NEBULA — Infrastructure Enterprise-Grade¶
Infrastructure conçue comme une plateforme de production — segmenté, durci, observé, automatisé.
En chiffres¶
| 13 VMs sur Proxmox VE | 14 couches de hardening (CIS/OWASP) |
| 12 VLANs segmentés (zero trust inter-VLAN) | 25 règles Wazuh custom (Auditd + Tetragon eBPF) |
| 15 services SSO natif (OIDC/SAML) + 12 forward-auth | Pipeline SOAR 3 branches (Wazuh → MISP → IRIS → Velociraptor) |
| 43 images Docker surveillées (Renovate, scan 6h) | CrowdSec IPS/WAF collaboratif (50+ scénarios) |
| GitOps complet (9 webhooks, deploy ~10s) | 2FA TOTP + Password Policy (zxcvbn + HaveIBeenPwned) |
Architecture¶
graph TB
subgraph EDGE["Edge & Accès"]
CF[Cloudflare Tunnel] --> TF[Traefik<br/>Reverse Proxy]
TS[Tailscale<br/>VPN Mesh] --> TF
TF --> AK[Authentik<br/>SSO / OIDC / SAML]
end
subgraph FW["Firewall — VLAN 30"]
FWGW[fw-gw<br/>nftables + Suricata IDS]
end
subgraph SOC["SOC — VLAN 60"]
WZ[Wazuh SIEM] --> SH[Shuffle SOAR]
SH --> MISP[MISP<br/>Threat Intel]
SH --> IRIS[IRIS<br/>Incident Mgmt]
SH --> VR[Velociraptor<br/>EDR / DFIR]
TT[Tetragon eBPF] --> WZ
end
subgraph APPS["Applications — VLAN 40/50"]
NC[Nextcloud]
VW[Vaultwarden]
GT[Gitea + GitOps]
MX[Matrix/Synapse<br/>+ Element]
OW[Open-WebUI<br/>+ Ollama]
IM[Immich]
end
subgraph MON["Monitoring — VLAN 80"]
PR[Prometheus] --> GF[Grafana]
UK[Uptime Kuma]
end
CF --> FWGW
FWGW --> SOC
FWGW --> APPS
FWGW --> MON
AK --> APPSCompétences démontrées¶
- Segmentation 12 VLANs avec nftables deny-all par défaut
- WiFi WPA3-Enterprise 802.1X (FreeRADIUS + Authentik LDAP)
- Firewall audité et durci (6 findings, 4 corrigés)
- IDS réseau Suricata (48 838 règles ET Open)
- IPS/WAF CrowdSec collaboratif + whitelist interne
- Wazuh SIEM avec 25 règles custom (Auditd + Tetragon)
- Tetragon eBPF kernel monitoring sur toutes les VMs
- Shuffle SOAR — pipeline automatisé 3 branches :
- Tetragon → MISP IOC check → IRIS ticket → Velociraptor live response
- Suricata → MISP IP check → IRIS ticket → Velociraptor netstat
- Syscheck → MISP hash check → IRIS ticket + escalade
- Corrélation Wazuh → MISP → IRIS end-to-end
- Authentik SSO centralisé (15 services OIDC/SAML natif)
- Forward-auth Traefik (12 fichiers, tous services protégés)
- Omada SAML SSO avec Relay State custom
- Groupes multi-utilisateurs avec quotas OIDC automatiques
- 2FA TOTP + Password Policy (zxcvbn + HaveIBeenPwned)
- Recovery flow complet (email setup + mot de passe oublié)
- 14 couches de hardening alignées CIS Benchmark / OWASP :
- Boot (GRUB PBKDF2) → Kernel (sysctl 17 params, auditd immuable)
- Filesystem (noexec, UMASK 027) → Auth (SSH clé only, ciphers AEAD)
- Containers (no-new-privileges, icc false) → Headers (HSTS, CSP, 8 headers)
- IPS/WAF (CrowdSec) → SOC (Auditd → Wazuh → IRIS)
- Vault HA Raft 3 nœuds + PKI + Transit unseal (planifié)
- Consul service mesh + DNS
*.service.nebula(planifié) - Jenkins pipeline 11 stages avec Sentinel Policy as Code (planifié)
- Terraform import infrastructure existante (planifié)
- DORA Metrics + Drift Detection automatique (planifié)
- Repo HyperdriveCore — toute l'infra versionnée
- 9 webhooks Gitea → deploy automatique (~10s)
- Renovate — 43 images Docker surveillées, PR automatiques
- SMTP relay centralisé (Postfix/Brevo, 7 services)
- PBS backup chiffré quotidien (14 VMs, restauration testée 159s)
Par où commencer ?¶
Recruteur / Manager
Commencez par l'Architecture pour une vue d'ensemble, puis le SOC Pipeline pour voir le niveau sécurité.
Ingénieur / Technique
Le Hardening 14 couches et les Post-mortems montrent la démarche technique et le troubleshooting.
Curieux / Découverte
La page Stack technique explique chaque outil et son rôle dans l'infrastructure.
Infrastructure self-hosted sur HP DL380 Gen9 · Proxmox VE · 100% automatisé · Documentation générée par MkDocs Material