Isolation et tenancy

Chaque app tourne dans sa propre machine virtuelle légère. Pas de noyau partagé, pas de fuite latérale possible.

Modèle d'isolation

La plateforme utilise des micro-VMs pour isoler les apps. Chaque micro-VM a :

  • Son propre noyau Linux minimal, démarré en moins de 200 ms
  • Son propre espace mémoire, pas de partage avec d'autres VMs
  • Sa propre interface réseau virtuelle
  • Son propre système de fichiers, monté en lecture seule pour le code (couches de l'image OCI), en lecture-écriture pour les volumes éphémères

Pourquoi pas des conteneurs partagés ?

Dans un PaaS classique avec conteneurs partagés, plusieurs tenants exécutent leurs processes sur le même noyau. Si une vulnérabilité dans le noyau permet une évasion (CVE escape), un attaquant peut passer d'un tenant à l'autre.

Avec des micro-VMs, l'isolation est garantie au niveau de la couche d'hyperviseur. Une CVE noyau d'un tenant ne touche pas les autres.

Coût en performance ?

Démarrage à froid : 200-400 ms (vs 50-100 ms pour un conteneur). Acceptable pour la plupart des apps web.

Débit réseau et IO : équivalent aux conteneurs sur du matériel moderne (passthrough virtIO).

Isolation des données

Chaque app a ses propres :

  • Variables d'environnement et secrets (chiffrés au repos par tenant)
  • Volumes persistants (bind-mount par VM, jamais partagés)
  • Connexions réseau aux addons (autorisations par règles iptables strictes)

Les addons (Postgres, Valkey, etc.) sont eux aussi isolés : une instance dédiée par client en plan Pro et Entreprise. En starter, plusieurs schémas peuvent partager une instance, mais avec isolation au niveau base de données et utilisateurs.

Organisations et équipes

L'isolation s'applique aussi au niveau des organisations :

  • Une organisation est un namespace de facturation et de RBAC
  • Les apps d'une organisation ne voient pas les apps d'une autre
  • Les membres d'une organisation ne voient pas les apps d'une autre, sauf invitation explicite

Audit de l'isolation

L'audit logs trace tout accès cross-tenant tenté. Aucun en condition normale. Si vous voulez auditer votre propre isolation (pen test), c'est autorisé contractuellement sur vos propres apps, sans procédure exceptionnelle.