> Tech > A l’intérieur du data center

A l’intérieur du data center

Tech - Par iTPro - Publié le 24 juin 2010
email

  Si les intrus franchissent le périmètre de sécurité et pénètrent dans le data center, il est encore possible de détecter leur présence et de ralentir leurs activités. Vous pouvez essayer les méthodes suivantes.

  Surveillance électronique. Un spécialiste de la sécurité vous aidera à  panacher plusieurs systèmes de détection électroniques

dans un ensemble homogène : caméras (visibles et cachées), enregistreurs vidéo, commutateurs de portes, détecteurs de mouvements, capteurs sonores, cellules photo-électriques, commutateurs de proximité, capteurs à  infrarouges, commutateurs de portes d’armoire et technologies sans fil. Contrôlez soigneusement les informations sur les détails et l’emplacement des appareils de surveillance installés.

  Sécurité de la console. Certaines consoles renforcent la sécurité de connexion des utilisateurs en limitant les noeuds auxquels certains d’entre eux peuvent accéder. Les restrictions d’accès permettent aux utilisateurs de contrôler uniquement les machines figurant sur leur liste d’autorisation. Les intrus peuvent bien sûr connecter leur propre moniteur, clavier et souris aux serveurs pour franchir cet obstacle, mais cela demande du temps supplémentaire, particulièrement si les racks du serveur sont correctement verrouillés.

  Sécurité des racks. La plupart des racks de serveurs ont des portes avant et arrière verrouillables. Portes et serrures peuvent être forcées, mais il est beaucoup plus difficile d’atteindre les interrupteurs, les lecteurs de disques et commutateurs de PDU (Power Distribution Units) du serveur. Escamotez ou enlevez les roues des racks pour qu’ils soient plus difficiles à  déplacer. Ne laissez aucun outil (tournevis, clé, etc.) sur le site : ils pourraient servir pour forcer des portes et enlever des pièces.

  Surveillance externe. Vous utilisez probablement déjà  des scripts ou une application pour superviser la réactivité du serveur et pour signaler des déconnexions de serveur, des arrêts de service et autres. Mais il est probable que cette surveillance s’effectue au moyen d’un serveur ou d’une station de travail dédiée, dans le data center. Installez un noeud de supervision secondaire à  l’extérieur de la salle du serveur. Ce noeud déclenchera une alarme si un intrus désactive la connexion du réseau ou arrête l’unité principale pour empêcher que les pages de notification ne sortent de la salle du serveur. La mise en place et l’exploitation de cette supervision secondaire doivent être très discrètes, avec un minimum d’intervenants et une liste de destinataires des pages triée sur le volet.

  Accès distant au serveur. Des outils d’administration à  distance comme VNC (Virtual Network Computing) d’AT&T Laboratories Cambridge, Timbuktu de Netopia, pcAnywhere de Symantec, et Windows 2000 Server Terminal Services en mode Administrative peuvent faire gagner du temps en donnant un accès facile aux serveurs sécurisés. Malheureusement, ces outils peuvent aussi permettre un accès non autorisé, exactement comme si l’intrus était assis devant la console. Les fournisseurs de maintenance utilisent souvent RAS (Remote Access Service) pour accéder aux serveurs à  des fins de mises à  niveau du logiciel et de diagnostic des problèmes. Certains outils d’accès distant utilisent un mot de passe par serveur pour l’ensemble des utilisateurs. Si vous utilisez de tels outils, changez leur mot de passe régulièrement et n’agréez qu’un petit groupe d’utilisateurs. La désactivation des outils d’accès distant et de RAS est probablement la meilleure manière d’empêcher un intrus de s’en servir comme porte d’entrée virtuelle dans la salle du serveur.

  Inventaire et étiquettes d’identification. Tenez l’inventaire de tout le matériel informatique susceptible d’être emporté lors d’un cambriolage (serveurs, lecteurs de disque, moniteurs, par exemple) et fixez des étiquettes d’inventaire ou autres marques d’identification sur ces appareils. Une fois par an, comparez l’équipement réel aux registres. En cas de cambriolage, ces pratiques aideront à  voir ce qui manque et à  identifier les appareils retrouvés.

  Supervision des connexions en dehors des heures de travail normales. Appliquez la règle selon laquelle les administrateurs et les utilisateurs du data center doivent se déconnecter (log off) en fin de journée. Vous pouvez utiliser l’utilitaire économiseur d’écran Winexit dans le Microsoft Windows NT Server 4.0 Resource Kit ou le Microsoft Windows 2000 Server Resource Kit pour déconnecter automatiquement les utilisateurs après un certain temps d’inactivité. A l’aide des scripts ou des applications, surveillez les connexions (logons) en dehors des heures normales, enregistrez-les et déclenchez des pages le cas échéant ou si des comptes administrateurs ont été utilisés. Une connexion hors heures normales peut être parfaitement légitime, ou l’oeuvre d’un intrus qui utilise des références obtenues de manière illicite pour accéder au système.

  Sécurité des bandes de sauvegarde. Prévoyez un double jeu de bandes de sauvegarde : un rangé sur place et le second à  l’extérieur. En cas de destruction des bandes de sauvegarde principales et des serveurs, le second jeu de bandes hors site sera précieux pour rétablir la situation. Si la société a d’autres bureaux proches, demandez à  leurs administrateurs s’ils disposent d’une salle sécurisée et s’ils veulent participer à  une stratégie de stockage sur bande mutuelle. Faute de lieu sûr dans la société, adressez-vous à  une société externe spécialisée dans l’archivage des supports et medias.

  Evaluez les risques, discutez du niveau d’exposition et des solutions possibles avec la direction, et mettez en oeuvre les contre-mesures ad hoc. (Pour quelques étapes supplémentaires, voir l’encadré « D’autres mesures de sécurité physiques »). En tant que directeur informatique ou administrateur de système, vous avez déjà  protégé vos données d’entreprise par des moyens de permission, d’audit et de supervision appropriés. Il est tout à  fait logique d’étendre ces protections au data center physique lui-même. Vous dormirez mieux la nuit.

Téléchargez gratuitement cette ressource

Sécurité Office 365 : 5 erreurs à ne pas commettre

Sécurité Office 365 : 5 erreurs à ne pas commettre

A l’heure où les données des solutions Microsoft de Digital Workplace sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités Microsoft 365, Exchange et Teams ? Découvrez les 5 erreurs à ne pas commettre et les bonnes pratiques recommandées par les Experts DIB France.

Tech - Par iTPro - Publié le 24 juin 2010