Déployer Cyberwatch en conformité avec le CCN-STIC 807
Le guide CCN-STIC 807 (Criptología de empleo en el Esquema Nacional de Seguridad), publié par le Centro Criptológico Nacional (CCN) espagnol, définit les exigences cryptographiques applicables aux organisations soumises à l’Esquema Nacional de Seguridad (ENS). Il impose notamment l’usage de protocoles cryptographiques à l’état de l’art (TLS 1.3) et la maîtrise des composants déployés.
Cette page décrit les adaptations à apporter au déploiement de Cyberwatch pour respecter ces exigences. Elle complète le déploiement standard avec Swarm et la page Déployer Cyberwatch sur un environnement durci.
Les recommandations de cette page s’appliquent uniquement aux organisations effectivement soumises au CCN-STIC 807. Elles ne sont pas nécessaires pour un déploiement standard et peuvent complexifier inutilement l’installation dans les autres contextes.
1. Désactivation d’Elasticsearch et Kibana embarqués
Par défaut, Cyberwatch embarque ses propres instances Elasticsearch et Kibana. Dans un environnement soumis au CCN-STIC 807, ces conteneurs embarqués doivent être désactivés, leur configuration cryptographique n’étant pas maîtrisée par l’organisation.
Suivre la procédure Désactivation des containers embarqués (drapeau CBW_DISABLE_ELK), documentée pour Docker Swarm, Podman et le chart Helm.
Si les fonctionnalités reposant sur Elasticsearch et Kibana restent nécessaires, il est possible de connecter Cyberwatch à un Elastic Stack déployé en interne et configuré conformément à votre politique de sécurité. La procédure de configuration d’un Elastic Stack externe décrit les réglages requis (URL, authentification, certificat CA, méthode de vérification TLS).
2. Téléchargement du paquet Cyberwatch en TLS 1.3
Le déploiement standard ajoute le dépôt Cyberwatch puis installe le paquet via le gestionnaire de paquets de la distribution (apt, dnf).
Selon le système d’exploitation, le client TLS du gestionnaire de paquets ne dispose pas toujours des prérequis nécessaires (négociation de TLS 1.3) pour être conforme au CCN-STIC 807. Dans ce cas, ne pas configurer le dépôt Cyberwatch : télécharger le paquet manuellement avec curl en forçant TLS 1.3, puis l’installer localement.
Récupérer les paquets cyberwatch et cosign adaptés à la distribution en forçant TLS 1.3 avec les options --tlsv1.3 --tls-max 1.3 :
L’installation du paquet Cyberwatch peut nécessiter l’ajout de dépendances pas encore présentes sur le système telles que docker, logrotate, openssl, bash-completion ou curl par exemple. Il conviendra de les installer à partir des repos de la distribution concernée.
Pour les distributions basées sur Debian (dépôt apt) :
# Le nom exact du paquet cosign (versionné) est visible sur https://dl.cyberwatch.com/apt/incoming/
curl --tlsv1.3 --tls-max 1.3 -JLO https://dl.cyberwatch.com/apt/incoming/cyberwatch.deb
curl --tlsv1.3 --tls-max 1.3 -JLO https://dl.cyberwatch.com/apt/incoming/cosign_<version>.deb
sudo dpkg -i cosign*.deb
sudo dpkg -i cyberwatch.deb
Pour les distributions basées sur Red Hat (dépôt rpm) :
# Le nom exact du paquet cosign (versionné) est visible sur https://dl.cyberwatch.com/rpm/incoming/
curl --tlsv1.3 --tls-max 1.3 -JLO https://dl.cyberwatch.com/rpm/incoming/cyberwatch.rpm
curl --tlsv1.3 --tls-max 1.3 -JLO https://dl.cyberwatch.com/rpm/incoming/cosign-<version>.rpm
sudo rpm -i cosign*.rpm
sudo rpm -i cyberwatch.rpm
3. Import des images de conteneurs via docker load
L’installation télécharge ensuite les images des conteneurs depuis le registre Cyberwatch (harbor.cyberwatch.fr) à l’aide du démon Docker.
Le client TLS du démon Docker officiel n’est actuellement pas conforme au CCN-STIC 807. Il ne doit donc pas être utilisé pour récupérer les images. À la place, télécharger l’archive des images depuis dl.cyberwatch.com (en TLS 1.3) puis les importer localement avec docker load.
Suivre la procédure Télécharger et importer les images des conteneurs en forçant TLS 1.3 sur le téléchargement curl :
export CBW_USER=
export CBW_PASSWORD=
curl --tlsv1.3 --tls-max 1.3 -u "$CBW_USER:$CBW_PASSWORD" -JLO https://dl.cyberwatch.com/download_images
docker image load -i images_cbwonpremise_*.tar.gz
Désactiver le téléchargement des images en configurant la variable CBW_NO_PULL="true" dans le fichier /etc/cyberwatch/config.env.
Les images étant présentes dans le cache local, le démon Docker n’a pas besoin de les récupérer depuis le registre lors de la configuration.
4. Configuration de Cyberwatch
Une fois le paquet installé, les images importées et la désactivation d’ELK positionnée, configurer l’application :
sudo cyberwatch configure
Poursuivre ensuite avec l’assistant d’installation comme décrit dans le déploiement standard avec Swarm.
Cette page couvre le déploiement recommandé avec Docker Swarm. Les mêmes principes s’appliquent aux déploiements Podman : la désactivation d’ELK y est documentée, et l’import manuel des images en TLS 1.3 suit la même logique (podman image load, préchargement dans le registre du cluster). De même pour Kubernetes, il est nécessaire de configurer la global.image.pullPolicy: Never dans le values.yml et de charger les images selon le moteur de stockage d’images associé au cluster Kubernetes. Cela est nécessaire seulement dans le cas où le téléchargement des images ne respecte pas les exigences au regard de TLS 1.3.
Support technique
Pour toute question relative à un déploiement soumis au CCN-STIC 807, contacter le support Cyberwatch :
- par e-mail à support@cyberwatch.com
- par téléphone au +33 1 84 80 88 84