À quoi sert une infrastructure air-gapped
Le terme air-gapped (ou « cloisonné physique ») désigne un environnement informatique sans aucune connexion réseau avec internet ni avec les réseaux d'entreprise standard. L'isolation est physique : pas de câble routable vers l'extérieur, pas de Wi-Fi, pas de Bluetooth actif. Les données entrent et sortent uniquement par transfert contrôlé (clé USB scannée, diode réseau unidirectionnelle, sas applicatif).
L'objectif est de neutraliser une classe entière de menaces : exfiltration de données par malware, command-and-control distant, intrusion via faille zero-day exposée sur internet. Si l'environnement n'a aucun chemin réseau vers l'extérieur, ces vecteurs d'attaque deviennent inopérants par construction.
Les cas d'usage typiques
Secteurs régulés sensibles. Défense, renseignement, infrastructures critiques (énergie, distribution d'eau, télécommunications). Certaines obligations contractuelles ou légales imposent l'air gap.
Données ultra-confidentielles. Cabinets d'avocats sur dossiers stratégiques, banques privées sur informations clients très sensibles, médecine de recherche sur cohortes patients identifiantes. Le risque d'exfiltration justifie la friction opérationnelle accrue.
Systèmes industriels (OT/ICS). SCADA, automates programmables, lignes de production. L'air gap protège la production physique contre les attaques cyber. Bien que la convergence IT/OT brouille cette frontière, l'air gap reste la référence pour les environnements ICS critiques.
Backup ultime. Une copie de sauvegarde air-gapped (immutable, hors connexion réseau) protège contre les ransomwares qui chiffrent toutes les sauvegardes accessibles en ligne. Cette pratique, appelée « immutable backups » ou « air-gapped vault », devient un standard post-2022.
Air gap et Kubernetes
Déployer Kubernetes dans un environnement air-gapped pose des défis spécifiques :
- Registry d'images privé : aucune image ne peut être tirée depuis Docker Hub. Toutes les images doivent être pré-positionnées dans un registry interne (Harbor, Quay) avec un processus de mise à jour contrôlé.
- Helm charts privés : même logique, pas de téléchargement direct depuis Artifact Hub. Un dépôt Helm interne reflète les charts validés.
- Patches kernel et OS : pas de yum update / apt update vers internet. Un miroir interne reflète les paquets validés.
- Logs et monitoring : pas d'envoi vers SaaS externe (Datadog, New Relic). Stack 100% interne (Prometheus, Loki, Grafana).
- Mises à jour Kubernetes : downgrade impossible, donc tests rigoureux avant chaque upgrade.
L'effort opérationnel est typiquement 2 à 3 fois supérieur à un cluster non air-gapped. Hidora opère plusieurs environnements air-gapped pour des clients du secteur public et financier suisse via des distributions K8s adaptées (RKE2, OpenShift) et des pipelines de propagation d'images automatisés.
Air gap vs réseau privé
Beaucoup d'organisations parlent d'air gap pour désigner en réalité un réseau privé isolé (VLAN, VPN dédié, segment derrière firewall). C'est une isolation logique, pas physique. La différence est critique : un VLAN « isolé » expose toujours une surface d'attaque via les équipements de routage, alors qu'un air gap vrai supprime cette surface.
Pour les usages où le compromis sécurité/productivité penche vers la productivité, un réseau privé est généralement suffisant. Pour les usages où le compromis penche vers la sécurité maximale, l'air gap reste la référence.
Services Hidora associés
- Consulting : conception d'architectures air-gapped, choix de distribution Kubernetes adaptée, mise en place des pipelines de propagation d'images.
- Managed Services : exploitation d'environnements air-gapped pour clients régulés avec procédures dédiées.
- Cloud souverain, Kubernetes, DRP : briques associées dans une stratégie de souveraineté forte.