Magazine Internet

Cloud IaaS : 15 recommandations pour des serveurs sécurisés

Publié le 03 mai 2010 par Orangebusinessservices
Les services cloud de type IaaS (Infrastructure as a Service) sont peut-être ceux qui viennent le plus naturellement à l'esprit des personnes. Cela est peut-être du au fait que ce niveau de service bénéficie du "halo" de la virtualisation...
Dans une offre de type IaaS, le client souscrit à un service d'hébergement d'un système d'exploitation tournant dans un environnement virtualisé. Une fois le système livré par le prestataire c'est au client de sécuriser son système. L'étendue de ce travail de sécurisation dépendra des besoins du client et ce qui est fournit ou non par le prestataire.
Partons sur le principe que le niveau de service du service IaaS auquel vous venez de souscrire est celui d'entrée de gamme. A vous de vous remontez les manches et de renforcer la sécurité au niveau adéquat.
Je vous donne 15 recommandations pour sécuriser une instance d'une machine virtuelle localisée en Cloud IaaS.
  1. Cryptez tout le trafic réseau
  2. Limitez à un le nombre de services supportés par une instance (*)
  3. Renforcez la sécurité de votre système d'exploitation (Microsoft MBSA, Bastille Linux, ...)
  4. Activez les fonctions de cryptage intégrées aux systèmes de fichiers ou des périphériques en mode bloc
  5. Cryptez toutes les données déposées sur les espaces de stockage (SAN, NAS, ...)
  6. Ne stockez pas vos clefs de décryptage sur l'instance : Celles-ci ne doivent y entrer que durant le processus de décryptage.
  7. N'ouvrez que le minimum de ports réseau requis sur chacune des instances
  8. Déployez régulièrement les correctifs de sécurité (Patchs) tant pour le système d'exploitation que les applicatifs
  9. Faites des scans de détection de vulnérabilités récurrents
  10. Hormis pour les services publics comme HTTP/HTTPS, limitez les adresses IP sources autorisées à se connecter
  11. N'utilisez pas de mots de passe pour les accès en mode console, préférez plutôt les clefs RSA ou certificats SSL clients
  12. Effectuez régulièrement des sauvegardes pour ensuite les rapatriez-les et les stocker en lieu sûr
  13. Installez un système de détection d'intrusion au niveau du système d'exploitation (par exemple OSSEC, CISCO CSA, ...)
  14. Si vous suspectez une intrusion, faites un snaphost de l'instance et stoppez-là. (*)
  15. Développer vos applications de façon sécurisée (OWASP).
Normalement, pour devriez commencer par identifiez vos besoins sécurité pour ensuite sélectionner votre (ou vos) fournisseur(s) et ajouter vous-même ce qu'il(s) ne propose(nt) pas que ce soit dans le niveau de service standard ou dans le cadre d'options.
Je n'ai pas été réinventer la roue : Un serveur IaaS c'est assez similaire à un serveur dédié hébergé chez un prestataire ; enlevez la couche de virtualisation et grosso-modo vous retombez dans un monde connu. Sur les 15 recommandations, seules deux (*) requièrent des techniques liées à la virtualisation.
PS: Rien de bien magique pour un administrateur système/sécurité expérimenté. Surtout qu'avec la virtualisation le copy/paste d'instances virtuelles offre un niveau d'industrialisation que l'on ne connait pas dans les serveurs dédiés. Bon Cloud !

Retour à La Une de Logo Paperblog

A propos de l’auteur


Orangebusinessservices 590 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazine