dotSecurity est une conférence sur la sécurité adressée aux développeurs (et non aux experts sécurité) qui se tiendra le 22 avril à Paris, au Théâtre des Variétés. Côté speakers, les directeurs de la sécurité chez Heroku & Docker, ainsi que le fondateur d’OpenBSD, prendront place sur scène. Profitez de l'offre réservée aux lecteurs InfoQ FR : 20% de réduction sur le ticket ici
Dans le cadre de la conférence, InfoQ FR a rencontré Mitchell Hashimoto, CEO de HashiCorp, afin d'en savoir plus sur les nombreux outils de la société. Nous reviendrons sur leurs évolutions au cours des deux dernières années et parlerons de la roadmap. Nous essayerons aussi de bien comprendre la différence entre les produits open source et payants.
InfoQ FR : Bonjour Mitchell, tu es maintenant un speaker connu auprès des lecteurs d'InfoQ. Peux-tu nous résumer ce qui s'est passé durant l'année dernière ?
Mitchell : L'année passée a été un tourbillon de releases. En tant qu'entreprise, nous avons très fortement mis l'accent sur les produits en 2014 et 2015. Nous avons livré une multitude d'outils et sorti des dizaines de releases.
Du point de vue de la communauté, il semble que les champions des deux dernières années sont Vault et Terraform. Les deux ont obtenu une attraction incroyable et nous avons dédié, plus que d'habitude, d'employés à plein temps sur eux. Mais Consul et Vagrant continuent d’être très largement adoptés.
En un mot : on s'est concentré très fortement pour sortir des outils de bonne qualité au cours de l'année écoulée.
InfoQ FR : Vault est un des produits HashiCorp focalisé sur la sécurité. Peux-tu nous dire qu'est-ce que Vault, comment peut-on l'utiliser et comment l'intégrer avec d'autres outils ?
Mitchell : Vault est un outil pour gérer les mots de passe et autres données sensibles de votre datacenter, d'une façon moderne et dans le cloud.
La sécurité a toujours été un énorme problème dans les datacenters, et depuis qu'on s'est déplacés vers le cloud, les micro-services, sur du matériel peu fiable (des instances qui peuvent disparaître facilement), et plus encore, les problèmes se sont aggravés. Le pire, c'est qu'il existe plein d'outils mais qui ne respectent pas du tout les bonnes pratiques modernes. De plus, il est difficile de trouver une solution gratuite ou open source.
Nous avons crée Vault pour résoudre toutes ces préoccupations. C'est purement une solution logicielle, à haute disponibilité, gratuite et open source. Nous vérifions toutes les releases et travaillons pour le rendre plus conforme. Nous avons aussi une version entreprise payante de Vault pour régler des problèmes supplémentaires lors de l'adoption d'une solution de sécurité. Néanmoins, nous faisons tout pour assurer que vous puissiez avoir une solution de sécurité complète avec la version open source de l'outil.
Vault est complètement contrôlé avec une API HTTP (sous TLS). L'intégration avec d'autres outils se fait facilement en utilisant l'API. Il y a des clients pour beaucoup de langages. Il y a aussi des outils de plus haut niveau comme consul-template qui gère automatiquement la récupération des données secrètes et les envoie à votre application sans consommer directement l'API.
Je m'attends à voir beaucoup plus d'intégrations de Vault dans l'année à venir.
InfoQ FR : Parmi les outils de HashiCorp, vous distribuez Consul et Vault avec des versions entreprise. Quelle est la différence entre ces versions et celles open source ?
Mitchell : Je qualifierais les versions entreprise comme des surcouches aux versions open source. Je veux préciser que les deux versions entreprise n'ont pas de noyau ouvert, vous exécutez toujours le même binaire que l'open source. Les produits pour les entreprises sont une surcouche au dessus des versions open source. Nous travaillons très dur pour continuer ceci.
Pour Vault, la version entreprise offre pas mal de choses. Peut-être la plus demandée : l'interface utilisateur pour Vault ! En plus de l'interface, vous avez un moyen pour mettre en place de la sécurité dans les environnements de type cloud. Par "mettre en place de la sécurité", je fais référence à la première étape pour initialiser l'authentification avec Vault (comment récupérer le premier secret - le jeton d'accès de Vault - dans un serveur). Nous avons aussi une intégration avec des HSMs, pour les entreprises qui en possèdent un ou plusieurs.
Pour Consul, vous avez une jolie interface graphique qui possède plus de fonctionnalités intéressantes que la version open source. Vous avez aussi un système d'alerte plus fin et un système d'itinéraire pour les health check en erreurs.
Pour les deux, vous avez aussi un support, ce qui est vraiment important pour beaucoup d'entreprises au-dessus d'une certaine taille.
InfoQ FR : Qu'elle est la roadmap de HashiCorp ?
Mitchell : Nous nous concentrons fortement en ce moment à rendre nos outils plus solides et à ajouter des fonctionnalités plus riches en tout point.
Nous avons sorti beaucoup d'outils au cours des dernières années. La plupart sont très stables. Par exemple, Consul est très utilisé en production et est largement éprouvé. Mais il y a encore beaucoup de fonctionnalités que nous voulons ajouter à tous nos outils. Pas seulement des fonctionnalités, mais aussi des améliorations sur l'expérience utilisateur, l'adoption, etc...
D'une autre manière, je décrirais notre feuille de route comme une vision vers une version 1.0 de nos outils.
En parallèle, nous travaillons sur nos produits pour les entreprises. En plus de tous les projets open source que nous faisons, nous avons encore à construire notre business.
InfoQ FR : Beaucoup de personnes sont familières avec Terraform, Vagrant, Consul, ou Packer, mais peux-tu nous en dire plus sur Nomad et Otto ?
Mitchell : Nomad et Otto sont nos nouveaux outils.
Nomad est notre cluster scheduler, dans le même esprit que Mesos, ou peut-être dans une certaine mesure que Kubernetes. Kubernetes, toutefois, a des objectifs de plus haut niveau que nous ne suivons pas directement avec Nomad. L'idée de base avec Nomad est d'avoir une vue sur votre infrastructure comme un simple groupement de resources. Vous envoyez vos applications tourner sur Nomad, et Nomad les schedule et les exécute sur le cluster pour vous. Il en résulte une utilisation efficace des resources et des déploiements simplissimes.
Otto est beaucoup plus expérimental pour nous. C'est un projet à long terme pour créer un outil de workflow entre le développement et le déploiement d'application. Nous sommes encore loin de ça, mais nous travaillons durement dessus. Il n'est pas prêt à être adopté maintenant, mais ça reste cool d'expérimenter quelque chose qui risque d'arriver assez tôt.
InfoQ FR : dotSecurity a lieu dans quelques jours, peux-tu nous donner quelques conseils sur la façon d'améliorer la sécurité dans nos infrastructures et quels outils nous devrions utiliser ?
Mitchell : Et bien, je suis partial, donc je vais dire Vault ! Haha.
La chose la plus importante à propos de la sécurité est de bien s'assurer que toutes les personnes dans une société comprennent les bases suivantes : toujours utiliser TLS, chiffrer toutes données sensibles/secrètes, enregistrer tous les accès, etc. Chaque ingénieur devrait pouvoir répondre au "pourquoi" et au "quoi" de la sécurité.
Le comment est moins important. Je pense qu'un ingénieur lambda ne devrait pas avoir à comprendre le "comment". Les outils, comme Vault, fournissent une API de haut niveau aux développeurs pour le chiffrement, les certificats TLS, etc... Donc, le "comment" est tout simplement d'appeler une API, plutôt que de choisir un algorithme et de s'occuper d'autres détails.
Une question que je pose tout le temps aux développeurs : Comment mon travail peut être compromis ? Comment je peux être protégé contre ça ? Est-ce une situation raisonnable de ne PAS être protégé contre ça ?
InfoQ FR : Merci pour tes réponses Mitchell et à bientôt !
Mitchell : Merci à vous !