Sécuriser vos tests en mode SaaS avec une architecture dédiée

Un des principaux griefs évoqués à l’utilisation d’outils de tests en mode SaaS est la sécurité et la protection des données sensibles. En effet, les environnements de test sont, par essence, disponibles sur des espaces privés et généralement internes… donc faire tester son système de l’extérieur génère de la méfiance vis-à-vis de la sécurité des données…

Comment allier la puissance des services dans le cloud (SaaS) et la sécurisation des environnements de tests ?

Contexte des environnements de test

Les environnements de tests sont déployés, la plupart du temps, sur des environnements internes au sein d’une usine logicielle. L’infrastructure peut être « on premise » ou en mode Cloud mais toujours en mode « privée ». Les jeux de données de tests peuvent être 100% dédiés ou issus de la production, ils sont dans tous les cas confidentiels.

Un système qui effectue un test doit donc être amené à accéder à ces environnements. Il doit également garantir qu’il ne stocke pas de données sensibles à l’extérieur, ou qu’elles sont sécurisées.

L’objectif des équipes QA est de mettre à disposition un système à tester dans son environnement d’exécution avec tous les paramétrages nécessaires. Par exemple le service CI (intégration continue) déploie un site Web à tester sur un serveur Web et initialise les bases de données avec des jeux de tests. La phase de test à proprement parler peut alors démarrer et le site Web est alors tester par un système qui reproduit des scénarios fonctionnels. Par exemple on instancie des navigateurs Web (Chrome, Firefox) qui parcourent le site avec des parcours fonctionnels prédéfinis (Badaud / Tunnel d’achat / …).

On identifie 2 systèmes distincts : celui de l’applicatif à tester avec toutes ses ressources (le système à tester) et celui qui instancie et exécute les ressources de test (le système de test).

Test en mode SaaS : Avantages des systèmes dans le cloud

Les solutions de tests en mode SaaS ont l’énorme avantage de décharger les équipes de tests de la gestion matérielle et logicielle de l’infrastructure de run, de l’exécution des tests et du reporting.

En effet, un système de test est complexe à mettre en place et particulièrement à maintenir. Outre les aspects purement matériels, l’évolution logicielle permanente (Nouvelles versions des navigateurs, update des OS, nouveaux téléphones, …) oblige une veille constante et un paramétrage logiciel complexe et chronophage.

Le temps d’exécution des tests est également un point critique. Le mode SaaS, par essence Cloud, permet la parallélisation des exécutions et l’optimisation des runs. Tout est géré par un système d’orchestration optimisé avec des systèmes auto-remédiation et de contrôle des erreurs.

Un autre point essentiel des systèmes de tests dans le cloud est leur faculté native de reporting et d’enregistrement de toutes les actions dans le Cloud, en garantissant la persistance des résultats dans le temps. Il peut être en effet très intéressant de comparer une erreur détectée aujourd’hui avec celle que l’on a eu il y a 6 mois…

Les aspects de référentiels et de plans de tests centralisés sont aussi des avantages fortement appréciés.

Les partages des résultats de tests entre les équipes techniques, fonctionnelles, managériales, est fortement facilitée en passant par une solution cloud. Des Dashboards et KPIs sont disponibles pour des analyses dans le temps.

Les équipes QA restent concentrées sur le cœur de métier, à savoir maintenir une couverture de tests opérationnels, détecter les régressions et analyser les résultats d’exécution d’un plan de test. Ils sont entièrement libérés du temps passé à gérer l’infrastructure du système de test. (ex : updater des navigateurs ou déployer la nouvelle version d’iOS…)

Les avantages d’un système de test en mode SaaS (cloud) sont donc indéniables mais voyons maintenant comment garantir la sécurité et la protection de vos données de test avec un cloud privée et sécurisé via VPN.

Comment agréger les 2 systèmes dans un espace garantissant la sécurité ?

L’objectif est donc de concevoir un espace sécurisé privé où le système à tester et le système de test vont cohabités.

L’intégration d’un système de test en mode SaaS dans une architecture à tester fermée et sécurisée doit répondre aux impératifs suivants :

• Aucun des systèmes ne doit être exposé publiquement sur Internet
• Aucune donnée ne doit être exportée ou sauvegardée dans une base de données partagée
• Tous les échanges doivent être chiffrés et sécurisés

Pour répondre à ces impératifs, CloudNetCare propose une architecture en Cloud Privé sécurisée via VPN.

Comment marche le cloud privée via VPN ?

Un Cloud privé est créé, entièrement dédié par système à tester. Une base de données, un système d’orchestration, l’hébergement de l’application CloudNetCare, l’API Rest, et toutes les ressources de run (Navigateurs, Emulateurs Téléphones, téléphones réels) sont instanciés dans ce Cloud privé et accessibles uniquement sur un réseau privé virtuel (VPN) sécurisé non accessible en dehors de ce VPN. Ce Cloud privé n’est pas exposé sur Internet et les accès VPN sont configurés entre des postes définis préalablement par contrats afin de garantir la sécurité de vos données. Pour faciliter l’accès aux ressources privées, la configuration d’un service DNS est prévue dans le paramétrage initial. Toutes les données potentiellement sensibles sont identifiées et encryptées en base de données (Etapes de scénarios de test sécurisées) pour vous offrir une protection maximum.

Cette architecture garantie la sécurité des environnements de test et des données. Tous les services CloudNetCare sont isolés et la sécurisation du système et des données est garantie par contrat (Responsabilité légale d’un opérateur Cloud privé)

La garantie sécurité de tests en mode Saas

En mettant en place un certain nombre de principes et une architecture spécifique, il est tout à fait possible de tester en toute sécurité un système critique interne avec une solution de test en mode SaaS. L’objectif d’optimiser le temps des équipes QA qui restent alors concentrées sur leur métier est alors atteint. Toutes les tâches techniques liées à l’infrastructure de test sont externalisées et le cloud privé garantie la sécurité. Les résultats accessibles aux personnes habilitées sont sécurisés et persistés dans le temps. La configuration reste très simple et s’appuie sur une architecture entièrement logicielle (VPN, DNS, Cloud privé, …) parfaitement maitrisées par les équipes CloudNetCare pour garantir la sécurité de vos données de test.