Partie 14 — Durcir l’infra & le déploiement
⏱️ TL;DR — Une appli sécurisée sur une infra mal durcie reste vulnérable. Cette partie prolonge le cours Serveur Linux sous l’angle sécurité : appliquer HTTPS/TLS, HSTS et les en-têtes de sécurité au niveau du reverse proxy (une fois, pour tout) ; se protéger du volume et de l’abus avec du rate limiting, un WAF et fail2ban ; isoler et appliquer le moindre privilège (conteneurs, comptes système, ports fermés, réseau segmenté) pour borner l’impact d’une compromission ; et sécuriser la CI/CD — le pipeline qui a accès à tout (secrets, prod) et devient une cible de choix (préférer l’OIDC aux secrets long-lived, scanner les images). L’infra est la couche qui contient les dégâts quand l’applicatif cède.
Le problème qu’on résout
On a beaucoup travaillé le code (Parties 5-13). Mais le code s’exécute sur une infrastructure — serveurs, proxys, conteneurs, pipelines — qui a sa propre surface d’attaque et son propre rôle défensif. Un chiffrement parfait ne sert à rien si le proxy accepte du HTTP en clair ; une appli robuste tombe si le serveur est saturé par un flood ; une faille applicative devient une catastrophe si le processus tourne en root avec accès à tout ; et tout le soin mis dans les secrets s’effondre si la CI/CD (qui les détient) est compromise.
Cette partie applique les principes du cours (defense in depth, moindre privilège, fail secure) à la couche infra, en complément et prolongement du cours Serveur Linux — ici vu à travers le prisme de la sécurité.
Ce que tu sauras faire à la fin de cette partie
- Appliquer HTTPS/TLS, HSTS et les en-têtes de sécurité au bon endroit (reverse proxy).
- Se protéger de l’abus et du volume : rate limiting, WAF, fail2ban.
- Isoler et appliquer le moindre privilège (conteneurs, comptes, ports, réseau) pour borner l’impact.
- Sécuriser la CI/CD : secrets, OIDC vs credentials long-lived, scan d’images, intégrité des artefacts.
Les chapitres
| # | Chapitre | En un mot |
|---|---|---|
| 14.1 | TLS, headers & HSTS en prod | HTTPS partout, en-têtes au proxy, redirection et HSTS. |
| 14.2 | Rate limiting, WAF & fail2ban | Limiter l’abus, filtrer, bannir les IP hostiles. |
| 14.3 | Isolation & moindre privilège | Conteneurs, comptes système, ports, réseau : borner l’impact. |
| 14.4 | CI/CD sécurisé & scan d’images | Le pipeline comme cible : secrets, OIDC, scan, intégrité. |
Une fois l’infra durcie, il reste à voir ce qui se passe et à réagir : la Partie 15 — Détection & réponse à incident.
On commence par la base du transport sécurisé en prod : TLS, headers & HSTS.