Accueil Data Centers Une approche en 3 étapes du cycle de vie de la gestion de la cybersécurité pour l’alimentation et le refroidissement des datacenters

Data Centers

Une approche en 3 étapes du cycle de vie de la gestion de la cybersécurité pour l’alimentation et le refroidissement des datacenters

7 min | Schneider Electric

Les équipements d’infrastructure physique de datacenter connectés au réseau (c’est-à-dire les dispositifs d’alimentation, de refroidissement et de surveillance de l’environnement/de la sécurité présents dans l’espace informatique) sont nécessaires pour assurer la disponibilité et rendre le datacenter efficace. Cependant, ces connexions réseau, en particulier si elles sont mal conçues et mal mises en œuvre du point de vue de la cybersécurité, pourraient être utilisées par les cybercriminels comme une surface d’attaque. Une installation type est composée d’équipements matériels connectés au réseau et largement distribués qui communiquent avec les passerelles réseau, les pares-feux et les serveurs de gestion d’infrastructure (DCIM) sur site ou à distance. Ces connexions peuvent s’étendre aux appareils mobiles, aux systèmes de gestion des installations et des systèmes informatiques d’entreprise et aux services cloud tiers.

Le livre blanc 216 de Schneider Electric, Cybersecurity Guidelines for Data Center Power and Cooling Infrastructure, fournit des informations sur le renforcement et la protection des dispositifs d’infrastructure de datacenter connectés et de leurs réseaux. Pour ce faire, il utilise une structure simple basée sur le cycle de vie en 3 étapes. La figure ci-dessous résume les conseils de cybersécurité décrits en détail dans ce document. Les secteurs orange, bleu et vert représentent les 3 étapes.

Bien sûr, une stratégie de sécurité plus large inclurait également des conseils sur les personnes, les processus et la sécurité physique. Mais le présent article et le billet de blog se concentrent spécifiquement sur le renforcement des équipements et de leur réseau de communication.

À noter que pour ceux qui gèrent un portefeuille de sites informatiques de périphérie Edge plus petits et fortement distribués, voir également le livre blanc 12 de Schneider Electric, « An Overview of Cybersecurity Best Practices for Edge Computing ».

Vous trouverez ci-dessous un récapitulatif très détaillé des principaux points pour chacune des 3 étapes.

Conception de réseau de technologie opérationnelle (TO)

La phase de conception d’un nouveau datacenter ou d’un projet de modernisation doit commencer par une évaluation du sens de la cybersécurité des fournisseurs de dispositifs et de logiciels. Cela revient à les interroger et à lire leur documentation qui explique comment ils gèrent les risques de cybersécurité grâce à leurs pratiques de conception et de développement, ainsi que comment ils prennent en charge leurs produits une fois déployés sur le terrain. En fin de compte, vous recherchez des fournisseurs qui adoptent une culture d’entreprise « axée sur la sécurité » qui impacte tout, de l’embauche du personnel à la formation, en passant par la conception des produits, les tests et l’assistance technique. Utilisent-ils un cycle de développement sécurisé (SDL) ? S’appuient-ils sur une validation technologique indépendante ? Comment ils surveillent et accèdent-ils à leurs capacités de sécurité ? Voici quelques-unes des questions que vous devriez poser.

Ensuite, unréseau sécurisé commence par l’adoption d’une stratégie dedéfense en profondeur (DiD) pour la conception du réseau. Cette approche multicouche commence par le renforcement du périmètre du réseau en utilisant des pare-feu pour contrôler le flux d’informations à l’intérieur et à l’extérieur du réseau à l’aide de règles de configuration définies par l’utilisateur. Vous devez toujours placer des dispositifs d’alimentation et de refroidissement connectés au réseau derrière des pare-feu et d’autres dispositifs de protection qui limitent l’accès aux connexions à distance autorisées uniquement.

Le renforcement du réseau OT lui-même commence par une séparation logique (virtuelle) entre le réseau OT et d’autres réseaux d’entreprise, invités ou publics et la mise en oeuvre de contrôles d’accès au réseau sécurisés. Cela est souvent effectué via des réseaux locaux virtuels (VLANs) . Des mesures de détection des compromis réseau, telles que la détection des intrusions sur le réseau et les systèmes de prévention, doivent être spécifiées dans la conception du réseau. Utilisez des serveurs de synchronisation approuvés pour synchroniser toutes les horloges des appareils. Il faut utiliser un outil de surveillance de la gestion de l’infrastructure du datacenter (DCIM) ou une solution de balayage du réseau capable de créer une carte d’inventaire des actifs.

Configuration et installation des appareils

L’étape 2 implique la sécurisation renforcée des postes de travail et des équipements, qui inclut la gestion des comptes utilisateur et la configuration des fonctionnalités de cybersécurité de chaque composant système, notamment la configuration des pare-feu réseau, le renforcement des équipements d’infrastructure connectés au réseau, la configuration des comptes utilisateur pour les équipements et les logiciels de gestion, et l’activation de la détection des menaces, comme indiqué ci-dessus. L’étape 2 se concentre sur les appareils, le logiciel de gestion et les stations de travail/appareils mobiles utilisés pour y accéder. Fondamentalement, il s’agit de contrôler l’accès et de s’assurer que les paramètres de sécurité des appareils ne permettent pas aux cybercriminels de trouver facilement un moyen d’accéder au système. La gestion des comptes d’utilisateurs implique la suppression des identifiants par défaut, le remplacement des mots de passe par défaut, la désactivation de l’accès de tous par défaut et l’ajout d’autorisations selon les besoins, etc. Pour obtenir des conseils plus détaillés sur la gestion de l’identité numérique, reportez-vous à la publication spéciale NIST 800-63 et à l’annexe A du NIST sur la force des secrets mémorisés.

L’activation et la configuration de fonctions ou de paramètres liés à la sécurité dans la carte de gestion réseau (NMC) et la plate-forme logicielle de gestion sont évidemment également un aspect critique de la cybersécurité de la configuration et de l’installation. Les cartes de gestion réseau et les outils logiciels fournissent généralement plusieurs moyens de communiquer. Les protocoles et le chiffrement sécurisés doivent toujours être utilisés et il doit y avoir un moyen de protéger les mots de passe et les phrases d’accroche par hachage ou par cryptage. En outre, les appareils doivent être configurés pour les mises à jour automatiques du micrologiciel et des pares-feux des appareils doivent être activés et configurés de manière appropriée.

Exploitation et maintenance

C’est une erreur courante de mettre une grande partie de vos efforts et de vous concentrer sur la conception, mais pas assez sur la surveillance et la maintenance continues pour maintenir les mesures de protection et la technologie à jour. Cela nécessite une discipline opérationnelle et un soutien de la direction. À un niveau fondamental, l’équipe d’exploitation chargée de la cybersécurité de l’infrastructure a cinq tâches principales, une fois qu’elle est opérationnelle :

  • Mise à jour logicielle et logicielle
    • Utiliser un outil de surveillance DCIM offrant une fonction d’évaluation de la sécurité
    • Activer les mises à jour automatiques dans la mesure du possible
    • Utiliser un outil de surveillance des correctifs si le test/la validation d’un nouveau firmware ou logiciel est nécessaire
  • Maintenance des paramètres de sécurité et des sauvegardes de données
    • Utiliser l’évaluation de la sécurité DCIM pour identifier les paramètres réseau non sécurisés
    • Maintenir les sauvegardes et stocker correctement
  • Surveillance des activités suspectes
    • Surveillance régulière des journaux système des systèmes de détection des intrusions
  • Réponse à une violation
    • Développement, maintenance, mise en oeuvre de plans de réponse aux incidents (IRP) et de procédures d’exploitation d’urgence connexes (EOP)
  • Mise au rebut des équipements et des serveurs en fin de vie
    • Suivez les procédures du fournisseur pour vous assurer que les données de l’appareil et les fichiers journaux sont correctement supprimés

Lisez le livre blanc 216 pour en savoir plus sur la réduction des risques de cybersécurité des dispositifs d’infrastructure d’alimentation et de refroidissement de votre datacenter connecté au réseau. Pour les datacenters qui ne disposent pas des ressources ou qui souhaitent bénéficier d’un support et d’une validation par des experts tiers, des fournisseurs, comme Schneider Electric, proposent des services de cybersécurité. Ces solutions peuvent gérer le jeu des services de conseil (par exemple, analyse des écarts, développement de politiques et de procédures), de la conception du réseau, du renforcement des périphériques, de la formation des équipes d’exploitation, ainsi que des services de surveillance et de maintenance (par exemple, surveillance des pares-feux et des appareils, informations de sécurité OT et gestion des événements).

Article traduit de l’anglais : https://blog.se.com/datacenter/2022/08/24/a-3-step-lifecycle-approach-to-cybersecurity-management-for-data-center-power-and-cooling/

Tags : , ,

Ajouter un commentaire

Tous les champs sont requis.

Ce site utilise Akismet pour réduire le spam. Découvrez comment les données de vos commentaires sont traitées.

Nos favoris