Vous êtes sur la page 1sur 2

Cinq conseils pour scuriser votre centre de donnes ERIC MICHONNET Arbor Networks De nombreuses enqutes menes auprs

des dcideurs IT citent la question de scurit et de haute disponibilit comme le frein principal l'adoption du modle du Cloud. Voici quelques pistes pour faire face ces problmatiques. (01/09/2011) Aprs une vague d'attaques de grande ampleur contre des socits de services financiers et des sites marchands, les centres de donnes Internet sont maintenant de plus en plus frquemment la cible de cybercriminels qui crent de nouvelles attaques auxquelles ils sont vulnrables. Il n'est donc pas tonnant que les oprateurs de centres de donnes Internet, publics ou privs, doivent dsormais revoir leurs dfenses contre les attaques par dni de service distribues (DDoS). Ces attaques sont celles qui risquent le plus de dgrader rapidement la disponibilit de leurs services. Les attaques par dni de service (DoS), jusque-l volumtriques - c'est--dire tentant simplement de saturer des connexions vers des serveurs de donnes - deviennent plus complexes et se concentrent sur les applications pour cibler des services spcifiques. Ces attaques sont difficiles identifier car elles consomment peu de bande passante et elles menacent une multitude de services, depuis le e-commerce jusqu'aux DNS, en passant par la messagerie et la banque en ligne. Voici cinq conseils pour scuriser votre centre de donnes : 1. Protgez les centres de donnes contre les menaces qui ne peuvent tre bloques par les autres quipements de scurit Les oprateurs ont tendance dployer des pare-feu (firewalls) et des systmes de prvention d'intrusion (IPS) en frontal de leurs centres de donnes. Bien qu'ils constituent des lments essentiels d'une stratgie de scurit globale, les firewalls et les IPS n'offrent pas de solutions efficaces pour contrer les attaques DDoS. Au contraire, du fait que ces quipements conservent constamment des informations d'tat pour chaque session ouverte entre un client sur Internet et le serveur correspondant dans le centre de donnes, ils sont eux-mmes couramment la cible d'attaques DDoS. Selon l'tude[1] sur la scurit des infrastructures mondiales en 2010, une grande majorit des centres de donnes Internet qui ont dploy ces quipements ont connu, pendant la priode tudie, des pannes de firewalls et/ou de systmes IPS rsultant directement d'attaques DDoS. Rcemment, NSS Labs a publi un rapport de test comparatif des firewalls : "Network Firewall Comparative Group Test Report", qui relve deux problmes majeurs. Le premier problme concerne la stabilit, trois des six modles de firewalls considrs n'ayant pu rester oprationnels aprs avoir t soumis des tests de stabilit lors des attaques. Le second problme est apparu quand des hackers ont russi tromper les dispositifs de scurit pour franchir le firewall. On peut donc en conclure que les firewalls et IPS ne sont pas efficaces contre les attaques DDoS. 2. Assurez la disponibilit de la ressource la plus importante : les services du centre de donnes La disponibilit des services doit tre considre avant toute chose car aucun autre aspect ne compte si les services ne sont pas accessibles. Si les utilisateurs ne peuvent pas accder aux services hbergs dans le centre de donnes, toutes les autres proccupations en matire de scurit, par exemple l'intgrit et la confidentialit, ne sont simplement plus de mise. Les oprateurs doivent donc prendre en compte les attaques DDoS, ds la conception de leurs rgles de scurit. De leur ct, les entreprises doivent elles aussi tenir compte de ces mmes menaces dans leur valuation des prestataires 'Cloud'. Lorsque des services Internet sont rendus indisponibles par des attaques, il peut en rsulter de lourdes consquences pour l'activit des entreprises. Ne serait-ce que quelques minutes d'interruption peuvent coter trs cher. Cela peut en outre ternir l'image de marque, nuire la productivit des salaris, voire aboutir des pnalits au regard d'engagements de niveau de service. 3. Protgez l'infrastructure et la connectivit du centre de donnes ainsi que les services et les donnes des clients Au-del de la protection des services critiques contre les attaques DDoS, les oprateurs doivent tre conscients des risques qui psent sur

l'infrastructure et les points d'entre-sortie de leurs centres de donnes. Une attaque DDoS grande chelle contre l'infrastructure peut au dpart tre bloque sur site dans le centre de donnes mais, mesure que l'attaque gagne en volume, l'oprateur du centre de donnes doit collaborer avec ses fournisseurs d'accs Internet (FAI) ou ses prestataires de services de scurit (MSSP) en amont pour la contrer. Les oprateurs de centres de donnes doivent mettre en place des procdures de communication avec les fournisseurs de bande passante. Il est galement crucial de s'appuyer sur des technologies qui optimisent les communications entre la priphrie du centre de donnes et les prestataires en amont. Il est en effet trs risqu d'avoir improviser un plan ad-hoc lors d'une attaque. 4. Il est indispensable d'avoir une bonne visibilit sur les flux de donnes la fois en amont et l'intrieur des infrastructures des centres de donnes La scurit passe par la visibilit. En cas d'attaque il est crucial de pouvoir prendre les bonnes dcisions se basant sur des informations fiables et 'fraiches' pour pouvoir mettre en place les bonnes dfenses trs rapidement. Les oprateurs de centres de donnes doivent investir dans des outils de visibilit et d'exploitation, de faon pouvoir apprhender correctement la situation pour traiter efficacement les attaques. Grce des solutions de gestion des informations et des vnements de scurit (SIEM) ou encore aux technologies NetFlow, les oprateurs de centres de donnes pourront comprendre d'o proviennent les menaces extrieures ainsi que la nature du trafic l'intrieur du centre de donnes. Cette visibilit peut contribuer prvenir l'accs ou la destruction d'informations par des personnes non autorises. Elle peut galement permettre de dtecter les menaces pour la disponibilit des services avant que les clients ne soient touchs. 5. Dtectez les menaces mergentes en regardant au-del des limites du centre de donnes Face l'volution constante des menaces, les oprateurs ont besoin d'une vision 'panoramique' de l'Internet pour dceler les tendances mergentes et bloquer les nouvelles menaces. Cette vision globale est cruciale pour laborer des rgles de dfense qui seront implmentes dans les solutions de scurisation des centres de donnes pour djouer les menaces mergentes et prvenir les attaques. Les oprateurs doivent donc tre capables de voir au-del des limites du centre de donnes afin de le scuriser efficacement. [1] tude publie par Arbor Networks en Janvier 2011. Accueil Solutions