Glossaire et FAQ

1. Glossaire

aegisctl — CLI livré avec la plateforme pour les tâches opérationnelles : construction et import de bundles air-gap, rotation des secrets, export d’audit, génération de configuration.

Agent (aegis-agent) — Pod déployé dans chaque cluster client. Il maintient le heartbeat avec le Control Plane, applique les policies assignées, scrape les PolicyReport Kyverno et orchestre les scans Kubescape et Trivy.

Bootstrap token — Token à usage unique, TTL 24 h, généré par le Control Plane à la création d’un cluster. Utilisé une seule fois par l’agent pour s’enregistrer ; remplacé immédiatement par un token long-terme.

Compliance score — Note de 0 à 100, calculée par cluster et par référentiel à partir des contrôles techniques satisfaits, pondérés par la criticité métier de chaque contrôle.

Control Plane — Le centre de la plateforme : API REST, base de données, worker de jobs, UI. Déployé une fois pour superviser N clusters.

Cosign — Outil de signature d’artefacts compatible Sigstore. Aegis Vetis l’utilise pour signer les rapports PDF et les bundles air-gap.

CRD AegisCluster — Custom Resource qui représente l’identité du cluster côté agent : URL du Control Plane, état (Pending / Active / Disconnected), version Kubernetes.

CRD AegisException — Custom Resource namespacée qui matérialise une exception à une policy : justification, ticket, expiration. L’agent la traduit en PolicyException Kyverno.

CRD AegisPolicySet — Custom Resource cluster-scoped qui liste les policies à appliquer sur le cluster, leur mode (audit / enforce) et leur version.

Enforce / Audit — Modes d’application d’une policy. En mode audit, la violation est journalisée mais la ressource est admise. En mode enforce, la violation bloque la création ou la mutation à l’admission.

Exception — Autorisation temporaire et tracée d’une violation. Voir Conformité §4.

Framework — Référentiel de conformité : CIS Kubernetes Benchmark, NIS2-inspired, SecNumCloud-inspired. Chaque framework est mappé en contrôles techniques (policy Kyverno, contrôle Kubescape, finding Trivy).

Honesty layer — Convention éditoriale d’Aegis Vetis : chaque fonctionnalité non livrée porte un badge explicite (Coming, Beta, Roadmap). La plateforme dit ce qu’elle fait, ce qu’elle ne fait pas encore, et quand. Les rapports PDF reproduisent cette transparence.

Kubescape — Scanner open-source de posture cluster, intégré comme sous-composant. Évalue le cluster contre des contrôles CIS et NSA-CISA.

Kyverno — Moteur de policy-as-code Kubernetes natif. Aegis Vetis s’appuie sur Kyverno pour l’admission et l’audit, sans réécrire son moteur.

PolicyReport — Ressource Kubernetes standardisée (wgpolicyk8s.io/PolicyReport) qui consolide les violations détectées par les moteurs de policy. L’agent les scrape pour les pousser au Control Plane.

Posture scan — Évaluation périodique d’un cluster contre un référentiel, à la différence de l’admission qui se fait au fil de l’eau. Aegis Vetis combine les deux.

Référentiel — voir Framework.

Trivy — Scanner de vulnérabilités open-source, intégré comme sous-composant pour scanner les images des workloads en cours d’exécution.

2. FAQ — RSSI et conformité

Quels référentiels Aegis Vetis couvre-t-il ? CIS Kubernetes Benchmark, NIS2-inspired et SecNumCloud-inspired sur la version courante. HDS, ISO 27001 et PCI-DSS sont sur la roadmap. Le mapping de chaque référentiel est livré avec la plateforme et versionné — chaque rapport indique la version exacte du mapping utilisé.

Aegis Vetis attribue-t-il une certification ? Non. La plateforme produit des preuves techniques inspirées de ces référentiels. La certification reste de la responsabilité de votre auditeur. Cette mention figure en clair sur chaque rapport et sur l’UI.

Comment vérifier qu’un rapport n’a pas été altéré ? Chaque rapport PDF embarque un SHA-256 et est signé Cosign. La clé publique est exposée par l’API (/api/v1/reports/cosign.pub). La vérification fonctionne hors-ligne avec cosign verify-blob. Voir Conformité §6.

Peut-on conserver un rapport pendant 5 ans et le vérifier plus tard ? Oui. La clé publique Cosign et le rapport suffisent à la vérification offline ; aucun service externe (Rekor) n’est appelé. L’archivage de la clé publique avec votre dossier d’audit est une pratique recommandée.

Les exceptions sont-elles tracées ? Oui. Création, modification et révocation génèrent un événement d’audit horodaté avec l’identité de l’acteur, la justification et la référence ticket. Le journal d’audit est exportable en JSON ou CSV.

Que devient un cluster qui perd la connexion au Control Plane ? L’agent continue à appliquer localement les policies déjà déployées (via Kyverno) — la posture sécurité du cluster n’est pas dégradée. Les violations sont mises en file et poussées dès la reconnexion. Le cluster passe en état Disconnected côté UI au-delà de 5 min sans heartbeat.

3. FAQ — Platform engineer

Quelles distributions Kubernetes sont supportées ? k3s, rke2, vanilla kubeadm, kind (testées). OpenShift en best effort, sans certification Red Hat à ce stade.

Aegis Vetis nécessite-t-il un accès Internet sortant en production ? Non. Le mode air-gap est de premier ordre : install offline et runtime offline sont supportés. Voir Air-gap.

Combien de ressources prévoir pour le Control Plane ? 4 vCPU / 4 Gi de RAM pour démarrer, 8 vCPU / 16 Gi recommandés au-delà de 5 clusters supervisés. La base PostgreSQL embarquée par défaut peut être externalisée.

Aegis Vetis remplace-t-il Kyverno dans nos clusters ? Non. Aegis Vetis utilise Kyverno comme moteur d’admission. Si vous avez déjà Kyverno installé, le chart agent peut être configuré pour ne pas le redéployer (kyverno.enabled: false) et se contenter de pousser des ClusterPolicy.

Peut-on superviser plusieurs clusters depuis un seul Control Plane ? Oui. C’est le cas d’usage principal : un Control Plane, N agents. Le multi-cluster est en bêta sur la version courante (limite soft à 10 clusters par déploiement, en cours de durcissement).

Comment rotater les clés Cosign ? Procédure documentée : générer une nouvelle paire, ajouter la clé publique en seconde clé acceptée par l’API, basculer la signature des nouveaux rapports vers la nouvelle clé privée, déprécier l’ancienne après archivage. Le détail figure sur la page Sécurité.

Comment exporter les événements d’audit vers un SIEM (Splunk, Elastic, etc.) ? L’API GET /api/v1/audit?from=&to= retourne du JSON. Un export syslog forwarder est fourni en option dans le chart (audit.syslog.enabled: true). Un export bidirectionnel — avec ack du SIEM — est sur la roadmap.

4. Aller plus loin

• Quick start — première démo en 15 minutes.
• Installation — déploiement production-ready.
• Architecture — comprendre la plateforme.
• Conformité — référentiels, scoring, rapport PDF.
• Air-gap — déploiement souverain offline.