Sécurité du datacenter Qu’est-ce que la sécurité du datacenter ?
La sécurité des données est le processus qui vise à protéger les données numériques contre les accès non autorisés, la corruption ou le vol pouvant résulter d’une violation de la sécurité physique, d’une violation de données ou d’une cyberattaque.
La vague croissante de trafic est-ouest (de serveur à serveur) au sein des datacenters redéfinit les exigences de sécurité. Le débit et le volume atteints par ce trafic est-ouest dans les environnements d’applications virtualisés et conteneurisés imposent de nouvelles solutions de sécurité, notamment dans les scénarios de mutualisation exigeant une sécurité zero trust.
- Sécurité du datacenter et zero trust
- Les composants d’un datacenter sécurisé
- Principes fondamentaux du zero trust
- Qu’est-ce que la sécurité des terminaux ?
- Pourquoi la sécurité de l’infrastructure est-elle importante ?
- Une nouvelle génération de fabric de datacenter sécurisé
- Migration du fabric de datacenter
Sécurité du datacenter et zero trust
Les menaces de cybersécurité ont évolué de façon spectaculaire ces dernières années. Aujourd’hui, les acteurs malveillants sont plus motivés que jamais à s’immiscer dans les datacenters des entreprises pour y dérober des informations précieuses. Du point de vue du datacenter, cela implique de se méfier par défaut de toute entité présente sur le réseau et de tout trafic n’ayant pas été explicitement autorisés par une politique de sécurité.
Avec les applications orientées microservices, le trafic peut ne jamais être inspecté par un pare-feu matériel, un IPS ou tout autre appareil de sécurité, ce qui entraîne une vulnérabilité aux attaques provenant de l’intérieur même de l’entreprise.
Selon le NIST SP 800-207, « Les modèles de sécurité zero trust partent du principe qu’un attaquant est présent dans l’environnement » et qu’une architecture zero trust est « conçue pour éviter les violations de données et limiter les mouvements latéraux internes ».
Les deux plus grandes menaces pour les datacenters sont :
- Les attaques contre l’infrastructure : Dans la mesure où les entreprises dépendent de leurs actifs technologiques pour maintenir leurs activités, protéger leur infrastructure technologique revient à assurer leur propre protection. Les attaques ciblant les composants du datacenter (stockage, calcul et réseau) entraînent des pertes de performances, de disponibilité, de données propriétaires et de propriété intellectuelle qui à leur tour nuisent à la rentabilité de l’entreprise.
- Cyberattaques : Les cybermenaces visant l’infrastructure technologique vont des tentatives d’hameçonnage aux attaques par ransomware ou par déni de service distribué (DDoS) et aux botnets IoT. Des systèmes de sécurité dédiés avec surveillance avancée, application des politiques sensible aux applications et détection des menaces garantissent que les applications critiques et orientées client peuvent fonctionner de manière transparente.
Les composants d’un datacenter sécurisé
La sécurité du datacenter moderne exige visibilité granulaire, contrôle par politiques, et détection et atténuation automatisées des menaces – sans complexité supplémentaire.
1. Visibilité complète
Les réseaux de datacenter évoluent rapidement. Le défi le plus urgent est de maintenir la stabilité opérationnelle et la visibilité pour les utilisateurs lors du déplacement ou de la mise à niveau des ressources de calcul et de stockage.
Bien que la télémétrie de nombreux types d’infrastructures de sécurité puisse être agrégée, cette opération prend souvent du temps et n’identifie les problèmes qu’une fois qu’ils se sont produits.
2. Segmentation
Pour définir correctement la politique déterminant quelles connexions sont autorisées ou doivent être refusées, il est nécessaire de comprendre les différents profils utilisateur associés aux applications et aux données. Une fois les prérequis identifiés, il devient possible de développer des profils appropriés pour l’accès au datacenter. La segmentation est une séparation logique des hôtes du datacenter entre lesquels une politique de sécurité peut être appliquée.
La segmentation assure une inspection stateful de l’ensemble du trafic est-ouest du datacenter, et applique des politiques pour stopper les acteurs malveillants dans leurs déplacements latéraux au sein du réseau interne. La microsegmentation offre une forme de segmentation qui ne nécessite pas de refonte de l’architecture.
La microsegmentation peut être appliquée à un sous-ensemble d’hôtes nécessitant un niveau de contrôle élevé, ou plus largement afin de maximiser la sécurité d’un datacenter.
3. Blocage des menaces
Une infrastructure de datacenter moderne doit impérativement être capable de détecter les menaces à l’avance et de limiter les attaques. Une politique de gestion centralisée à partir d’une vue unifiée permet d’atténuer et de bloquer les menaces inconnues.
Le réseau doit nécessairement bénéficier d’une segmentation et d’une microsegmentation automatisées et fondées sur des règles, et les appliances de sécurité centralisées ne permettent pas d’étendre efficacement les flux de trafic. Le hairpinning vers des appliances matérielles situées à l’edge du datacenter entrave les performances des applications, limite l’évolutivité, et fait grimper les coûts ainsi que la latence.
Principes fondamentaux du zero trust
Grâce à leurs mécanismes de vérification et d’attestation en continu, les architectures de sécurité zero trust permettent de détecter rapidement de nombreux types de cyberattaques et, bien souvent, de stopper les intrusions avant qu’elles ne se produisent. Un modèle zero trust prend en charge la microsegmentation, qui permet de séparer les ressources du réseau de façon à contenir facilement les menaces.
Visibilité complète
Avec l’adoption croissante de l’IoT, l’obtention d’une visibilité totale sur tous les appareils et utilisateurs du réseau est devenue une tâche de plus en plus importante et complexe. Sans visibilité, les contrôles de sécurité critiques qui soutiennent le modèle Zero Trust sont difficiles à appliquer. L’automatisation, le machine learning basé sur l’IA et la possibilité d’identifier rapidement les types de devices sont essentiels.
Authentifier et autoriser
Ne jamais faire confiance, toujours vérifier. Plusieurs méthodes d’authentification peuvent être utilisées pour prendre en charge simultanément divers cas d’utilisation, notamment l’authentification multifacteur fondée sur les horaires de connexion, les vérifications de politique et différents critères contextuels tels que nouvel utilisateur, nouvel appareil, etc.
Contrôle d’accès basé sur l’identité pour un accès selon le principe du moindre privilège
L’accès basé sur l’identité selon le principe du moindre privilège permet aux utilisateurs et aux appareils d’accéder aux seules ressources nécessaires à l’exercice de leurs fonctions, et uniquement dans la mesure où ils se comportent conformément à leur rôle. Une politique de contrôle d’accès limite l’accès aux ressources et l’ajuste de manière dynamique en cas d’observation d’un comportement anormal ou de suspicion de violation.
Qu’est-ce que la sécurité des terminaux ?
La sécurité des terminaux protège les actifs les plus précieux de l’entreprise (les données) contre les vulnérabilités et les menaces en sécurisant les terminaux du réseau (les matériels tels qu’ordinateurs de bureau, ordinateurs portables, tablettes et autres appareils mobiles utilisés pour accéder au réseau de l’entreprise). Voici les différents types de sécurité des terminaux :
- Contrôle d’accès réseau (NAC) : Utilise des pare-feux pour contrôler l’accès des terminaux au réseau.
- Prévention de la perte de données : protège les fichiers ou les données piratés/exfiltrés par phishing ou via des logiciels malveillants installés sur les terminaux.
- Classification des données : identifie les données les plus sensibles de votre entreprise en les hiérarchisant par degré de vulnérabilité, de façon à pouvoir adapter les modalités d’accès à ces données.
- Filtrage d’URL : limite le nombre de sites Web auxquels les terminaux peuvent se connecter, et assure une protection contre les logiciels malveillants.
- Sécurité du périmètre du cloud : place un pare-feu autour des données et des applications sensibles basées sur le cloud afin de déterminer quels terminaux peuvent accéder aux données.
- Sandboxing : met en place un environnement virtuel imitant le réseau afin de permettre au terminal de l’utilisateur de fonctionner tout en limitant l’accès aux informations sensibles.
Pourquoi la sécurité de l’infrastructure est-elle importante ?
Avec l’interconnectivité accrue et l’adoption croissante des services cloud, des microservices et des composants logiciels à l’échelle des différentes plateformes cloud et des environnements edge des réseaux d’entreprise, la sécurisation de l’infrastructure technologique devient plus complexe et plus incontournable que jamais. Adopter des architectures de sécurité zero trust est un moyen pour les entreprises de relever ce défi.
Dans le même temps, il est très important de former les employés à la sécurité des mots de passe et des informations d’identification pour protéger l’infrastructure IT, car l’élément humain peut être le maillon le plus faible de la stratégie de sécurité d’une entreprise. La sécurité de l’infrastructure met en œuvre la protection des données sur l’ensemble du périmètre technologique d’une entreprise à travers ces quatre niveaux :
- Physique : protection des infrastructures physiques contre le vol, le vandalisme, etc. Les plans de récupération des données intégrant des sauvegardes hors site dans différentes zones géographiques font également partie d’une stratégie de sécurité physique.
- Réseau : surveillance du trafic réseau entrant et sortant, que ce soit sur site, dans le cloud au moyen d’un pare-feu, ou par authentification multifacteur (MFA), en vue d’effectuer une vérification avant d’autoriser l’accès aux ressources réseau.
- Application : vérifier que les mises à jour des logiciels et du firmware sont distribuées et appliquées sur l’ensemble du réseau de l’entreprise, car les logiciels obsolètes peuvent contenir des vulnérabilités exploitables par les cyberattaquants pour accéder aux systèmes informatiques.
- Données : assurer la protection des données à l’aide des mesures de sécurité des terminaux d’entreprise les plus courantes : filtrage d’URL, outils antivirus, sandboxing, passerelles e-mail sécurisées, outils de détection et réponse des terminaux (EDR), et chiffrement des données.
Une nouvelle génération de fabric de datacenter sécurisé
Les réseaux des datacenters ont évolué au cours de la dernière décennie, offrant des topologies de type leaf-spine ultraperformantes de 25/100/400 Gbit/s pour faire face au volume et à la vitesse des architectures d’application émergentes. En revanche, les architectures de sécurité et de services sont restées à la traîne.
À la différence des approches traditionnelles de sécurité périmétrique, les architectures modernes de sécurité zero trust considèrent la confiance comme une vulnérabilité. Elles partent du principe qu’aucun utilisateur, même s’il est autorisé à pénétrer sur le réseau, ne devrait bénéficier de la confiance par défaut, car il pourrait être compromis. L’attestation et l’authentification des identités et des appareils sont requises sur l’ensemble du réseau. Chaque composant du réseau doit, de manière indépendante, établir sa fiabilité et être authentifié par tout autre composant avec lequel il interagit, y compris du point de vue des mesures de sécurité ponctuelles existantes. Les principes fondamentaux de la stratégie sécurité zero trust :
- Ne jamais faire confiance, toujours vérifier
- Présumer l’existence d’une violation
- Vérifier explicitement
Une architecture de services distribués étend le zero trust plus loin dans la profondeur du datacenter – jusqu’à la limite entre réseau et serveur – afin d’assurer une microsegmentation fine, une évolutivité majeure et une sécurité renforcée des charges de travail stratégiques.
Migration du fabric de datacenter
Solutions, produits et services connexes
Sujets connexes
Solutions architecturales cloud centrées sur l’edge et orientées données de HPE Aruba Networking.