Présentation par Brice Dekany et Antoine Pierre

1. Sécurité et Gestion des Systèmes
Expert Days 2018
Brice DEKANY
Ingénieur Avant Vente
@bdekany
Antoine PIERRE
Consultant

2. 2
Agenda
• De quoi parlons nous ?
• Météo sécurité 2017
• Démo
• Roadmap

3. 3
De quoi parlons nous ?

4. 4
Technology Trends Shaping our World

5. 5
SUSE Software-defined Infrastructure
and Application Delivery Approach
Application Delivery
Physical Infrastructure: Server, Switches, Storage
Public Cloud
SUSE Cloud
Service Provider
Program
Container Management
SUSE CaaS Platform
Storage
SUSE Enterprise
Storage
Networking
SDN and NFV
Compute
Virtual Machine &
Container
Operating System
SUSE Linux Enterprise Server
Platform as a Service
SUSE Cloud Application Platform
Private Cloud / IaaS
SUSE OpenStack Cloud
SUSE Manager
SUSE OpenStack
Cloud Monitoring
Infrastructure &
Lifecycle
Management
Software-Defined Infrastructure

6. 6
Météo sécurité 2017

7. 7
Massive Outage AWS S3 in February 2018
• Plus de service stockage sur le site US-EAST-1
• Indisponibilité de plusieurs milliers de site
• Plus de docker hub !
• Pas de bascule vers un autre site !
• Solution ?

8. 8
WannaCry + NotPetya
• Ransomware massif
• Exploitation d’une faille SMB
• Marche même via SAMBA !
• Plusieurs clients touches en Europe
• Solution ?

9. 9
Failles liées à la mémoire
• Linux DirtyCOW (x2)
• Intel Mel*****/Spe*****
• Solution ?
DEMO!!!!!!

10. 10
C’est l’heure de la démo

11. 11

12. 12
Where Do You Start?

13. 13
SUSE SLES 12 SP3 - Standard
sudo SUSEConnect -s | json_pp
[
{
"identifier" : "SLES",
"version" : "12.3",
"arch" : "x86_64",
"status" : "Registered"
},
…
]

14. 14
Demo Spectre Meltdown
- Utiliser CVE Audit pour tracker Meltdown/Spectre
- CVE 2017 5715
- Details du Patch
- Patcher un serveur
- Reboot ?
- Qui a reboot ?

15. 15
Sans Live Patching

16. 16
Avec Live Patching

17. 17
Demo Livepatch
- CVE pour attaque sur le noyau Linux
- CVE-2017-1000251
- Live Patching
- Sans Reboot avec kgraft
- Uptime !!
- Migration ?

18. 18
Salt dans SUSE Manager

19. 19
• Salt OSS created in Feb. 2011
• Loosely coupled, powerful system management tools
• Automation for complex, Web-scale infrastructure
• Pervasive adoption
• Tech powered by Salt incl: Juniper, Nutanix, IBM, Cloudflare,
EMC, SUSE, Cisco & dozens more
• 45:1 commit to contributor ratio
• Sticky technology and friendly community
Contributeurs actuels (source : Open Hub)
Salt 636
Puppet 119
2000+ All-time contributeurs
4M+ Téléchargements
annuels
90,000+ Commits
Pourquoi Salt ?
“
“

20. 20
• Créé pour de grandes échelles :
- 20,000 Minions par Master
• Possibilité de HA sur Master
• Hiérarchisation pour des
infrastructures complexes
• Rapidité :
- 0mq / async / exécution parallèle
Élasticité

21. 21
• Salt est basé sur un système d’évènement-réponse
• Les Beacons émettent un évènement en fonction d’une condition
(mémoire / disque / réseau / fichier)
• Les Reactors effectuent une action en fonction de la condition (reboot,
commande, redéploiement, destruction)
• Les Minions peuvent automatiquement se maintenir en condition sans
que le Master n’ait besoin d’initier un check sur les conditions
System Events &
Data
Reactor
Commands
Event Reactor
(Master)
Infrastructure Nodes
(Minions)
Servers
IoTWindows
Virtual Machines
Containers
Public Cloud
Storage
Hyper-Converged
Networking
Private Cloud
Prévisibilité

22. 22
• Déclaration de configuration simple et
intelligible (yaml / jinja / python)
• Modules pré-construits pour des centaines
d’applications
• API puissante
Adaptabilité

23. 23
Hétérogénéité
Source : https://wiki.microfocus.com/index.php/SUSE_Manager

24. 24
Intégration dans SUSE Manager
• Hiérarchisation avancées
• Remote commandes dans l’interface
• Déclaration et déploiement de States
• Gestion des fichiers de configuration
• Moyen de communication (« osad m’a tuer »)
Organisations
Groupes
Systèmes

25. 25
Démo !

26. 26
2017 2018 2019 2020
Roadmap (partielle !) de SUSE Manager
v3.1
v3.2
v4
Général
• Rafraichissement de l’interface et de l’ergonomie
Configuration Management
• Salt 2016.11.x
• Salt formulas with forms (e.g. Locale, SAP***)
• Interface utilisateur basique pour fonctionnalités
Salt***
SDI Management
• Visualisation d’infrastructure (virtual machine hosts,
Kubernetes clusters)
Sécurité et Conformité
• Possibilité de recherches CVE et d’audit des patches
pour les containers
Containers et Cloud
• Build container images
• VMware avec Salt Cloud
• Intégration SUSE CaaS Platform***
Requerra SUSE Linux Enterprise Server 12 SP2/SP3
v3.1.x
Configuration Management
• Interface utilisateur complète pour fonctionnalités Salt
Intégration et Plateformes Supportées
• SUSE Linux Enterprise 15 (client) support
• SUSE Manager for retail (PXE avec image support,
KIWI-based image building)
• Single sign-on support
Sécurité et Conformité
• Channel staging dans l’interface
SDI Management
• Fenêtres de maintenance
• Actions chains pour Minions Salt
Monitoring
• Prometheus/Grafana basique “self-monitoring”***
Containers et Cloud
• VM building avec Salt et KIWI
• Proxy Server fourni en tant que container
Requerra SUSE Linux Enterprise Server 12 SP2/SP3
Configuration Management
• Config drift management avec intégration Snapper
• Support pour orchestration de cluster (HA, SUSE
CaaS Platform, SUSE Enterprise Storage)
Subscription Management
• Récupération de données depuis les clouds
publics
Monitoring
• Gestion de logs avec ELK (TBD)
Containers et Cloud
• Tous les composants fournis en tant que
containers (TBD)
Requerra SLES 15 GA ou SP1 (TBD)
v3.2 v4
* Objectf visé, peut être sujet à changement
** Livré après GA

27. 27
« Et c’est pour quand, SUSE Manager 3.2 ? »
“June.”
Klaus Kaempf, janvier 2018, par email

28. 28
Merci !
antoine.pierre@suse.com