Aller au contenu principal

Modèle de sécurité

Sur Fransys, la sécurité n'est pas une option à activer — c'est le comportement par défaut. Chaque cluster, chaque bloc, chaque déploiement est configuré avec les bonnes pratiques de sécurité dès le départ.

Secure by default

Quelle que soit votre configuration, Fransys applique automatiquement :

  • SSL/TLS sur toutes les connexions — Certificats Let's Encrypt générés et renouvelés automatiquement. Aucune application n'est accessible en HTTP non chiffré.
  • Isolation réseau — Chaque projet est isolé au niveau réseau. Les blocs d'un projet communiquent entre eux, mais sont invisibles depuis les autres projets du même cluster.
  • Credentials générés automatiquement — Les mots de passe des bases de données, les clés API des services (Soketi, etc.) sont générés par Fransys avec des valeurs fortes et uniques. Pas de mot de passe par défaut.
  • Variables d'environnement protégées — Les valeurs sensibles (mots de passe, secrets) sont masquées dans l'interface et stockées de manière sécurisée.

Isolation des services

Chaque bloc déployé tourne dans son propre conteneur, avec ses propres ressources et son propre espace réseau. Cette isolation garantit que :

  • Un bloc compromis ne peut pas accéder aux données d'un autre bloc non connecté
  • Les ressources d'un bloc (CPU, RAM) ne peuvent pas impacter les performances d'un autre
  • Les communications entre blocs passent uniquement par les connexions explicitement configurées sur le canvas

Accès aux bases de données

Par défaut, les bases de données ne sont pas accessibles depuis l'extérieur du cluster. L'option Remote database access doit être explicitement activée pour ouvrir l'accès — et même dans ce cas, la connexion est chiffrée.

Rollback et résilience

  • Rollback automatique — Si un déploiement échoue, la version précédente est restaurée immédiatement
  • Health checks continus — Fransys surveille l'état de chaque service et redirige le trafic en cas de défaillance
  • Backups automatiques — Les données PostgreSQL sont sauvegardées automatiquement avec une rétention configurable

Ce que vous n'avez pas à faire

Sur Fransys, vous n'avez pas à :

  • Configurer un certificat SSL
  • Écrire des règles de firewall
  • Gérer des secrets dans un vault externe
  • Durcir la configuration Kubernetes
  • Configurer l'isolation réseau entre services

Tout est appliqué nativement. Vous vous concentrez sur votre code — Fransys sécurise l'infrastructure.