Journaux d'audit de conteneur ponctuels

Alors que Scalingo avance vers la certification ISO 27001, nous allons voir dans cet article comment nous avons couvert le cas des journaux d'audit de conteneur ponctuels.

Qu'est-ce que l'ISO 27001 ?

L'ISO/IEC 27001 est une norme de sécurité de l'information, faisant partie de l'ISO/IEC 27000, dont la dernière version a été publiée en 2013.

L'ISO/IEC 27001 spécifie un système de gestion destiné à placer la sécurité de l'information sous contrôle de gestion et donne des exigences spécifiques. Les organisations qui répondent aux exigences peuvent être certifiées par un organisme de certification accrédité suite à une réussite d'audit.

Bien qu'il reste un long chemin avant que Scalingo soit prêt à être certifié ISO 27001, notre stratégie est d'incorporer l'état d'esprit ISO 27001 dans notre politique de développement d'entreprise et technique le plus tôt possible.

Dans le monde de l'ISO 27001, chaque action réalisée sur Scalingo doit être traçable, qu'il s'agisse d'une action effectuée par l'un de nos clients ou d'une action effectuée par nos services internes ou notre équipe technique. En général, pour se conformer à la traçabilité des actions, un journal d'audit est construit : un historique de toutes les actions effectuées, y compris leurs entrées et sorties sur le système cible.

Qu'est-ce que les conteneurs ponctuels ?

Lorsque votre application est déployée sur notre infrastructure, le Procfile de votre projet est analysé et les différentes méthodes de démarrage de votre projet sont enregistrées et disponibles pour la mise à l'échelle dans votre tableau de bord.

Pour diverses raisons, vous pourriez avoir besoin de exécuter d'autres tâches dans l'environnement de votre application. Ces tâches peuvent être ponctuelles/non interactives (lancement d'une tâche rake, d'une commande PHP Artisan) ou interactives (bash, console Rails).

Voici une vidéo d'exemple du type d'opérations que vous pouvez réaliser avec des conteneurs ponctuels :

D'autres exemples de conteneurs ponctuels sont les consoles de base de données intégrées dans la CLI.

Bien que les utilisations les plus fréquentes des conteneurs ponctuels soient réalisées via la CLI, vous pouvez également les créer avec l'API des Conteneurs Ponctuels. Certains de nos clients ont déjà construit des plates-formes de type Functions-as-a-Service avec cette fonctionnalité.

Revenons au sujet principal de cet article, pour des raisons de sécurité et d'audit, les entrées/sorties de ces conteneurs ponctuels sont requises.

Comment puis-je voir le journal d'audit de mon conteneur ponctuel ?

Les journaux d'audit sont disponibles dans la chronologie de votre application :

Comment cela est-il mis en œuvre ?

Pour obtenir les journaux d'audit d'un conteneur ponctuel, le service responsable de l'exécution des ponctuels ajoute un middleware de journalisation par lequel chaque octet envoyé par le client et chaque octet envoyé par le serveur doivent passer. Ces événements sont directement diffusés vers un serveur Redis local, utilisé comme cache. Dès que le conteneur ponctuel est arrêté, le même service interrogera Redis pour récupérer ces événements bruts et construire le journal d'audit. Le journal construit est un fichier JSON qui sera crypté et stocké.

Lorsqu'ils sont demandés, ces journaux seront téléchargés et décryptés à la volée avant d'être affichés sur le tableau de bord. Pour des raisons de performance, si les journaux d'audit dépassent 1 Mo, les journaux ne seront pas affichés dans le tableau de bord mais un lien de téléchargement sera affiché pour télécharger le fichier brut.

Image de bannière fournie par Photo de Mathieu Daix sur Unsplash