Firewalls, anticipant ainsi les perturbations de services dues à des débuts d’attaques.
Des serveurs opérationnels :
L’installation s’étant passée avec succès nous avons pu observer les bénéfices d’ OpenBSD :
-Les attaques SYNFLOOD ne perturbent plus le fonctionnement des serveurs.
-Les upgrades système s’effectuent sans coupure de service.
-Sa maniabilité et sa flexibilité ont permis l ‘évolution des fonctionnalités au vue des nouveaux besoins du client .
Une supervision fine :
Il est important de surveiller l’activité de ses serveurs, c’est pour cela que nous avons installé des sondes de supervision fine pour prévenir la moindre perturbation. Tout événement ou fluctuation anormale est désormais détectable (avec des graphes) et nous pouvons agir à distance ou nous déplacer si la situation est urgente. Grâce à ce système le contenu web est toujours disponible pour l’utilisateur, et notre client est assuré d’avoir un service fonctionnant dans les meilleures conditions.
Une démarche DevOps :
Dans le cadre de l’industrialisation de la gestion des configurations (DevOps), les modifications s’effectuent via un processus externe composé de GIT et de CFEngine réduisant ainsi le risque d’erreur lors des connexions directes.
Découvrez la semaine prochaine la suite de cet article avec le détail d’une installation réussie sur OpenBSD
Plus d’infos sur :