Stratégie de sécurité

La sécurité de ce homelab repose sur une approche defense-in-depth avec plusieurs couches complémentaires.

Couches de protection

Couche 1 : Suricata IPS (NFQUEUE inline)
           ├── 50K+ rules (ET Open + custom)
           └── Drop automatique (malware, CnC, exploits)

Couche 2 : Squid SSL Bump + ClamAV
           ├── Inspection HTTPS transparente (IoT)
           └── Scan antivirus ICAP en temps réel

Couche 3 : WAF nginx + ModSecurity
           ├── OWASP Core Rule Set 4.x
           └── Protection applicative (SQLi, XSS, RCE)

Couche 4 : Firewall VyOS zone-based
           ├── 21 zones, default deny
           └── Micro-segmentation réseau

Couche 5 : Hardening images (FROM scratch)
           ├── Zero shell, zero OS
           └── Surface d attaque minimale

Supply chain

• Compilation from source (pas de binaires pré-compilés tiers)
• Signature cosign OIDC (Sigstore, transparency log)
• SBOM (Software Bill of Materials) sur chaque image
• Scan Trivy + Grype hebdomadaire automatisé
• Version-watch : rebuilds automatiques sur nouvelles versions upstream

Monitoring sécurité

• Graylog : centralisation des logs (DNS, firewall, proxy, web)
• Pipelines d extraction de champs (source_ip, geo, patterns)
• Uptime Kuma : surveillance disponibilité (30+ monitors)
• Prometheus : métriques système et applicatives