Sécurité — WAF, TLS, Accès, Antivirus

Ce dossier regroupe toutes les configurations et outils de protection des services Talas.

Stack de sécurité déployée

Couche réseau — WireGuard + HAProxy

Composant	Rôle	Serveur
WireGuard	VPN d'accès aux serveurs + exposition des services sur Internet	R720 #1
HAProxy	Reverse proxy, terminaison TLS, routage vers les services	R720 #1
Let's Encrypt	Certificats TLS automatiques via certbot	R720 #1

Flux : Internet → Fibre Orange → WireGuard/port forward → HAProxy (TLS + WAF) → services

Pas de Cloudflare, pas de Tailscale, pas de CDN tiers. 100% self-hosted.

Couche applicative — Coraza WAF

Composant	Rôle
Coraza WAF	Web Application Firewall open source, intégré à HAProxy
OWASP CRS	Core Rule Set — règles de détection SQLi, XSS, path traversal, etc.

Configuration :

• Paranoia level dynamique (ajustable par environnement)
• Logs au format personnalisé → Filebeat → Elasticsearch → Kibana
• 245+ règles application-multi actives

Couche administration — JumpServer

Composant	Rôle
JumpServer	Bastion SSH/RDP open source

Fonctionnalités :

• Interface web d'administration
• Audit vidéo de toutes les sessions terminal
• RBAC (contrôle d'accès par rôle)
• MFA obligatoire
• Gestion des assets (serveurs, comptes, credentials)
• Intégration Hashicorp Vault pour les secrets

Couche applicative Veza — Sécurité intégrée

Sécurité implémentée dans le code Veza (voir 03_APPS_&_SERVICES/ARCHITECTURE_VEZA) :

Mécanisme	Description
JWT RS256	Authentification par tokens asymétriques (avec fallback HS256)
CSRF tokens	Stockés dans Redis, obligatoires en production sur tous les POST/PUT/DELETE
Rate limiting	Global : 1000 req/s. Par IP : 100 req/s. Par endpoint : variable.
ClamAV	Scan antivirus de tous les fichiers uploadés (port 13310)
Bcrypt	Hash des mots de passe
AES-256-GCM	Chiffrement des tokens OAuth
WebAuthn/Passkeys	Authentification sans mot de passe
MFA TOTP	Double authentification par application
Verrouillage de compte	Après N tentatives échouées (Redis ou in-memory)
Audit logging	Log automatique de tous les POST/PUT/DELETE
Security headers	HSTS, CSP, X-Content-Type-Options, X-Frame-Options

Gestion des secrets — Hashicorp Vault

Usage	Description
Clés SSH	Générées et stockées dans Vault, distribuées automatiquement
Tokens API	Rotation via Vault
Mots de passe DB	Stockage sécurisé

Rôle Ansible : ssh-keygen-and-store (génération → Vault → distribution)

Rôles Ansible associés

Rôle	Description
haproxy	Reverse proxy + Coraza WAF + TLS
ssh-keygen-and-store	Génération de clés SSH + stockage Vault
nftables	Règles de filtrage réseau

Contenu de ce dossier

• coraza/ : règles WAF, profils de paranoïa, logs personnalisés
• haproxy/ : configuration reverse proxy, backends, frontends, TLS
• wireguard/ : configuration VPN, clés, peers
• nftables/ : règles de filtrage IP
• certbot/ : scripts de renouvellement TLS
• vault/ : politiques, secrets paths

Voir aussi

• 04_INFRA_DEPLOIEMENT/Architecture_Serveurs/ARCHITECTURE_INFRA — Architecture complète
• 04_INFRA_DEPLOIEMENT/Monitoring_Logs/README — Monitoring et logs (dont logs WAF)
• 03_APPS_&_SERVICES/ARCHITECTURE_VEZA — Sécurité applicative Veza
• 00_META/Glossaire/GLOSSAIRE_TALAS — Termes (Coraza, HAProxy, WireGuard, etc.)