cours 4 automatisation dans nuage

Question 1

Qu’est-ce que l’automatisation dans le nuage? Quels sont ses risques?

Answer 1

Gestion bout en bout (création, suppression, restauration, etc) de l’infrastructure.

Question 2

Quels sont les avantages du DevOps?

Answer 2

Réutilisabilité, maintenabilité et consistance.

Question 3

Quels sont les différents types d’automatisation dans le cloud?

X

Answer 3

Resource provisioning: Cloud Automation helps to automate allocation/de-allocation of compute, memory, and networking
resources (e.g., VMs)

Configurations: it automates infrastructure configurations (e.g., S3, VPC) and code using templates

Development and deployment: it helps to automate DevOps pipeline containing continuous integration, continuous deployment, and continuous testing
make feedback loops between Developer and Ops teams easier accelerate application deployment in production

Question 4

Comment savoir si on peut passer à l’environnement de production?

Answer 4

Déploiement bleu-vert. On attend que ce soit stable avec le nombre d’utilisateurs sur la nouvelle version. Lorsque c’est stable pour une bonne période, on peut migrer vers la nouvelle version.

Question 5

Quelle est la différence entre gitOps et devOps?

Answer 5

gitOps: concept selon lequel l’automatisation se fait entièrement sur git. Création du repo, automatisation avec un pipeline sur git, Tout est entièrement géré sur git (CI et CD). Peut être utilisé pour faire IaC.Peut intégrer Jenkins, AWS, etc.

devOps : pratique indépendante de git. Pratique plus haut niveau. Pratique agile qui n’est pas forcément au niveau du code. Ex: on a un projet et on veut faire l’architecture et on veut automatiser les features de l’architecture. Peut être un travail sur papier (abstrait) indépendant du code.

Question 6

Différence entre automatisation dans le nuage et orchestration dans le nuage?

X

Answer 6

Automatisation:
N’est pas que gérer, il y a une partie opérationnelle. C’est l’orchestration avec devOps appliquée. Plus technique, permet de créer des scripts pour gérer l’infrastructure.

Orchestration:
Gérer le processus, gouvernance. Se restreint uniquement au niveau de la gouvernance et planification.

Question 7

Quelle est la particularité du langage HCL (harshicorp configuration language)

Answer 7

Langage abstrait qui genere le code peu importe l’infrastructure ce qui diminue les coûts car on a besoin de connaitre moins de langages spécifiques à chaque implémentation.

Question 8

Quels sont les formats pour représenter un teplate AWS

Answer 8

JSON, HCL, YAML

Question 9

Difference entre Terraform et CloudFormation?

Answer 9

Cloudformation supports AWS services while Terraform can manage resources across a wide range of cloud vendors.

Question 10

A Monolotic stack is easier to deploy and scale the infrastructure than a Micro stack? True or False?

Answer 10

False à cause de scale

Question 11

Pourquoi on utilise une pile d’infrastructure (stack)?

Answer 11

Collection de ressources. permet de modulariser et de réutiliser dans un contexte multi regions. Permet de réutiliser des composants de la stack A dans la stack B sans copier-coller.On peut aussi appliquer la separation of duty. On peut avoir une stack par responsabilité (customer service, admin, etc).

Question 12

Definition stack instance

Answer 12

Allows one to provision more than one instance. Utile pour scale rapidement.

Par exemple: Terraform permet de créer plusieurs instances dynamiquement.

Question 13

Definition Stack tool

Answer 13

Gere les dependances pour les stacks. Allows one to provision more than one tool in the stack code to build the stack instance through the platform API.

Question 14

Quelle est la structure d’un template AWS?

Answer 14

sections:
ressources
paramètres
output

Question 15

Quelle est la structure d’un template Terraform?

Answer 15

sections:
provider,
bloc de données,
variables,
module (sert à reutiliser les composants)

Question 16

Quel antipatron faut-il éviter pour l’automatisation

Answer 16

Copier-coller
car les besoins des clients sont à réévaluer

Question 17

Quel est le challenge par rapport au partron de conception stack par service?

Answer 17

La communication entre les services.

Question 18

Quelle est la vulnérabilité d’un patron de conception stack par services?

Answer 18

Vulnérabilité: les ports sont parfois en clair dans le code ou dans la configuration IAC. Solution: Utiliser des fichiers qui sont stockés sécuritairment (Vault) pour charger dynamiquement les valeurs.

Question 19

Qu’est-ce que le Application group stack pattern et ses avantages / inconvénients.

Answer 19

hosts multiple processes in a single instance of the stack.

Good: makes it easier to manage the app as a single unit

bad: every small change can affect the entire system

Question 20

Qu’est-ce que reusable stack patern et avantages / inconvénients

Answer 20

allow to create multiple stack instances from a single reusable stack project.

Good: reuse stacks among multiple environment (test, staging, production)

Bad: Un problème dans un environnement va se propager à tous les environments. Par exemple si un code est mal écrit, il se propagera partout. Il faut des bonnes PR et tests automatisés.

Utile dans le cas des pipelines CI/CD (dev, test, deploy, monitor).

Question 21

Qu’est-ce qu’un stackSet?

Answer 21

allows cloud developers to create stacks in multiple accounts across different regions.

Permet de gérer des stacks plus volumineuses

Question 22

Quelles sont les vulnérabilités du IAC

Answer 22

• SECRET STORAGE: déclarer les mots de passe dans le code IAC
• USER PRIVILEGES:
  IaC manages application deployment hence requires root privileges.
  Using administrator access for less privileged tasks. Ne pas laisser la possibilité d’accéder à tout le code.
  Il faut appliquer le concept de zero trust
  -TEMPLATE CONFIGURATION AND IMAGE:
  Utiliser des images custom plutôt que des images de base securisées (il faut utiliser Nitro). Mauvaises configurations.

Question 23

Quels sont les aspects importants du Hardening?

Answer 23

-Least privilege
-Perform sanity and security checks (regular scan of IaC config files and of images in IaC files)
-Avoid hardcoding secrets in IaC templates (Use key vault ex: AWS secret manager or Cloud HSM)

Question 24

Qu’est-ce qu’un incident?

Answer 24

Évènement qui a un impact négatif et qui est imprévu.

Question 25

Quelle est la différence entre une fuite de données et une brèche de sécurité?

Answer 25

Fuite de données:
Un évènement qui survient
*lorsque les données sont exposéesdu fait d’une manipulation interne ou une erreur interne de l’entreprise

Brèche de sécurité:
Port d’entrée par lequel on porrait exploiter une faille. Ceci peut donner lieu à une fuite de donnée.

Question 26

Qu’est-ce que l’exploit?

Answer 26

*C’est un bout de code
*qui exploite une vulnérabilité du système afin de contrôler celui-ci

Question 27

Qu’est-ce que la notion de commande et contrôle (c2)?

Answer 27

Un type de Technique, Tactique, et
Procédures (TTP) décrivant l’influence d’une entité physique ou logique sur une autre
* Exemple: serveur C2, logiciel C2,
instruction C2