Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Cloud IaaS : 15 recommandations pour des serveurs sécurisés

Cloud IaaS : 15 recommandations pour des serveurs sécurisés
2010-05-032013-02-11nouvelles technologiesfr
15 recommandations pour des serveurs sécurisés dans un cloud de type IaaS. Rien de bien magique pour un administrateur système/sécurité expérimenté mais rappeler quelques bonnes pratiques reste...
Publié le 3 Mai 2010 par Jean-François Audenard dans nouvelles technologies
Les services cloud de type IaaS (Infrastructure as a Service) sont peut-être ceux qui viennent le plus naturellement à l'esprit des personnes. Cela est peut-être du au fait que ce niveau de service bénéficie du "halo" de la virtualisation...

Dans une offre de type IaaS, le client souscrit à un service d'hébergement d'un système d'exploitation tournant dans un environnement virtualisé. Une fois le système livré par le prestataire c'est au client de sécuriser son système. L'étendue de ce travail de sécurisation dépendra des besoins du client et ce qui est fournit ou non par le prestataire.

Partons sur le principe que le niveau de service du service IaaS auquel vous venez de souscrire est celui d'entrée de gamme. A vous de vous remontez les manches et de renforcer la sécurité au niveau adéquat.

Je vous donne 15 recommandations pour sécuriser une instance d'une machine virtuelle localisée en Cloud IaaS.

  1. Cryptez tout le trafic réseau
  2. Limitez à un le nombre de services supportés par une instance (*)
  3. Renforcez la sécurité de votre système d'exploitation (Microsoft MBSA, Bastille Linux, ...)
  4. Activez les fonctions de cryptage intégrées aux systèmes de fichiers ou des périphériques en mode bloc
  5. Cryptez toutes les données déposées sur les espaces de stockage (SAN, NAS, ...)
  6. Ne stockez pas vos clefs de décryptage sur l'instance : Celles-ci ne doivent y entrer que durant le processus de décryptage.
  7. N'ouvrez que le minimum de ports réseau requis sur chacune des instances
  8. Déployez régulièrement les correctifs de sécurité (Patchs) tant pour le système d'exploitation que les applicatifs
  9. Faites des scans de détection de vulnérabilités récurrents
  10. Hormis pour les services publics comme HTTP/HTTPS, limitez les adresses IP sources autorisées à se connecter
  11. N'utilisez pas de mots de passe pour les accès en mode console, préférez plutôt les clefs RSA ou certificats SSL clients
  12. Effectuez régulièrement des sauvegardes pour ensuite les rapatriez-les et les stocker en lieu sûr
  13. Installez un système de détection d'intrusion au niveau du système d'exploitation (par exemple OSSEC, CISCO CSA, ...)
  14. Si vous suspectez une intrusion, faites un snaphost de l'instance et stoppez-là. (*)
  15. Développer vos applications de façon sécurisée (OWASP).
Normalement, pour devriez commencer par identifiez vos besoins sécurité pour ensuite sélectionner votre (ou vos) fournisseur(s) et ajouter vous-même ce qu'il(s) ne propose(nt) pas que ce soit dans le niveau de service standard ou dans le cadre d'options.

Je n'ai pas été réinventer la roue : Un serveur IaaS c'est assez similaire à un serveur dédié hébergé chez un prestataire ; enlevez la couche de virtualisation et grosso-modo vous retombez dans un monde connu. Sur les 15 recommandations, seules deux (*) requièrent des techniques liées à la virtualisation.

PS: Rien de bien magique pour un administrateur système/sécurité expérimenté. Surtout qu'avec la virtualisation le copy/paste d'instances virtuelles offre un niveau d'industrialisation que l'on ne connait pas dans les serveurs dédiés. Bon Cloud !

1 Commentaire

  • 4 Mai 2010
    2010-05-04
    par
    16 : Installez un logiciel antivirus

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage