La sécurité des centres de données est un sujet complexe qui ne devrait pas être simplifié dans un avenir rapproché, d’autant plus que le secteur continue à se développer au-delà de l’utilisation d’installations centralisées pour offrir des configurations plus distribuées, analogues à celles de l’informatique de pointe.
Ajoutez à cela le fait que le paysage des menaces des centres de données ne cesse de s’élargir et il va sans dire que de nombreux administrateurs informatiques peuvent se sentir dépassés par le travail à faire pour garantir la sécurité des parcs de serveurs qu’ils supervisent.
Heureusement, il existe un moyen d'examiner les aspects fondamentaux de la sécurité qui peut aider les administrateurs à comprendre d'où viennent les problèmes et à les maîtriser tous.
Ce n'est en aucun cas une liste exhaustive ou exhaustive, car chaque centre de données a une configuration unique, mais il fournit un cadre que les administrateurs peuvent suivre pour aider à verrouiller le centre de données de leurs centres de données pour le rendre moins insurmontable.
Sur ce point, tous les problèmes de sécurité des centres de données concernent généralement trois choses différentes, notamment les problèmes de confidentialité.
La première catégorie consiste à empêcher la perte ou l’appropriation illicite de données par des personnes qui ne devraient pas y avoir accès. Cela inclut non seulement les données perdues lors de piratages ou d'exploits, mais peut être (et est souvent) le fait d'individus au sein de l'organisation qui accèdent aux données dans le but de les vendre, par exemple. Il peut également s'agir de mises au rebut, de supports amovibles ou d'un processus d'élimination inapproprié.
La deuxième catégorie de problèmes concerne les situations qui nuisent à l’intégrité des données d’une entreprise.
L'intégrité des données est un élément clé pour toute entreprise hautement performante, et les informations qu'elle contient doivent être à la fois précises et fiables.
L'intégrité des données peut potentiellement être compromise de plusieurs manières, notamment par des tests et une validation inappropriés des applications, ainsi que par la saisie des données et des contraintes imposées à ces données.
Par exemple, la base de données doit être utilisée correctement, en vérifiant que les applications fonctionnent comme prévu, qu'elles sont correctement testées et que leur publication est correctement contrôlée.
Impact des utilisateurs
Les utilisateurs peuvent également avoir un impact important sur l'intégrité des données – par exemple, la possibilité de les éditer là où ils ne devraient peut-être pas. L'octroi de droits appropriés et d'autres contrôles peut aider ici.
La troisième catégorie de problèmes concerne la disponibilité des données et l'infrastructure responsable de leur traitement.
La disponibilité est ce à quoi beaucoup de gens pensent quand on parle de sécurité de l'information. Cela se résume à la simple question: «Le système est-il disponible pour être utilisé?» S'il a été crypté ou supprimé par un programme malveillant, par exemple, il ne le sera certainement pas.
Cette catégorie couvre également un large éventail de problèmes affectant la disponibilité, tels que les pannes matérielles, les catastrophes naturelles et la disponibilité des utilitaires.
À ce stade, l'administrateur peut penser que le scénario dans son ensemble est une cause perdue, mais il s'agit de problèmes et de menaces qui doivent être gérés.
Cela peut être réalisé en déployant l’un des trois types de contrôles de gestion, le premier pouvant être qualifié d’administrateur.
Ces contrôles peuvent être utilisés par l'entreprise pour gérer les risques. Des exemples simples incluent l’adoption d’une politique d’utilisation acceptable (AUP) autour de la technologie afin que les utilisateurs sachent et comprennent ce que l’on attend d’eux.
D’autres exemples incluent la suppression de l’accès avant la cessation de l’emploi d’une personne et donc l’impossibilité d’accéder au système après la cessation.
Il existe de nombreux exemples d'employés mécontents licenciés qui conservent néanmoins l'accès pendant un certain temps leur permettant d'accéder à des systèmes qu'ils ne devraient plus pouvoir utiliser.
La catégorie suivante de contrôles concerne les contrôles de sécurité physique, qui sont généralement très visibles de l'extérieur du centre de données et dissuadent les voleurs opportunistes. Les exemples incluent la vidéosurveillance, les clôtures anti-bombes et les pièges à hommes
Certaines de ces méthodes pourraient être considérées comme excessives pour une petite entreprise, avec un datacentre relativement modeste ayant besoin de protection, mais il ne faut jamais négliger la possibilité de contrôler qui a accès à la salle de communication ou au datacentre.
Serveurs volés lors d'un raid de bélier
Dans le passé, il est arrivé que des centres de données et des salles de communication volent des serveurs lors d’un raid de bélier à travers le mur extérieur, en raison de l’absence de bornes et de clôtures pour se protéger contre de telles attaques de sécurité physique relativement peu sophistiquées.
Le troisième et dernier type de contrôle est classé comme technique. Celles-ci couvrent l'accès des personnes à un système (accès basé sur les rôles, discrétionnaire, obligatoire, etc.), ainsi que la journalisation de ce qui se passe dans l'environnement, qui peut accéder à quoi et ce qu'il fait.
Les contrôles techniques qu'une entreprise peut employer peuvent être nombreux et variés, en fonction de ses besoins. Au-delà du contrôle d'accès et de l'audit, ils peuvent également inclure des éléments très complexes, tels que le contrôle d'accès réseau (NAC), les systèmes de protection basés sur l'hôte et le chiffrement de périphérique.
L'audit et la journalisation, bien que n'étant pas une nouvelle technologie, peuvent être essentiels non seulement pour comprendre ce qui se passe dans votre environnement, mais également pour produire un enregistrement vérifiable, si nécessaire.
Il existe donc diverses actions à prendre en compte lors du développement et de la mise en œuvre d'une politique de sécurité pour les centres de données. Développer et utiliser des contrôles efficaces consiste à décomposer les problèmes en parties simples et à utiliser des mesures correctives ciblées, plutôt que d'essayer de trouver une solution globale.
Commentaires
Laisser un commentaire