La sécurité des data center, comment vos données sont protégées?

Published in

INSA TC

10 min readNov 3, 2020

Un centre de données (data center en anglais) est une infrastructure comprenant des serveurs, des équipements du réseau, la source d’alimentation d’énergie, ou des câbles et des racks physiques. Les applications principales du datacenter est d’organiser, de stocker et d’exploiter de grandes quantités de données. Sachant que ces informations sensibles sont maintenant la cible principale de cyberattaque, la sécurisation du centre de données contre ces menaces devient très important et il présent, donc de nombreux challenges potentiels. Aujourd’hui, un data center peut être dit sécurisé, si les entreprises s’assurent et respectent plusieurs grands principes.

La sécurité du physique

Le système de surveillance et d’authentification de l’infrastructure

En cas des cyberattaques ou accidents internes dans le data center, les entreprises prévoient des protocoles existants pour y surveiller des équipements informatiques et des activités humaines. Par exemple, le UPS (uninterruptible power supply) surveille la qualité de l’alimentation d’énergie ou la santé de la batterie, les unités de refroidissement contrôlent l’entrée et la sortie de température et l’état du filtre. Ces équipements sont plus ou moins les points de cyberattaques des hackers, ces types de menaces envisagent d’interrompre la source d’alimentation d’énergie du datacenter, donc de dépasser tous ses systèmes d’authentification, comme le cas du “Ukrainian Power Plant” [1]. Afin de créer et effectuer ces protocoles de surveillance, des appareils automatiques dont des capteurs de température, d’humidité, de fuites ponctuelles, de fumée et de mouvement, se tous mettent en place dans le centre des données. Les ingénieurs même interagissent et contrôlent ces détecteurs d’éléments à distance pour collecter et traiter des données liées aux incidents physiques, grâce aux outils des gestionnaires d’infrastructure de centre de données (ou DCIM). A l’aide de ces outils, les administrateurs sont capable de détecter, de mesurer et voire d’analyser des risques physiques dans le data center. Des outils connus parmi eux sont “Schneider StruxureWare For Data Centers”, “Emerson Network Power Trellis Nlyte Software Nlyte 7”, et “HP Asset Manager” [2].

Le data center fait également l’objet d’une protection contre tout risque venant de l’extérieur : vols, vandalisme, etc, sachant que la plupart des intrusions visent à cambrioler ou voire bloquer les données essentielles comme les données personnelles, les données bancaires. A cause de ces attaques, les entreprises pourront perdre leurs activités, leurs confiances du clients, plein d’argents, plein de temps,etc… Alors, le moyen le plus optimal et stratégique de sécuriser cet établissement, est de le gérer en termes de différentes couches.

Différentes couches de sécurité physique

La première couche serve à détecter et à retarder tout accès personnel non autorisé sur le data center, à travers du système de vidéosurveillance 24/7. La deuxième couche contrôle l’accès au bâtiment, en appliquant des systèmes tels que des accès par le badge, et de la biométrie

pour limiter uniquement l’accès au personnel autorisé. La troisième couche renforce encore ce contrôle d’accès par des moyens de vérifications sérieuses: tourniquets ou sas unipersonnel

, des authentifications biométriques comme les empreintes des doigts et du pouce, les iris,…. La dernière couche de défense se concentre sur la protection des équipements vitaux du data center contre les accès non autorisés grâce à un mécanisme de verrouillage électroniques des salles serveurs. En assemblant toutes ces couches de sécurité, les entreprises établissent un strict protocole de surveillance de l’accès physique au centre de données où tous les accès sont tracés et enregistrés par les systèmes d’authentification [3].

La sécurité du réseau

La segmentation du réseau

En plus de la protection du data center contre les menaces physiques, une sécurisation de la connexion du réseau joue un rôle primordial important. Un des meilleures pratiques de cette sécurité est de segmenter le réseau avec le mécanisme de la micro-segmentation, qui aide les entreprises à segmenter un réseau jusqu’à chaque hôte individuel, donc à isoler la surface d’attaque sur un seul hôte. Il y a certains moyens principaux de mettre en oeuvre cette technique:

La segmentation basée sur le réseau sépare les réseaux en vlan par hôte et limite en chaque vlan déterminé la surface d’attaque, pour la réduire à un seul hôte. Il permet de gérer et appliquer les politiques de pare-feu en dehors des charges de travail ou de l’hyperviseur.
La segmentation basée sur l’hyperviseur autorise les techniciens à réaliser la micro-segmentation et l’isolation du réseau dans l’hyperviseur pour un centre de données défini par logiciel avec des trafics virtuels.
La segmentation basée sur l’hôte met en pratique la fonctionnalité de pare-feu native intégrée directement aux charges de travail pour fournir des contrôles de politique distribués et précis.

Grâce à une stratégie de micro-segmentation bien structurée sur place, les techniciens ont une visibilité complète sur les actifs et les activités dans le système d’information. Ils donc, arrivent à intégrer les politiques de sécurité dans le processus de déploiement, en assurant que ce processus ne crée pas de nouvelles attaques. Particulièrement, ils sont capables de contrôler les activités et les politiques de la couche applicative( couche 7), ce qui limite le mouvement latéral du réseau à certains flux connus et sécurisés. Un autre avantage de la micro-segmentation est qu’il autorise les techniciens à réagir en temp réel aux violations présumées, en surveillant les flux et les activités par rapport à des politiques prédéfinies. Enfin, Cette technologie apporte aux entreprises une diminution de la surface d’attaque du réseau et aussi une augmentation de la résistance contre les attaques comme les attaques issues de ransomwares sur le réseau, ou celles sur les applications [4] [5].

Le pare-feu et le système de détection d’intrusion

D’autant plus, le data center consolide ses couches de défense de cybersécurité par le firewall et le système de détection d’intrusion (IDS) afin de lutter contrer de nouvelles menaces et cyberattaques. En effet, il y a de différentes modes de déploiement du système de pare-feu :

Le pare-feu à états: un pare-feu dynamique qui maintient l’état de toutes les connexions du réseau qui le traversent. Il remplace des listes de contrôle d’accès traditionnelles dans l’objectif de la sécurisation du réseau.
La nouvelle génération du pare-feu (NGFW): Ce firewall fait partie des technologies de pare-feu de 3e génération. Il apporte aux techniciens le contrôle d’utilisateurs et d’applications, le système de prévention des intrusions (IPS), la détection avancée des logiciels malveillants tels que le sandboxing, le filtrage URl et l’analyse des informations des menaces.

Alors que les menaces à la sécurité continuent de croître, les entreprises envisagent de développer une nouvelle technologie de pare-feu qui leur permet d’analyser la menace de sécurité en temp réel, en ajoutant des fonctionnalités utiles supplémentaires [6]. A côté du pare-feu, le système de détection d’intrusion (IDS) et de prévention d’intrusion (IPS) est une autre solution pour lutter contre les cyberattaques extérieures. Ce système surveille le trafic du réseau à la recherche de signes d’une éventuelle attaque issue des applications malveillantes et à risque, et puis il prend des mesures pour l’arrêter ou la bloquer. Le IDS/IPS identifie ces menaces à partir de la détection des signes d’exploits connus, et de la détection statistique des anomalies. La plupart des entreprises installent un système de prévention des intrusions basé sur le réseau (NIPS) en ligne derrière le pare-feu, et un système de prévention des intrusions basé sur l’hôte (HIPS) se trouve sur des terminaux [7].

La sécurité des données

La protection des données

A l’ère de la digitalisation, les données deviennent plus énormes et plus précieux pour les entreprises, elles font varier dans pleine de domains: les informations personnelles, la gestion des commandes ou d’achat, les données stratégiques et financières, voire des données médicales ou des données bancaires. La sécurisation de ces données est extrêmement importante, car une unique réussie attaque visant à les voler ou à les altérer, est apte de mettre en péril les entreprises et les clients. C’est pourquoi, en plus de respecter des principes fondamentaux dans le stockage des données, certains datacentre doivent également acquérir des certifications pour héberger des données critiques (bancaires, santé, gouvernementales, …). Des conformités connues sont :

l’ISO/CEI 27001 : c’est une norme internationale la plus connue de cette famille (ISO/CEI), elle met en valeur les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). Autrement dit, cette norme ordonne que le mesurement en sécurité du data center soient adéquates et proportionnées aux risques encourus et donc ne pas être ni trop laxistes ni trop sévères [8].
HIPPA/HDS: HIPPA (Health Insurance Portability and Accountability Act) est une réglementation moderne utilisée en État-Unis, en matière de gestion de dossiers médicaux pour les entreprises américaines, elle établit à la fois des mesures de protection supplémentaires lors de la modification de la situation médicale des clients, et des règles normalisées pour le stockage et l’exploitation des dossiers médicaux personnels. En plus, HDS est une certification des hébergeurs de données de santé, utilisée en France [9].
PCI DSS (Payment Card Industry Data Security Standard): tous les entreprises stockant et traitant les données bancaires sont obligés de se conformer à cette norme de sécurité des données. En appliquant ce standard, les entreprises assument la responsabilité des protections appropriées des données des titulaires de cartes contre le le cyberattaque et toute utilisation frauduleuse [10].
Autre conformités: SSAE 18, ISO 20000–1, SecNumCloud en France, FedRAMP en État-Unis,…

Et encore une fois, afin de manager et d’assurer sérieusement ces conformités, l’architecture de la micro-segmentation se met en place. Autrement dit, avec cette technologie, les ingénieurs configurent les politiques de sécurité isolant les systèmes liés par ces réglementations du reste de l’infrastructure, et gouvernent les activités de ces systèmes sous des conditions de ces régulations.

La récupération des données dans le data center

Vu que les données sont les éléments les plus vitaux dans un centre des données, les entreprises doivent appliquer des mécanismes de la reprise des données en cas du vol ou de l’altération. En fait, un des moyens très basiques est d’une part, d’y installer un système de la redondance des données ainsi que des équipements: les serveurs, les routeurs, les systèmes d’alimentation d’énergie,etc. D’autre part, les entreprises doivent prévoir un plan de reprise d’activité et de continuité d’activité (PRA/PCA) pour assurer une protection fiable des données et une restauration efficace du système. De sorte à élaborer ce plan, il leur faut analyser des risques d’interruption et des vulnérabilités dans leur système et ensuite mesurer leurs impacts sur leur data center. Afin de faire cette mesure, les techniciens doivent examiner tous les équipements, tous les logiciels et tous les protocoles utilisés dans leur systèmes. Ils ensuite déterminent des risques potentielles associées à ces éléments, ainsi que leur nature, leur fréquence et leur influence, et donc, trouvent ceux les plus susceptibles de se produire, dans le centre des données. Donc, sachant en avant ces informations, les techniciens sont aptes de réaliser les stratégies de sécurisations les plus adaptées pour résoudre des problèmes comme quels secteurs de réseaux doivent être supervisé en continu ou en temps réel et par quels outils, quels protocoles utilisés en cas d’interruption, à chaque quel moment ils sauvegardent les données,etc…. À côté de cela, les entreprises nécessitent à prévoir certains scénarios où ces risques d’interruptions ont lieu, afin qu’ils puissent analyser l’impact de ces menaces sur leur affaires et aussi prendre en mesure des solutions. A partir de cette analyse, ils sont capables de planifier la stratégie de la reprise la plus appropriée à chaque cas spécifique et de faire des tests sur ces plans pour mesurer leurs efficacités. Par exemple, les techniciens informatiques lancent un dans une scénario où certains serveurs du système du datacenter s’arrêtent à cause des pannes ou des attaques, et puis ils mesurent la capacité du système de continuer à travailler sans interruption, à travers des serveurs redondants et aussi le temps à prendre pour restaurer les arrêtés serveurs [11][12].

Le surveillance/audit du réseau dans le data center

Du fait que le pare-feu, le système de détection d’intrusion et les applications du réseau génèrent énormément énormément de données à la fois un système de collecte et analyse ces données s’installent au data center.

Diagramme de la surveillance des différents systèmes [13]

Généralement, SIEM, et SOAR sont les 2 systèmes les plus utilisés [14]:

SIEM (security information and event management): c’est un système de collecte et d’agrégation toutes les données issues des applications et des équipements. Ensuite il les identifie et analyse pour détecter et alerter des cyberattaques potentielles ou des activités anormales, en utilisant des marqueurs (Indicators of Compromission) et certains font de l’UAB (User Activity Behavior).
SOAR (security orchestration, automation and response): ce système focalise sur la compréhension des données collectées, le management des cas spécifiques de sécurité et notamment la capacité de répondre automatiquement aux incidents ou aux attaques détectés selon ses solutions prédéfinies de ces menaces

Conclusion

Aujourd’hui, les données hébergées au data center, que les clients utilisent chaque jour, sont très précieux, de telle sorte que les fournisseurs doivent s’assurer les mesures de sécurité appropriées de leur centre informatique. Parce que un centre de données insécurisé peut conduire des un nombre des cyberattaques comme DDOS (distributed denial of service), l’attaque du système d’énergie, l’attaque sur SCADA (supervisory control and data acquisition), l’attaque de Man in the Middle,…, qui visent à voler ou à violer les données et les applications. Heureusement, avec l’augmentation des technologies de data center, ces entreprise sont capables d’y intégrer une architecture de sécurité robuste et adaptée, celle qui protège entièrement leur système, de la partie de l’accès physique à celle de l’accès du réseau contre les menaces extérieures ou intérieures.