Journaux d’audit des conteneurs one-off

Alors que Scalingo poursuit sa démarche vers la certification ISO 27001, nous vous expliquons dans cet article comment nous avons traité le sujet des journaux d’audit des conteneurs one-off.

Qu’est-ce qu’ISO 27001 ?

ISO/IEC 27001 est une norme de sécurité de l’information faisant partie de la famille ISO/IEC 27000. Sa dernière version a été publiée en 2013.

ISO/IEC 27001 définit un système de management destiné à placer la sécurité de l’information sous contrôle, avec des exigences précises. Les organisations qui répondent à ces exigences peuvent être certifiées par un organisme accrédité, à l’issue d’un audit réussi.

Même si le chemin est encore long avant que Scalingo soit prêt à obtenir la certification ISO 27001, notre stratégie consiste à intégrer le plus tôt possible cet état d’esprit dans notre politique d’entreprise et dans nos développements techniques.

Dans l’univers ISO 27001, chaque action réalisée sur Scalingo doit être traçable, qu’il s’agisse d’une action effectuée par l’un de nos clients, par nos services internes ou par notre équipe technique. Pour répondre à cette exigence de traçabilité, on met généralement en place un journal d’audit : un historique de toutes les actions réalisées, incluant leurs entrées et leurs sorties sur le système ciblé.

Que sont les conteneurs one-off ?

Lorsqu’une application est déployée sur notre infrastructure, le Procfile de votre projet est analysé. Les différentes méthodes de démarrage de votre application sont ensuite enregistrées et disponibles pour la mise à l’échelle depuis votre tableau de bord.

Pour diverses raisons, vous pouvez avoir besoin d’exécuter d’autres tâches dans l’environnement de votre application. Ces tâches peuvent être ponctuelles et non interactives, comme le lancement d’une tâche Rake ou d’une commande PHP Artisan, ou interactives, comme un shell Bash ou une console Rails.

Voici un exemple vidéo du type d’opérations que vous pouvez réaliser avec les conteneurs one-off :

D’autres exemples de conteneurs one-off incluent les consoles de bases de données intégrées à la CLI.

Même si les usages les plus fréquents des conteneurs one-off se font via la CLI, vous pouvez également les créer avec l’API One-off Containers. Certains de nos clients ont déjà construit des plateformes de type Functions-as-a-Service à partir de cette fonctionnalité.

Revenons au sujet principal de cet article : pour des raisons de sécurité et d’audit, les entrées et sorties de ces conteneurs one-off doivent être journalisées.

Comment consulter les journaux d’audit de mes conteneurs one-off ?

Les journaux d’audit sont disponibles dans la Timeline de votre application.

Comment est-ce implémenté ?

Pour récupérer les journaux d’audit d’un conteneur one-off, le service chargé de les exécuter ajoute un middleware de journalisation. Tous les octets envoyés par le client et par le serveur passent par ce middleware.

Ces événements sont directement diffusés vers un serveur Redis local, utilisé comme cache. Dès que le conteneur one-off est arrêté, ce même service interroge Redis afin de récupérer les événements bruts et de construire le journal d’audit.

Le journal ainsi généré est un fichier JSON, qui est ensuite chiffré puis stocké.

Lorsqu’ils sont consultés, ces journaux sont téléchargés et déchiffrés à la volée avant d’être affichés dans le dashboard. Pour des raisons de performance, si les journaux d’audit dépassent 1 Mo, ils ne sont pas affichés directement dans le dashboard : un lien de téléchargement est alors proposé pour récupérer le fichier brut.

Image de bannière : photo de Mathieu Daix sur Unsplash.