ECO est un Cloud Ouvert

Une visite en février 2021 à mon arrivée au SNUM m’avait convaincu en un coup d’œil que ECO est un cloud éco-responsable. Une seule photo comme celle ci-dessous transmet visuellement que les flux de chaleur sont confinés pour une efficacité électrique maximale. Mieux, un tour complet des salles permet de remarquer les échangeurs qui assurent la récupération de chaleur fatale, ce qui est l’état de l’art.

Ce n’est que quelques mois plus tard que j’ai appris que le nom était un acronyme choisi comme pastiche d’un projet Open Source bien connu, quand la distribution Openstack HP Helion a été remplacée par la distribution collaborative Kolla

Si GNU is Not Unix, alors ECO est un Cloud Ouvert.

Pourquoi ouvrir ?

ECO constitue un slogan plus sympathique que OSHIMAE (offre de services d’hébergement interministériel Agriculture et Ecologie) qui l’a précédé mais on a rarement vu un système se revendiquer fermé et de plus, cela n’explique pas en quoi cette ouverture est un atout voire une nécessité.

Une certaine ouverture était indispensable pour des raisons internes tout d’abord. Précédemment, le ministère possédait deux pôles d’hébergement, un principal en Gironde à Saint-Médard-en-Jalles, et un secondaire sur Paris-La Défense. Chaque pôle était administré par des équipes locales, depuis des LAN dédiés, dans des zones protégées par contrôle d’accès physique à l’intérieur des corps de bâtiments attenants.

Les inspections des salles de Saint-Médard ont montré la présence de traces d’amiante et ne sont clairement pas à l’état de l’art en terme de sobriété énergétique. Vers 2015, il avait donc été décidé de réaliser les nouvelles salles en photo ci-dessus afin de fermer les salles girondines. Comme il n’a jamais été envisagé de faire déménager les équipes attachées aux serveurs, cela voulait dire que le modèle d’administration locale était battu en brèche. La pandémie COVID19 a enfoncé le message que la téléadministration n’était plus un cas particulier pour les interventions sous astreintes, mais le cas général : il allait falloir accéder à tous les types d’hébergements depuis pratiquement partout.

A cette motivation interne, s’ajoute une raison externe. Si le cœur des équipes d’exploitation représente une cinquantaine de personnes, cette population est déjà inférieure en nombre à la seule équipe de l’ESN titulaire du marché de tierce maintenance applicative de masse. Maintenant, nous avons une estimation de la taille des développeurs au sens large, puisque nous pouvons dénombrer les utilisateurs de l’instance ministérielle de Gitlab. Début 2023, elle comprend plus de 1500 comptes référencés, avec un MAU (monthly average user) supérieur à 500 (mesure entre le 15 décembre et le 15 janvier, ce qui n’est pas une période haute d’activité). Autrement dit, pour une organisation qui prône l’agilité dans les développements de produits numériques, il faut sérieusement travailler pour que les phases d’intégration, de déploiements ne soient pas un goulot d’étranglement de tous les acteurs du numérique, du fait du rapport de masse des effectifs.

En particulier, un point généralement sous-estimé est le gouffre opérationnel entre un prototype de base de données et une exploitation en centre serveurs. Vous n’avez besoin de personne pour créer un fichier Excel et disposer quelques tables dans autant d’onglets. Passer à un développement local (PHP, un moteur SQL) demande plus de compétences mais guère plus d’efforts grâce aux logiciels Open Source. VS Code et Postgres sont à portée de clic. Mais déployer en centre serveur devient un projet informatique avec des délais en mois voire en trimestres. Contrairement aux articles de la presse professionnelle, la plupart des systèmes informatiques ne connaissent pas une croissance de GAFAM, n’ont pas besoin de solution d’orchestration de Scale Up mais d’un Scale Down : un système le plus simple possible pour qu’un artisan de l’informatique puisse faire tourner une machine unique (virtuelle même) 24h * 7j quand il ferme son PC portable.

Apports de l’ouverture et paradoxe du choix

Comme les marchés, les systèmes ouverts portent en eux le consumérisme : choix au sein de variété de produits, choix de quand et où je consomme et finalement choix d’arrêter d’utiliser.

Les années 2000-2010 ont été la première phase de croissance explosive d’Internet et l’émergence de nombreuses applications Intranet et Extranet. A l’initiative de MERISE dans les années 1990, le ministère a répondu aux besoins de sites web applicatifs par la méthodologie ACAI. Comme Henry Ford qui clamait au plus fort de la production de son modèle T que les clients pouvaient choisir la couleur de leur voiture pourvue qu’elle soit noire, ACAI était directif : langage Java, base de données SQL, authentification unifiée par intégration d’un composant maison (Cerbère), etc. Si cette approche normative est appropriée pour des développements sur-mesure, elle est inadaptée face à l’émergence de progiciels serveurs. Comme l’intégration verticale de Ford a été dépassée par General Motors qui proposait une gamme de marques, de modèles et d’options, l’utilisation de produits ou composants sur étagère comme base des produits numériques a mis ACAI sur le côté de la route. Les éditeurs ou les développeurs Open Source choisissent leurs technologies selon des critères totalement indépendants du maintien de pôles de compétences au sein du ministère.

Si on fait abstraction du brouillard marketing et de la confusion avec l’externalisation, le cloud est une organisation des systèmes d’information qui vise l’autonomie, en intégrant de base trois qualités qui font défaut aux hébergements traditionnels :

• accessibilité de partout, particulièrement aux télétravailleurs, aux prestataires en facilitant le processus d’incorporation de nouveaux intervenants,
• self-service pour permettre le juste-à-temps,
• multi-technologies avec des enjeux d’interopérabilité.

Ces points sont en recherche permanente d’équilibre. Par exemple, si un client de cloud peut valoriser l’interopérabilité quand il se préoccupe de réversibilité, le choix d’une filière technologique plus spécifique peut lui réduire ses temps de développement en phase amont...

Du coup, comme dans d’autres filières de production, on observe que la variété bloque certains consommateurs devant le paradoxe du choix. On le comprend aisément en voyant l’offre pléthorique de certains clouds publics. ECO propose de raisonner ce choix, en supportant non plus une seule mais une sélection de technologies (la condition est qu’il ne suffit pas d’un ou deux bénéficiaires pour justifier une plateforme mutualisée) et en proposant également l’accompagnement au choix : catalogue en ligne, notices techniques et architectes en support. La décomposition fonctionnelle de la pose de cuisines IKEA appliquée à l’informatique.

Accès privilégiés et Zero Trust Networking

Mais pour voir fleurir les produits numériques, la sécurisation est une condition nécessaire et implicite à l’autonomie.

Dans le domaine des cartes bancaires, on continue de vivre un grand écart en matière de fraude selon que le périmètre observé comprend les distributeurs de billets et l’achat en magasins (absence pratique de fraude dès que la carte est physiquement présente si on exclut l’extorsion physique ou les différents commerciaux avec des commerçants indélicats) ou les achats en ligne (réseaux organisés dans le dark web pour échanger des numéros de cartes, bases de données constituées après piratage de serveurs).

Pour le dire pudiquement, personne ne voudrait qu’une certaine faune qui déambule au sein des clouds publics puisse prendre pied dans les systèmes d’information des ministères, Quand le ticket d’entrée est minime (5€/mois pour un VPS), on trouve des embrouilles bénignes (serveurs de jeux qui s’attaquent en déni de service, avec des épiphénomènes comme Wanacry tout même) jusqu’aux cyber-attaquants de classe mondiale. C’est la raison pour laquelle les applications bancaires particulièrement sur mobile refusent le plus souvent les connexions qui proviennent des blocs d’IP des clouds publics.

Google ne le souhaite pas non plus pour ses propres services. Comme les autres GAFAM du reste, il pratique l’auto-hébergement et il a adopté une posture de sécurité exposée très simplement en 2014 dans l’article BeyondCorp : A New Approach to Enterprise Security de la revue ACM ;login (Corp. pour Corporation, l’entreprise). Le concept a été repris ensuite par Forrester Research puis le NIST avant de devenir un gimmick marketing Zero Trust Networking. Dans sa version réductrice, pour pouvoir assurer l’accessibilité de partout, ce n’est plus l’adresse de connexion qui ouvre des droits d’accès aux serveurs mais l’authentification de l’utilisateur / développeur à un niveau applicatif. Ainsi pour certains, ZTN est atteint dès qu’on met en place une forme de relai proxy SSO.

Dans le contexte du ministère, le Cerbère des années 2010 a évolué pour supporter le protocole OpenID Connect et permet par conséquent les fonctions d’authentification interministérielle (Agentconnect). Mais la lecture attentive des papiers de Google montre que cet acteur n’a qu’une confiance limitée dans les mots de passe et prônait déjà d’ancrer la sécurité dans des composants électroniques. A l’époque, il parle de puces Titan (leurs descendantes sont les clés FIDO2 d’aujourd’hui) pour autoriser ce qu’on appelle des accès à privilèges. Il n’y a d’ailleurs rien de surprenant à ce constat : c’est aussi la période à laquelle les USA ont enfin adopté des cartes à puce sur leurs cartes bancaires...

En 2021, DNUM/MSP a identifié qu’en agençant adroitement des composants répondant aux vénérables standards X.509, PKCS11, et les cartes agents dont étaient déjà dotés plusieurs milliers d’agents, le ministère pouvait poser les bases d’une pratique Zero Trust Networking. En 2023, tous les accès privilégiés, ceux qui permettent d’administrer des serveurs ou des bases de données, passeront par l’emploi d’une carte à puce RGS 2*, par nos agents ou nos prestataires, sur nos serveurs ou les hébergements sous la responsabilité DNUM.

Bien sûr, il y a un prix à payer initial : s’équiper avec une carte et se faire reconnaître comme Développeur. Mais notre "ZTN" déverrouille toutes les potentialités de self-service. Outre les usages bureautiques préexistants (signature de .pdf, échange de conteneurs chiffrés), l’authentification sur les portails IaaS (Openstack), la connexion aux VPN (IPsec, SSL), l’ouverture de sessions SSH via des bastions deviennent possible depuis toute localisation géographique. lI n’y a plus de barrières technologiques mais seulement des habilitations à obtenir (en gros, se faire avaliser par le gestionnaire des ressources utilisées), sans tenir compte de votre point de connexion ou de la marque d’ordinateur. Tant qu’il maîtrise sa carte, un prestataire dûment habilité peut tout à fait créer des machines virtuelles dans un tenant Openstack ou lancer une compilation et un déploiement de conteneurs depuis son Mac en télétravail à Moulins.

Point de situation en janvier 2023

Par rapport à cette vision générale, le point en début de cette nouvelle année est que la DNUM s’est dotée d’un véritable catalogue en ligne, SPOTE, précisément le site sur lequel vous lisez ces lignes. La publication jusque sur Internet, qui nous oblige à la transparence, permet aux partenaires et prestataires d’appréhender nos architectures techniques sans réunion inutile. Ce n’est pas un catalogue qu’on parcourt comme un enfant celui des jouets de Noël mais avec le moteur de recherche intégré pour s’échanger les URL des fiches et être tous à la même page. On ne va pas chercher ici à résumer toutes les évolutions des deux dernières années mais pointer quelques faits marquants.

B3, le service de stockage de données froides est probablement celui qui symbolise le plus la transition vers le cloud, en apportant l’élasticité en matière de volume et le support du protocole AWS S3 reconnu par tous les outils modernes de sauvegardes. Accessible depuis Internet et non seulement le RIE, on peut y stocker des volumes de 100 Go, 1 To, 10 To : la seule limite est le débit de votre connexion réseau et le délai de transfert.

Depuis son origine, Openstack a embarqué une interface web appelé Horizon. Mais maintenant que l’accès est facilité, lancer une VM en 2 min chrono après avoir fait quelques choix de paramètres (taille mémoire, disques, OS) est la meilleure démonstration du self-service pour ceux qui croient encore qu’il faut encore des semaines pour approvisionner les infrastructures d’un SI.

Gitlab est la forge ministérielle principale pour collaborer sur et autour du code. Chaque utilisateur peut créer à sa guise un dépôt de fichiers ou des Pages, procéder à des compilations Java par pipelines après push, des SSG (static site generator) ou autres. Outre la population de développeurs traditionnels (langages informatiques, Java, PHP, etc), nous observons l’usage de langages d’analyse de données (R) ou documents faiblement structurés (Markdown)

Nouvelle option dans la famille PaaS, Eco Compose permet maintenant les redéploiements continus : en apposant un tag de version dans Gitlab, le groupe de conteneurs décrit par docker-compose.yaml est automatiquement stoppé, mis à jour et relancé en quelques secondes généralement. Pour les environnements de production, le développeur peut choisir de ne lancer le déploiement qu’après son clic, par exemple pour maîtriser l’horaire de migration entre versions.

En résumé, passée la phase d’incorporation d’un intervenant (une carte RGS2* est nécessairement distribuée en face-à-face, les demandes d’habilitation pour accéder aux tenants doivent être explicites, etc), il est possible à 90% pour un développeur de piloter les changements de son application, sans recourir à des tickets et donc être pénalisé par des allers-retours et des délais.

Perspectives

Il reste encore plusieurs potentiels d’amélioration. Tout d’abord, le porteur du produit numérique a besoin de le rendre accessible à des acteurs externes. Cela implique d’attribuer un nom de domaine à l’application et de faire router les flux vers le serveur.

A la fin des années 1990, le ministère bénéficiait du patrimoine du SETRA et disposait de ce qu’on appelait une classe B, soit 65536 adresses IP publiques. Cela lui permettrait encore aujourd’hui d’attribuer aisément une IP publique par machine. Le ministère a été partageur de cet héritage vis-à-vis du RIE (réseau interministériel de l’Etat), si bien que comme la plupart des entreprises, il est maintenant obligé de relayer des IPv4 externes en nombre restreint vers des IPv4 privées internes. Bien que doté d’un gestionnaire de zones DNS similaire à celui des enregistreurs de noms de domaines publiques (WDNS est une offre interministérielle qui permet la délégation de zones), cela ne suffit pas à abouter le trafic des internautes en quelques clics. Et soyons transparent, cette chaine Ingress n’a pas fait l’objet de rénovation depuis longtemps.

En 2023, DNUM/MSP se lancera dans la conception d’un Ingress nouvelle génération, supportant le multi-homing, les enregistrements RR HTTPS, IPv6… Moyennant aussi des adaptations dans le filtrage des ports TCP à l’intérieur des réseaux, le but est de garantir une eXpérience Développeur à l’état de l’art : en suivant des conventions préétablies et documentées, il doit pouvoir exposer un prototype sans créer de ticket, sans se soucier de certificats https, etc.

Autre offre attendue, Eco SQL va être l’occasion de bénéficier à plein des choix d’authentification forte. Toutes les envies de lac de données se heurtent dans la réalité aux inquiétudes légitimes des fournisseurs de données sensibles qui s’inquiètent de leurs responsabilités RGPD. Pouvoir affirmer que tous les accès sont authentifiés par carte et tracés avec détection des anomalies de comportement est un état de l’art que peu d’organismes statistiques peuvent garantir. L’objectif est de pouvoir commander une instance Postgres et recevoir en retour un DSN (data source name). En utilisant son client Postgres favori (interfaces console ou graphique), on pourra alors manipuler des bases jusqu’à 10Go sans se préoccuper de sauvegardes ou de montées de version, prises en charge par la plateforme.

Pour finir, une offre en apparence modeste. Dès les premières semaines d’usage des bastions SSH, il est apparu que certains les utilisaient comme des petits homedir. Les créateurs d’Unix avait compris que le shell était le premier PaaS, celui des traitements en mode texte. Eco Shell visera à mettre à disposition des bash, des outils en ligne de commande préconfigurés pour être le tremplin des nouveaux intervenants vers l’usage des autres services ECO : copier des fichiers, transformer des .csv, .log, .json, programmer des tâches de fond, automatiser des déploiements via Ansible ou Terraform. On peut faire beaucoup de choses quand on dispose d’une ligne de commande qui s’exécute au cœur des centres serveurs...