InformatikLeistungsZentrum (ILZ) opère dans le secteur public, servant de colonne vertébrale centrale et de partenaire technologique de confiance pour deux cantons en Suisse. ILZ fournit une infrastructure critique, des plateformes et des services logiciels aux municipalités, aux écoles, à la police et à d'autres organisations du secteur public, en soutenant des systèmes pour lesquels la sécurité, la fiabilité et la disponibilité ne sont pas négociables.

ILZ exploite plusieurs centres de données, des centaines de logiciels et des milliers de clients, le tout dans un environnement très réglementé.

Le défi

L'infrastructure d'ILZ joue un rôle essentiel en garantissant des services numériques sécurisés, fiables et disponibles en permanence, qui soutiennent les opérations publiques essentielles et les systèmes orientés vers les citoyens.

Comme de nombreuses organisations exploitant de grandes plateformes Kubernetes, ILZ s'appuie fortement sur des logiciels open source. Cependant, les options d'images de conteneurs existantes présentaient des défis importants, notamment une exposition élevée aux CVE, une augmentation des coûts et un risque fournisseur à long terme. Ces problèmes étaient particulièrement préoccupants compte tenu des obligations du secteur public d'ILZ et de l'infrastructure critique hébergée dans ses centres de données. Javier García, architecte informatique d'entreprise chez ILZ, a identifié cette tendance très tôt et s'est fixé pour objectif de passer à des images 0-CVE pour les déploiements basés sur des conteneurs.

Avec Kubernetes comme épine dorsale de sa plateforme, hébergeant des services de base pour l'observabilité, la surveillance et la messagerie, ILZ avait besoin d'un moyen de réduire considérablement le risque de la chaîne d'approvisionnement sans perturber les charges de travail, réarchitecturer les applications, ou construire et maintenir des images de conteneurs en interne. Cela incluait les composants de base de la plateforme tels que Prometheus, Grafana, Thanos et Node Exporter, qui sont essentiels à la visibilité et à la fiabilité opérationnelles d'ILZ.

La solution

Pour relever ces défis, ILZ s'est associé à Puzzle ITC, un partenaire technologique doté d'une expertise approfondie de Kubernetes, de l'open source et des environnements d'entreprise du secteur public. Puzzle a travaillé en étroite collaboration avec Raffael Hertle, architecte système principal chez ILZ et architecte en chef de la plateforme Kubernetes, pour évaluer les options d'images de conteneurs sécurisées et définir une voie à faible risque.

Puzzle a recommandé Chainguard en raison de sa forte adéquation avec les exigences d'ILZ : SLA de niveau entreprise, crédibilité dans l'écosystème open source et un large catalogue d'images durcies qui suivent de près les projets en amont. Pour soutenir une approche à l'échelle de la plateforme, ILZ a adopté le modèle d'abonnement au catalogue complet de Chainguard, donnant à l'équipe l'accès à la gamme complète d'images de conteneurs durcis à mesure que sa plateforme Kubernetes continue d'évoluer.

Pour Raffael, la décision d'adopter Chainguard s'est résumée à la confiance dans le leadership open source et la viabilité à long terme de Chainguard. L'engagement des fondateurs de Chainguard en faveur de l'open source, notamment en créant Cosign et en contribuant à la création de l'écosystème Sigstore, est extrêmement important pour nous", a-t-il déclaré.

Étant donné qu'une grande partie de l'infrastructure publique dépend d'ILZ, l'équipe avait également besoin de garanties allant au-delà du support "best-effort". Les accords de niveau de service de Chainguard ont fourni le filet de sécurité dont ILZ avait besoin pour s'acquitter de ses responsabilités réglementaires et opérationnelles.

Du point de vue de Puzzle, le partenariat a permis une approche de migration reproductible et à faible risque pour les clients du secteur public. "L'étroite collaboration avec Chainguard, combinée à leurs excellents cours de formation et ressources, a changé la donne", a déclaré Christoph Raaflaub, architecte de plate-forme chez Puzzle. "Elle nous permet de présenter la solution en toute confiance et de fournir une assistance de haut niveau à nos clients pendant leur migration.

En travaillant ensemble, ILZ et Puzzle ont mis en œuvre Chainguard Containers sur la plateforme Kubernetes d'ILZ, qui fonctionne sur VMware vSphere Kubernetes Services. En déployant les services de base de la plateforme à l'aide des graphiques Chainguard Helm, le déploiement s'est concentré sur le remplacement des références d'images existantes par des équivalents Chainguard, ce qui a nécessité des changements de configuration minimes et aucune refonte architecturale.

Les résultats

La mise en œuvre s'est déroulée rapidement. Christoph de Puzzle et Raffael d'ILZ ont collaboré au déploiement de Chainguard Containers dans ses clusters Kubernetes tout en maintenant les charges de travail existantes pleinement opérationnelles. Au total, plus de 20 images de conteneurs ont été mises à jour au cours des premières 24 heures. Christoph explique : "Grâce à l'excellente documentation de Chainguard, Raffael a été en mesure de gérer la migration de manière très autonome, avec seulement un léger soutien de ma part. La promesse de Chainguard d'un remplacement en douceur a été absolument validée dans la pratique".

Le meilleur ? "Rien n'a changé, tout a été mis en place en quelques minutes", a déclaré M. Raffael. "Mon cerveau en matière de sécurité peut se reposer.

Du point de vue de Javier Garcia, les résultats sont remarquables : ILZ a réduit le nombre de CVE liés aux conteneurs de plus de 10 000 à zéro. Cette amélioration mesurable a donné à l'équipe la certitude que son backbone Kubernetes répondait désormais aux attentes strictes en matière de sécurité et de conformité requises pour les infrastructures du secteur public.

Avec Chainguard et un partenariat fiable avec Puzzle en place, ILZ fonctionne désormais avec une plus grande tranquillité d'esprit, sachant que sa chaîne d'approvisionnement de conteneurs est soutenue par des accords de niveau de service d'entreprise et prise en charge par des fournisseurs alignés sur les meilleures pratiques de l'open source. Le résultat est une plateforme plus sûre et plus stable qui permet à ILZ de se concentrer sur la prise en charge fiable des services critiques dont dépendent ses clients.