Documentation #19858
Laius « hébergement & infogérance : accès ssh mon amour, entre autres »
0%
Description
Faire un texte expliquant les conditions dans lesquelles EO peut assurer son travail de maintenance/support sur une machine tierce.
- En paralèle de la transmission de la documentation d'architecture technique
- le laïus accès doit expliquer pourquoi nous avons besoin de ce type d'accès (avec des mots pour les non initiés)
- Mise à jour / intégration continue / maintenance de sécurité
- RGPD nous oblige à assurer la sécu technique des données et donc nous devons pouvoir intervenir n'importe quand en cas d'intrusion / faille / ....
- Rappler les différentes solutions envisageables
- accès ssh full (filtré par ip) et clé publique fournie par Entr'ouvert
- OpenVPN avec installation d'un serveur ou d'un client (si c'est un serveur on se connecte à leur serveur sinon il doivent activer la connexion vers notre serveur)
- si besoin on peut leur fournir une configuration OpenVPN, voire un packaging de la solution.
- Un système d'acès SSH inverse : leur client SSH (SI collectivité) qui se connecte à un serveur chez nous.
- L'idée de Fred c'est que cette connexion n'est pas nécessairement permanente mais doit pouvoir être activée lorsqu'on en a besoin (mieux si on a la main pour les horaires d'accès)
- Si cet accès ne peut être assuré alors notre responsabilité ne peut pas ête engagée. Et donc la collectivité doit assumer sa responsbilité sur la sécurité des données.
- Bien sûr entre en compte également dans la qualité du service que l'on peut assurer
- Sans accès fonctionnel à la machine on ne peut pas maintenir la solution
- On propose un transfert de compétences et ils exploitent eux-mêmes la solution et engagent leur responsabilité à eux.
- Nous n'intervenons que sur du support niveau ++
- L'hébergement sur-site (on-premise) nécessite un accès à internet. Astuce marketing pour imposer un mode de fonctionnement ? voir https://en.wikipedia.org/wiki/On-premises_software
- Afin de garantir l'intégrité et la disponibilité des systèmes de données Publik, Entrouvert propose d'infogérer les solutions auto-hébergées. Le client bénéficie dès lors des correctifs de sécurité, de la maintenance et de la surveillance, le serveur auto-hébergé est joignable de façon sécurisée par le serveur de maintenance de Entrouvert. Techniquement cela se traduit par une ouverture du port 22 du serveur auto-hébergé depuis l'adresse IP du serveur de maintenance d'Entrouvert sur le part-feu du client (en passant éventuellement par un connexion openvpn) pour les connexions identifiées par la clé d'authentification d'Entrouvert.
=> notez que "depuis l'adresse IP du serveur EO" disqualifie les solutions webssl
=> rappeller/pointer éventuellement ici les conditions d'utilisation de cet accès par Entr'ouvert (engagements et responsabilités)
Historique
Mis à jour par Christophe Siraut il y a environ 6 ans
- Statut changé de Nouveau à Résolu (à déployer)
J'ai synthétisé notre laïus sur l'infogérance à partir des notes de l'atelier eocamap:
https://doc-publik.entrouvert.com/guide-de-l-administrateur-systeme/exploitation/support/#infogerance
Mis à jour par Brice Mallet il y a environ 6 ans
- Statut changé de Résolu (à déployer) à Information nécessaire
J'étais prêt à corriger qq fautes de syntaxe mais Combo n'est pas le bon endroit puisque ce texte vient de sphinx.
Puis-je modifier directement des fautes ? Si oui, où ?
- Le système d'exploitation des serveurs applicatifs Publik peut être infogéré
s - Le maintien
tdes conditions opérationnel les tiers
Mis à jour par Christophe Siraut il y a environ 6 ans
- Statut changé de Information nécessaire à Solution déployée
Brice Mallet a écrit :
J'étais prêt à corriger qq fautes de syntaxe mais Combo n'est pas le bon endroit puisque ce texte vient de sphinx.
Puis-je modifier directement des fautes ? Si oui, où ?
Non tu ne peux pas modifier les sources de ce document git pour le moment; mais je suis d'accord de le passer en combo pour la suite.
Sinon :
- Le système d'exploitation des serveurs applicatifs Publik peut être infogéré
s- Le maintien
tdes conditions opérationnel les tiers
Corrigé, merci!