Vincent Ouin,
directeur Legrand Data Center Solutions France
Tant que vous pouviez raisonnablement vous assurer qu’aucune personne non autorisée n’avait accès à votre infrastructure, tout allait bien. Les temps ont changé. Les exigences réglementaires croissantes requièrent désormais que les systèmes et données sensibles possèdent leurs propres protections.
Ainsi, en tant que responsable de centre de données, vous ne pouvez plus vous limiter à vous assurer que seul le personnel informatique autorisé pénètre effectivement dans le centre de données. Vous devez suivre et surveiller l’accès à des systèmes sensibles spécifiques, et vous assurer que les personnes disposent des droits appropriés sur un domaine donné. Vous devez également être en mesure de fournir une piste d’audit détaillée concernant les personnes qui ont accédé à ces systèmes, quand ont eu lieu ces accès et ce qu’elles ont fait à chaque fois.
En d’autres termes, la sécurité physique et la conformité au niveau du rack sont indispensables.
Bien entendu, la conformité revêt un aspect différent selon les secteurs industriels. Les mandats décrits par HIPAA ne sont pas exactement les mêmes que ceux de SOX. Et les exigences de la norme PCI DSS 3.2 ne sont pas exactement les mêmes que celles de SSAE 16. Mais indépendamment de cela, l’objectif principal des normes de conformité est similaire : s’assurer que les systèmes et données les plus sensibles sont spécialement protégés contre les accès inappropriés et que la conformité avec les mandats réglementaires peut être documentée de façon précise.
Les principales réponses à la sécurité
et à la conformité au niveau du rack :
- Les verrous d’armoires qui peuvent être gérés à distance,
- L’authentification par badge qui permet au personnel autorisé d’accéder rapidement à toutes les armoires auxquelles il est autorisé,
- Des caméras présentes au sein des racks qui réalisent des vidéos et des photos en direct, automatiquement marquées avec des données pertinentes (heure, date, ID utilisateur, données système, actions, etc.) pour la documentation d’audit et l’analyse judiciaire,
- L’intégration à un DCIM et/ou à tout autre système de contrôle d’accès, pour faciliter la mise en œuvre d’un seul point de contrôle et la centralisation de toutes les pistes d’audit liées à la sécurité/ conformité,
- Les protections par chiffrement et par détection pour assurer l’intégrité des dispositifs de sécurité et des systèmes d’audit au niveau du rack,
- L’alerte/alarme en temps réel qui avertit les intervenants appropriés,
- L’intégration des unités PDU pour assurer la continuité de la sécurité et de la conformité, même en cas de coupure de courant.
Les 5 bonnes pratiques
1.Assurez-vous que le matériel et les logiciels que vous installez fournissent toutes les intégrations nécessaires.
L’installation de nouveaux contrôles au niveau des armoires doit idéalement s’adapter facilement sur les verrous existants et être prête à l’emploi dans une infrastructure existante, telle que les unités PDU. Vous souhaitez également bénéficier de la prise en charge de tous les types de lecture de badges dont vous auriez
besoin (MiFare®, DESFire®, Tag-it®, Legic®, My-d®, etc.). Et bien sûr, vous aurez besoin d’un logiciel compatible avec vos applications DCIM existantes, vos systèmes de suivi des ressources, vos services d’annuaire LDAP/AD, etc.
2.Pondérez de façon appropriée facilité et flexibilité de gestion dans vos critères d’achat.
Étant donné les pressions budgétaires, il est facile d’opter pour une approche à court terme en ce qui concerne les coûts – et par conséquent, de rechercher des prix avantageux pour les équipements en rack, en particulier
pour les installations importantes. C’est une erreur. À long terme, l’administration lourde et fastidieuse vous coûtera beaucoup plus cher. Assurez-vous de pouvoir rationaliser cette administration avec une automatisation basée sur des règles, la technologie Virtual Cage qui permet de définir de manière flexible des groupes de racks par attribut, ainsi qu’avec d’autres fonctions qui font gagner du temps.
3.Visez la simplicité.
La complexité demeure l’un des ennemis les plus redoutables du responsable de centre de données. Et les choses ne vont pas s’arranger à mesure que les applications se multiplient, que la diversité de la demande augmente et que les menaces sur la sécurité s’intensifient. Alors, faites ce que vous pouvez pour conserver les choses simples. Par exemple, vous pouvez éviter d’acheter des pièces détachées auprès de plusieurs fournisseurs. Vous souhaitez peut-être même trouver une solution complète auprès de l’un de vos fournisseurs historiques, afin d’éviter d’avoir à gérer un nouveau compte fournisseur.
4.Recherchez la sécurité.
Vos parties prenantes et vous-même devez avoir la plus grande confiance à la fois dans la sécurité des contrôles d’accès au rack et dans la fiabilité des données d’audit de la conformité provenant de ces contrôles.
Assurez-vous par conséquent que la communication entre les équipements en rack et votre console DCIM est correctement protégée par un cryptage AES-128. Veillez également à ce que les contrôles mis en place au niveau des racks continuent de fonctionner même en cas de panne de courant et qu’ils sont en mesure de générer des alertes en temps réel en cas de tentative de modification.
5.Allez de l’avant.
Comme nous l’avons noté précédemment, c’est une grosse erreur que d’avoir une vision à court terme des mandats de conformité au niveau du rack. Plusieurs organismes de réglementation traitent un large éventail de questions liées à la sécurité et à la souveraineté des données personnelles. Donc, si vous considérez que votre objectif consiste uniquement à cocher une liste détaillée des spécifications réglementaires en vigueur, vous vous préparez probablement à plus de travail et à des dépenses plus importantes à l’avenir. L’approche la plus judicieuse consiste à tirer parti de votre infrastructure DCIM actuelle pour mettre en place une technologie vous permettant d’augmenter de façon progressive la granularité de vos contrôles de sécurité et de conformité au fil du temps.
Un dernier conseil.
Vous n’avez pas à vous engager dans une réorganisation démesurée des armoires d’équipements de votre centre de données, pour commencer à réaliser un meilleur contrôle et audit au niveau du rack. Un bon programme pilote sur des armoires choisies peut vous donner le retour dont vous avez besoin pour assurer votre succès lorsque vous serez en mesure d’effectuer un déploiement plus complet.
C’est pourquoi il est préférable de démarrer votre pilote le plus tôt possible. En fin de compte, l’accès et le contrôle au niveau du rack deviendront une nécessité – et non une option – pour tout le monde. Il s’agit simplement de la prochaine étape dans la gouvernance responsable de l’infrastructure numérique critique de votre organisation.
Pour en savoir plus http://datacenter.legrand.com