Centre de données hybride Meilleures pratiques en matière de sécurité
La sécurité des centres de données est un mélange de sécurité physique et de cybersécurité, mais nous nous concentrons ici sur les aspects de cybersécurité de la sécurité des centres de données. Pour plus d'informations sur la sécurité physique des centres de données, consultez notre page sur les certifications des centres de données.
Les centres de données hybrides nécessitent une sécurité appliquée de manière cohérente dans les environnements sur site et cloud. Le rythme rapide de l'évolution des entreprises exige également des solutions qui évoluent avec l'entreprise et s'alignent sur ses objectifs.
La sécurité d'un centre de données hybride efficace offre une grande visibilité sur les environnements et l'application des principes de sécurité "zéro confiance". La sécurisation d'un centre de données hybride nécessite le respect de plusieurs bonnes pratiques en matière de sécurité.
#1. Identifier et contrôler les données
When transitioning to an as-a-service model, an organization is giving up control over some parts of their infrastructure. The cloud provider may have control over the platform, operating, systems, etc. and does not provide visibility or access to these resources.
Lorsque l'on conçoit la sécurité du site cloud, tout tourne autour des données. Les organisations doivent élaborer des stratégies pour conserver le contrôle de leurs données dans le cadre des contraintes imposées par le fournisseur de services cloud.
Lorsque vous entamez la phase d'évaluation, veillez à ce que des plans soient mis en place pour conserver le contrôle des données. Sur place, cela signifie qu'il faut intégrer la redondance dans le plan. Disposer de systèmes résilients et redondants et de plans de sauvegarde ou de reprise après sinistre. Pour les fournisseurs decloud , cela signifie qu'ils doivent revoir leurs accords de niveau de service pour s'assurer qu'ils répondent aux attentes des clients en termes de disponibilité (99,9999x) et d'accès.
#2. Classer les données sensibles
When moving to the cloud, organizations need to know what data is sensitive. This helps with designing protections for this data and ensuring that it is protected in compliance with applicable regulations.
Toutes les données doivent être étiquetées en fonction de leur sensibilité, du type de données qu'elles contiennent et de l'unité commerciale à laquelle elles appartiennent. Cet étiquetage informe les politiques de conformité réglementaire et garantit que les données importantes pour certaines unités commerciales respectent les accords de niveau de service en matière d'accessibilité et de disponibilité.
#3. Map Data Flows
Dans un centre de données hybride, les données circulent régulièrement entre les environnements sur site et cloud. Pour sécuriser ces données, il est nécessaire de connaître ces flux de données afin d'autoriser les flux de données légitimes et de bloquer les flux suspects ou malveillants.
Lors de la cartographie des flux de données, il est important d'inclure les utilisateurs, le réseau, les systèmes et les applications dans la carte. Cela fournit un contexte important pour la mise en œuvre et l'application de contrôles d'accès granulaires.
#4. Définir les groupes
Attempting to define and enforce security policies on an individual, case-by-case basis is unscalable and ineffective. A better approach is to define groups of entities that serve similar purposes and define and enforce policies on these groups.
Une gestion de groupe efficace nécessite des politiques claires et cohérentes. Définir des systèmes qui peuvent être utilisés pour déterminer à quel groupe appartiennent les utilisateurs, les appareils, les machines virtuelles et les applications, afin que les groupes puissent être utilisés de manière dynamique dans la politique.
#5. Segmentez les flux de trafic à l'aide d'une solution de sécurité évolutive
La segmentation du réseau est la base d'une sécurité réseau efficace. Grâce à la segmentation, une organisation peut définir des frontières où le trafic est inspecté et où les politiques de sécurité sont appliquées.
Lors de la segmentation du réseau dans un centre de données hybride, l'évolutivité et la flexibilité sont essentielles. Une solution de segmentation du réseau doit offrir une prise en charge de l'évolutivité dynamique. Cela garantit que les systèmes sur site et cloud peuvent s'étendre et se réduire en fonction des flux et reflux de l'entreprise.
Network segmentation solutions should also be designed to address the unique use cases of the cloud. For example, companies are increasingly embracing serverless solutions, so hybrid data center security solutions should have support for serverless security. This enables organizations to gain the visibility and control that they need to properly segment and secure serverless applications.
#6. Créez des politiques de contrôle d'accès dynamiques
L'infrastructure d'une organisation peut changer rapidement sur le site cloud, et la sécurité doit pouvoir s'y adapter. Cela signifie qu'un centre de données hybride nécessite des politiques de contrôle d'accès dynamiques.
A cloud security solution should be able to collect and analyze data from across the entire ecosystem – including on-prem and both public and private cloud environments – to gain necessary security context and ensure consistent security enforcement. As these environments change and evolve, security policies should change with them to provide optimal, up-to-date protection and policy enforcement.
#7. Réalisez des audits et des examens périodiques
Une mauvaise configuration des paramètres de sécurité est l'une des causes les plus fréquentes d'incidents liés à la sécurité du cloud. Le large éventail de services basés sur cloudque les entreprises utilisent - chacun avec ses propres paramètres de sécurité - signifie que cloud déploiement est souvent mal sécurisé.
Alors que cloud déploiement devient une part croissante de l'infrastructure informatique des entreprises, les solutions de gestion de la sécurité du cloud (CSPM) sont essentielles pour sécuriser les centres de données hybrides. Une solution CSPM doit offrir une gestion unifiée de la sécurité dans les environnements multi-cloud et fournir aux équipes de sécurité la visibilité et la gestion centralisées nécessaires pour répondre rapidement et efficacement aux incidents de sécurité potentiels.
#8. Intégrer DevSecOps
DevSecOps vise à intégrer la sécurité dans les processus de développement modernes. Il s'agit notamment d'automatiser des processus tels que l'analyse de la vulnérabilité et les mises à jour de la politique de sécurité dans le cadre des processus d'intégration et de déploiement continus (CI/CD).
Avec un centre de données hybride, les entreprises peuvent tirer parti de la rapidité et de l'agilité du site cloud. Pour ce faire, il faut intégrer la sécurité dans les processus de développement et de gestion de l'infrastructure.
Mise en place d'un centre de données hybride Sécurité
Alors que les entreprises utilisent de plus en plus de services basés sur le site cloud, la sécurité est une considération vitale. Lors de la mise en œuvre d'une infrastructure basée sur le cloud, les entreprises ont besoin d'une solution de sécurité hyperscale capable d'évoluer en même temps qu'elles.
Point de contrôle Maestro est une solution de sécurité réseau hyperscale conçue pour répondre aux besoins et aux défis de la Sécurité du cloud. Pour en savoir plus sur les capacités de Maestro, consultez ce livre blanc. Vous pouvez également demander une démo de la sécurité du réseau hyperscale de Maestro et une démo des protections de la charge de travail cloud.
Commentaires