Hello !
 
Je suis information security officer pour une boite qui crée et gère des sites web pour notre propre compte.
 
Toute notre infra est chez AWS, que l'on utilise plus ou moins comme un datacenter classique. Petit à petit, nous passons en mode service mais la transition est assez lente. Toujours est-il que toute notre architecture est théoriquement multi-zone.  
 
Afin de s'en assurer, nous souhaitons tester une perte de zone, afin de voir si les sites web continuent à tourner normalement.
 
Selon vous, quelle serait la meilleure méthodologie de test ?
 
De mon expérience, chez de précedents employeurs, les IT coupaient les machines (gracieusement ou pas), afin de voir si leurs solutions de redondances prenaient le relais.
 
Le cloud est nouveau pour moi, donc je me demandais si on pouvait appliquer le même protocole ? Le team lead IT OPS me dit que oui, soit on coupe les machines gracieusement avec ssh, soit on les stoppe brutalement via la console AWS. D'un autre côté, nos devops veulent juste modifier les access control lists (ACLs) d'une zone, afin de rediriger le traffic vers les machines de l'autre zone. Pour moi ce n'est pas une bonne approche, car aucune machine/service/fonction n'est stoppée ou arrêtée, je n'ai pas l'impression que cela représente un scénario très réaliste. En même temps, je ne suis pas un gars technique donc ma vision est limitée.
 
Qu'en pensez-vous niveau méthodologie ? Que me conseilleriez-vous ?

Hello,
 
Le mieux serait de choisir parmis les services ELB ou route 53.
 
Avez-vous également des VPN Site-to-Site?
 
Avec les ACL, tu peux effectivement bloquer le traffic entrant mais qu'en est-il de l'accès à tes sites internet qui ne se seront plus disponible sur internet sur une des 2 zones? il n'y aurait qu'un ELB (Elastic Load Balancing ) qui puissent gérer ça.
 
tu peux aussi consulter ce lien explicatif sur les différents services proposés pour ce genre de cas.
 
http://d36cz9buwru1tt.cloudfront.n [...] covery.pdf
 

Merci pour ce lien ! Je vais lire ça.
 
J'avoue que je ne connais pas trop les services ELB ou route 53. J'imagine que tu sous-entend qu'il y a déjà des options de disaster recovery proposés parmis ces services ?
 
VPN site-to-site je pense que oui. Cela pourrait-il représenter une méthode de test ?
 
Effectivement, nous utilisons des load balancers entre les deux zones.

détruit les machines et zou non ?

Finalement la doc ne parle simplement que de cas de DR AWS avec une infra externe, mais pas au sein d'AWS.
 
En fait, avec un ELB (donc load balancer) tu pourras rediriger le traffic sur tes instances réparties sur les 2 zones (ou Az, availability zones).
Donc la VIP du load balancer rediriger vers les instances configurées derrières.
 
Pour le VPN, je voulais simplement mentionner que tu peux utiliser des instances EC2 constructeur de type Fortigate VM etc, et faire en sorte que ton traffic re-route automatiquement d'une zone à l'autre si justement tu as ces Firewall en tant que Gateway internet.
 
EC2 ---- eni-xxx (Firewall)----AWS IGW (internet gateway de ton VPC).
 
Pour se faire, il y a des constructeur (tel que Fortinet qui proposent des template "CloudFormation" ) qui proposent ce genre de solution.
En gros, vu que tes 2 FW sont dans 2 zones différentes, pas de HA possible, mais tu peux quand même faire comme si grâce à ce type de solution. le VPN est un peu hors sujet d'après ta demande, mais c'est à considérer si c'est également un autre besoin.. je ne connais pas votre infra.. .
Je ne veux pas embrouiller plus, mais si jamais regarde aussi ce lien
 
https://www.fortinet.com/content/da [...] in_AWS.pdf

 
Nope, j'ai abordé cette possibilité, mais ça a été refusé par le métier et l'IT.
 
Nous ne sommes pas encore en mode auto-scaling donc ils veulent juste arrêter (brutalement ou pas) les machines.
 
Je pense que reconstruire tout demandera trop de boulot par après, au vu de notre (vieille) architecture

 
Merci pour ces infos ! Je pense que je vois plus ou moins ce que tu veux dire.  
 
Maintenant, si je leur demande d'éteindre ou de stopper les machines, est-ce que ça ne me permet pas de valider plusieurs scénarios d'un coup ?

Ben, Il y a un moyen plus simple si tu veux vérifier l'accès depuis l'internet.
Il suffit d'enlever l'EIP de l'instance d'une AZ et de tester.
En théorie ton DNS doit pointer correctement sur l'instance concernée.
C'est pour cela que dans le cas d'un site avec 2 serveurs sur 2 zones différentes, il te faut un load balancer.

Je ne veux pas dire de bêtise mais le Chaos Monkey de netflix doit pouvoir se configurer pour faire des arrêts de ressources sur une AZ complète.

Oui, pour se faire il vaudrait mieux utiliser aws-cli