Cinq conseils pour sécuriser votre centre de données

De nombreuses enquêtes menées auprès des décideurs IT citent la question de sécurité et de haute disponibilité comme le frein principal à l’adoption du modèle du Cloud. Voici quelques pistes pour faire face à ces problématiques.

Après une vague d'attaques de grande ampleur contre des sociétés de services financiers et des sites marchands, les centres de données Internet sont maintenant de plus en plus fréquemment la cible de cybercriminels qui créent de nouvelles attaques auxquelles ils sont vulnérables. Il n'est donc pas étonnant que les opérateurs de centres de données Internet, publics ou privés, doivent désormais revoir leurs défenses contre les attaques par déni de service distribuées (DDoS). Ces attaques sont celles qui risquent le plus de dégrader rapidement la disponibilité de leurs services.
 
Les attaques par déni de service (DoS), jusque-là volumétriques - c'est-à-dire tentant simplement de saturer des connexions vers des serveurs de données - deviennent plus complexes et se concentrent sur les applications pour cibler des services spécifiques. Ces attaques sont difficiles à identifier car elles consomment peu de bande passante et elles menacent une multitude de services, depuis le e-commerce jusqu'aux DNS, en passant par la messagerie et la banque en ligne.
 
Voici cinq conseils pour sécuriser votre centre de données :
 
1.   Protégez les centres de données contre les menaces qui ne peuvent être bloquées par les autres équipements de sécurité
Les opérateurs ont tendance à déployer des pare-feu (firewalls) et des systèmes de prévention d'intrusion (IPS) en frontal de leurs centres de données. Bien qu'ils constituent des éléments essentiels d'une stratégie de sécurité globale, les firewalls et les IPS n'offrent pas de solutions efficaces pour contrer les attaques DDoS. Au contraire, du fait que ces équipements conservent constamment des informations d'état pour chaque session ouverte entre un client sur Internet et le serveur correspondant dans le centre de données, ils sont eux-mêmes couramment la cible d'attaques DDoS. Selon l'étude[1] sur la sécurité des infrastructures mondiales en 2010, une grande majorité des centres de données Internet qui ont déployé ces équipements ont connu, pendant la période étudiée, des pannes de firewalls et/ou de systèmes IPS résultant directement d'attaques DDoS.
 
Récemment, NSS Labs a publié un rapport de test comparatif des firewalls : "Network Firewall Comparative Group Test Report", qui relève deux problèmes majeurs. Le premier problème concerne la stabilité, trois des six modèles de firewalls considérés n'ayant pu rester opérationnels après avoir été soumis à des tests de stabilité lors des attaques. Le second problème est apparu quand des hackers ont réussi à tromper les  dispositifs de sécurité pour franchir le firewall. On peut donc en conclure que les firewalls et IPS ne sont pas efficaces contre les attaques DDoS.
 
2.   Assurez la disponibilité de la ressource la plus importante : les services du centre de données
La disponibilité des services doit être considérée avant toute chose car aucun autre aspect ne compte si les services ne sont pas accessibles. Si les utilisateurs ne peuvent pas accéder aux services hébergés dans le centre de données, toutes les autres préoccupations en matière de sécurité, par exemple l'intégrité et la confidentialité, ne sont simplement plus de mise. Les opérateurs doivent donc prendre en compte les attaques DDoS, dès la conception de leurs règles de sécurité. De leur côté, les entreprises doivent elles aussi tenir compte de ces mêmes menaces dans leur évaluation des prestataires 'Cloud'.
 
Lorsque des services Internet sont rendus indisponibles par des attaques, il peut en résulter de lourdes conséquences pour l'activité des entreprises. Ne serait-ce que quelques minutes d'interruption peuvent coûter très cher. Cela peut en outre ternir l'image de marque, nuire à la productivité des salariés, voire aboutir à des pénalités au regard d'engagements de niveau de service.
 
3.   Protégez l'infrastructure et la connectivité du centre de données ainsi que les services et les données des clients
Au-delà de la protection des services critiques contre les attaques DDoS, les opérateurs doivent être conscients des risques qui pèsent sur l'infrastructure et les points d'entrée-sortie de leurs centres de données. Une attaque DDoS à grande échelle contre l'infrastructure peut au départ être bloquée sur site dans le centre de données mais, à mesure que l'attaque gagne en volume, l'opérateur du centre de données doit collaborer avec ses fournisseurs d'accès Internet (FAI) ou ses prestataires de services de sécurité (MSSP) en amont pour la contrer.
 
Les opérateurs de centres de données doivent mettre en place des procédures de communication avec les fournisseurs de bande passante. Il est également crucial de s'appuyer sur des technologies qui optimisent les communications entre la périphérie du centre de données et les prestataires en amont. Il est en effet très risqué d'avoir à improviser un plan ad-hoc lors d'une attaque.
 
4.   Il est indispensable d'avoir une bonne visibilité sur les flux de données à la fois en amont et à l'intérieur des infrastructures des centres de données
La sécurité passe par la visibilité. En cas d'attaque il est crucial de pouvoir prendre les bonnes décisions se basant sur des informations fiables et 'fraiches' pour pouvoir mettre en place les bonnes défenses très rapidement. Les opérateurs de centres de données doivent investir dans des outils de visibilité et d'exploitation, de façon à pouvoir appréhender correctement la situation pour traiter efficacement les attaques.

Grâce à des solutions de gestion des informations et des évènements de sécurité (SIEM) ou encore aux technologies NetFlow, les opérateurs de centres de données pourront comprendre d'où proviennent les menaces extérieures ainsi que la nature du trafic à l'intérieur du centre de données. Cette visibilité peut contribuer à prévenir l'accès ou la destruction d'informations par des personnes non autorisées. Elle peut également permettre de détecter les menaces pour la disponibilité des services avant que les clients ne soient touchés.
 
5.   Détectez les menaces émergentes en regardant au-delà des limites du centre de données
Face à l'évolution constante des menaces, les opérateurs ont besoin d'une vision 'panoramique' de l'Internet pour déceler les tendances émergentes et bloquer les nouvelles menaces. Cette vision globale est cruciale pour élaborer des règles de défense qui seront implémentées dans les solutions de sécurisation des centres de données pour déjouer les menaces émergentes et prévenir les attaques. Les opérateurs doivent donc être capables de voir au-delà des limites du centre de données afin de le sécuriser efficacement.

[1] Étude publiée par Arbor Networks en Janvier 2011.

Autour du même sujet