ARCHITECTURE
Un plan de contrôle unifié pour Kubernetes.
Un plan de contrôle unifié, des agents légers déployés dans chaque cluster, et des intégrations natives avec votre stack existante. Voici ce qui se cache derrière le diagramme.
-
Plan de contrôle centralisé
Pilotez politiques, conformité et clusters depuis un seul plan. API REST sécurisée par JWT et OIDC, frontend Vue 3, base PostgreSQL 16, bus d'événements NATS.
- Dashboards live (clusters, violations, score de conformité)
- Policy Center : assignation, audit/enforce, exceptions TTL
- Audit Engine : journal immuable, exports JSON/syslog
- Reporting : PDF signé Cosign, hash SHA-256
-
Agents cluster
Agents Kubernetes-natifs déployés dans chaque cluster client. Mode air-gap supporté. Communication HTTPS sortante uniquement (mTLS).
- Heartbeat : 30s
- Kyverno : enforcement local des politiques
- Runtime Collector (à venir) : eBPF, Falco/Tetragon
- Footprint : < 50 Mi RAM par agent
-
Intégrations natives
Aegis Vetis ne réinvente pas la roue. Nous nous appuyons sur l'écosystème CNCF et nous intégrons à votre stack opérationnelle.
- Kyverno (policies)
- Kubescape, Trivy (posture / vulnérabilités)
- Prometheus / Grafana (observabilité)
- Argo CD, Falco/Tetragon (à venir)
- SIEM Graylog/Splunk/Sentinel (à venir)
-
Couche de données
PostgreSQL 16 chiffré au repos, schéma versionné via golang-migrate. Stockage des artefacts (rapports PDF, scans bruts) sur volume persistant ou objet souverain.
- PostgreSQL 16 (HA optionnel via patroni)
- Migrations idempotentes
- Sauvegardes pgbackrest
- Aucune donnée client envoyée hors de votre infrastructure
-
Sécurité de la plateforme
Aegis Vetis applique à elle-même ce qu'elle exige des autres : durcissement, signatures Cosign, distroless, mTLS par défaut, RBAC strict.
- Images distroless signées Cosign keyless
- mTLS Control Plane ↔ agents (cert-manager + CA interne)
- RBAC Kubernetes least privilege
- Pen-test annuel, threat model documenté
- Disclosure responsable : 90 jours