Renforcer la sécurité des centres de données grâce au contrôle d'accès électronique au niveau des baies
Les montagnes de données personnelles et privées, en constante augmentation, collectées lors des transactions courantes de notre monde numérique, continuent d'être la cible des cybercriminels. Ces derniers ne se contentent pas de voler des informations numériques ; ils s'attaquent également au monde réel en ciblant les serveurs qui hébergent ces données.
En 2017, le coût total moyen mondial d'une violation de données s'élevait à 3,86 millions de dollars, ce qui représente une augmentation de 6,4 % par rapport à l'année précédente. À mesure que le coût total des violations de données augmente, la probabilité qu'une organisation subisse une violation atteint le chiffre impressionnant de 27,9 %. La cybercriminalité est classée parmi les trois principaux risques mondiaux par le Forum économique mondial. Ces chiffres sont alarmants et leur coût continue d'augmenter chaque jour, les atteintes à la sécurité des données touchant les gouvernements, les institutions financières, les sociétés de cartes de crédit, les entreprises de télécommunications et les organismes de soins de santé.
Alors que les pare-feu, le cryptage des données et les outils antivirus/antimalware gèrent l'aspect logique de la protection et de la sécurité des données, le cœur physique de notre monde numérique - également connu sous le nom de centre de données - nécessite un niveau de protection exceptionnel, qui peut être atteint grâce à une approche multicouche du contrôle d'accès.
Les risques continuent d'augmenter.
Alors que de plus en plus d'informations personnelles sont introduites dans le monde numérique, les risques et les coûts associés aux violations de données continuent d'augmenter. Selon le Breach Level Index, il y a eu 1 765 violations de données divulguées publiquement en 2017, entraînant le vol ou la perte de 2,6 milliards d'enregistrements. Cela équivaut à environ 4 949 enregistrements volés chaque minute, soit 82 enregistrements par seconde.
Les organisations qui enfreignent les réglementations en matière de données s'exposent à des conséquences financières considérables. Cette situation souligne l'importance cruciale de la protection physique et de la sécurité pour les gestionnaires de centres de données. Alors qu'un nombre croissant d'entreprises, de gouvernements et d'organisations adoptent le stockage de données dans le cloud, les organismes de réglementation intensifient leur attention sur la protection des données. Il est donc plus essentiel que jamais pour les gestionnaires de centres de données de veiller à ce que leur administration de la sécurité soit conforme aux normes de l'industrie.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), par exemple, est considérée comme l'une des normes de protection des données les plus importantes du secteur informatique actuel. La norme PCI DSS est conçue pour protéger les données personnelles des consommateurs et fixe des exigences en matière de contrôle d'accès pour les entités qui sécurisent leurs informations.
La réglementation prévoit la surveillance et le suivi du personnel susceptible d'avoir un accès physique aux données ou aux systèmes contenant les données des titulaires de cartes. Cet accès doit être contrôlé et limité de manière appropriée. Le personnel couvert par la norme PCI DSS comprend les employés à temps plein et à temps partiel, les employés temporaires, les sous-traitants et les consultants qui sont physiquement présents dans les locaux de l'entité. La réglementation couvre également les visiteurs, tels que les vendeurs et les invités, qui pénètrent dans les locaux pour une courte durée, généralement jusqu'à un jour.
Mais la plupart des violations de données ne sont-elles pas le fait de pirates informatiques extérieurs qui franchissent les pare-feu et non de personnes au sein d'une organisation ? Les données indiquent le contraire. Dans de nombreux cas, selon une étude menée par IBM, la prochaine attaque pourrait provenir de l'intérieur d'une organisation.
En 2015, 60 % de toutes les attaques ont été menées par des personnes internes, soit avec des intentions malveillantes, soit par inadvertance, en configurant un serveur de manière incorrecte ou en laissant un port ouvert par accident.
Pour le responsable du centre de données, les avantages de la conformité sont doubles. La conformité protège non seulement la nature confidentielle des données stockées dans le centre de données, mais elle protège également le centre de données contre les sanctions réglementaires et le coût supplémentaire de la perte de productivité qui peut résulter d'une violation de données.
Sécuriser les actifs avec l'EAS
La gestion de l'accès aux centres de données devient de plus en plus complexe à mesure que les installations d'hébergement continuent d'élargir leurs capacités. Que ce soit pour des centres de données hébergeant des informations d'une seule organisation ou pour des centres de données de colocation où plusieurs entreprises partagent un même espace, la gestion traditionnelle des clés représente un défi majeur pour les gestionnaires d'installations. Le personnel d'une ou plusieurs organisations peut accéder au centre de données à tout moment, rendant ainsi la gestion des clés de plus en plus difficile à suivre.
Les centres de données disposent généralement de plusieurs niveaux de sécurité et de contrôle d'accès : la porte d'entrée du bâtiment, une trappe pour accéder au hall d'entrée, un contrôle d'accès pour entrer dans chaque salle du centre de données, et éventuellement une cage, selon la configuration du centre de données.
Toutefois, c'est au niveau des racks que la sécurité des données et le contrôle d'accès risquent d'être insuffisants. Si les serveurs sont situés derrière des portes, il se peut qu'il n'y ait pas de serrures physiques pour sécuriser ces accès. Dans les anciennes fermes de serveurs, les racks sont souvent largement ouverts à tous ceux qui ont accès à la cage qui les entoure. Ainsi, toutes les couches de sécurité physique ne peuvent pas empêcher les tentatives non autorisées ou malveillantes d'accéder à des serveurs non sécurisés. En cas d'attaque ou de violation de données, il devient plus difficile de déterminer le « qui, quoi, quand et où » de la violation s'il n'y a pas de sécurité au niveau des racks et de pistes d'audit en place.
La série Modular H3-EM Electronic Locking Swinghandle de Southco offre la flexibilité nécessaire pour accueillir n'importe quelle technologie de lecteur en tant que composant intégral de la serrure électronique.
En réponse, les gestionnaires de centres de données se concentrent sur l'extension de la sécurité physique jusqu'au niveau de l'armoire. Les fabricants d'armoires passent des mécanismes traditionnels de serrure et de clé à des solutions intégrées qui combinent le verrouillage électronique et les capacités de surveillance pour une sécurité optimale. Ces solutions d'accès électronique (EAS) permettent aux gestionnaires de centres de données d'incorporer facilement un verrouillage intelligent dans l'ensemble de l'installation - du périmètre jusqu'aux serveurs - en utilisant le système de sécurité existant du centre de données, en l'intégrant aux nouveaux systèmes DCIM ou en utilisant un système distinct, entièrement en réseau.
Les capacités de surveillance à distance offertes par les solutions d'accès électronique aident les responsables des centres de données à identifier rapidement une violation, en leur permettant de recevoir des mises à jour sur leur ordinateur ou par texte ou courriel sur leurs appareils personnels. Une solution d'accès électronique se compose de trois éléments principaux : un lecteur de contrôle d'accès ou un dispositif d'entrée, une serrure électromécanique et un système de contrôle permettant de restreindre, de surveiller et d'enregistrer l'accès. Lors de la conception d'une solution d'accès électronique, il est important que la serrure électronique appropriée soit choisie pour le boîtier spécifique et qu'elle fournisse l'intelligence, la flexibilité et la sécurité nécessaires au niveau du rack.
Les serrures électroniques sont actionnées par des dispositifs de contrôle d'accès externes, qui valident les informations d'identification de l'utilisateur et produisent un signal qui déclenche le cycle de déverrouillage. Les serrures électroniques peuvent être associées à n'importe quel dispositif de contrôle d'accès, qu'il s'agisse de claviers, de systèmes de cartes d'identification par radiofréquence (RFID), de systèmes biométriques ou de systèmes sans fil. Le dispositif de contrôle d'accès peut également être intégré à la serrure électronique pour une solution rationalisée et intégrée qui ne nécessite qu'un minimum de préparation à l'installation.
Chaque fois qu'une serrure électronique est actionnée, une « signature » électronique est créée et capturée pour contrôler l'accès, soit localement à l'aide d'indicateurs visuels ou d'alarmes sonores, soit à distance par le biais d'un réseau informatique. Les signatures électroniques peuvent être stockées pour créer des pistes d'audit qui peuvent être consultées à tout moment, sur site ou hors site, afin de reconstituer une série d'événements d'accès. Cette piste d'audit électronique conserve la trace des activités d'accès aux armoires, y compris le lieu, la date, l'heure, la durée de l'accès et les informations d'identification spécifiques de l'utilisateur.
Ces pistes d'audit constituent une ressource supplémentaire pour les gestionnaires de centres de données : Ils peuvent suivre la durée d'ouverture de la porte d'une baie de serveurs afin de surveiller les activités de maintenance et d'entretien. Si une baie de serveurs est programmée pour une activité qui devrait durer 30 minutes, mais que la piste d'audit montre que la porte est restée ouverte pendant plusieurs heures, la direction peut découvrir la raison du retard et mieux gérer le personnel de service et les coûts du service.
Cette piste d'audit peut être utilisée pour démontrer la conformité avec les réglementations en matière de protection des données. Elle permet aux responsables des centres de données d'identifier immédiatement les violations de sécurité et d'y répondre, ou de reconstituer les événements ayant conduit à une violation. La gestion à distance et la surveillance en temps réel éliminent le besoin de personnel sur place, réduisant ainsi les coûts associés à la gestion de la sécurité des centres de données.
Prise en charge de l'authentification multifactorielle
Lors de la conception d'une nouvelle installation ou de la modernisation d'une existante, il est essentiel de sélectionner une serrure électronique en fonction de la complexité de l'intelligence et du niveau de protection requis.
De nombreux fournisseurs de systèmes de sécurité électronique (EAS) proposent une gamme de solutions de verrouillage électronique conçues pour faciliter la mise en œuvre de la sécurité au niveau des baies de manière simple et rentable. Cela inclut des serrures d'armoires robustes intégrées à des poignées de porte verrouillables, qui sont des dispositifs modulaires autonomes destinés à fournir une authentification multifactorielle pour autoriser l'accès à une armoire de serveur.
L'authentification multifactorielle est devenue une exigence croissante pour de nombreux scénarios de contrôle d'accès, et de plus en plus de gestionnaires de centres de données l'adoptent, en particulier pour les baies de serveurs contenant des données très sensibles. Les systèmes d'authentification multifactorielle courants exigent généralement les facteurs suivants :
- Quelque chose que vous connaissez, comme un code PIN.
- Quelque chose que vous possédez, comme une carte RFID.
- Quelque chose qui vous définit - des données biométriques, telles qu'une empreinte digitale ou des scans de reconnaissance faciale.
Avec l'authentification multifactorielle, un seul élément d'information ne suffit pas à garantir l'accès. Par exemple, une serrure électronique peut être conçue pour exiger que l'utilisateur présente une carte RFID, puis saisisse un code PIN sur un clavier. Certains systèmes de verrouillage électronique sont modulaires, ce qui permet d'ajouter facilement différents types de contrôleurs d'accès à la serrure, afin de répondre aux exigences de sécurité spécifiques d'une baie de serveurs donnée.
Les niveaux de sécurité peuvent être améliorés de manière relativement simple. Par exemple, il existe des systèmes de verrouillage électronique qui combinent des cartes RFID et des lecteurs d'empreintes digitales. Les techniciens qui accèdent à une baie de serveurs à l'aide de ce type de système voient leurs données d'empreintes digitales enregistrées sur la carte. Pour accéder au serveur, ils présentent leur carte, qui transmet leurs données d'empreintes digitales au lecteur ; ils fournissent ensuite leur empreinte digitale pour finaliser l'accès.
Conception pour la conformité
Les solutions d'accès électronique offrent un niveau élevé de contrôle d'accès physique pour une variété d'applications de sécurité dans les centres de données, qu'il s'agisse de stockage pour une seule organisation ou pour plusieurs hébergées dans un environnement de colocation. Les gestionnaires d'environnements de colocation ont commencé à adopter des systèmes de verrouillage intelligents en raison des défis liés à la protection de l'accès à des armoires individuelles, plutôt que de « cager » une armoire ou un groupe d'armoires dans des zones distinctes du centre de données.
Les solutions d'accès électronique s'adaptent à la fois aux conceptions structurelles et aux mécanismes de contrôle déjà en place. Souvent, les cartes d'accès aux bâtiments ou les badges d'identification font déjà partie intégrante du système de contrôle d'accès d'une organisation. En les utilisant pour l'accès au niveau des baies, il n'est pas nécessaire de créer de nouveaux justificatifs ou des justificatifs distincts.
Conclusion
Les attentes en matière de sécurité et de gestion des données ont considérablement évolué. Les réglementations incitent les gestionnaires d'installations à envisager des solutions de sécurité complètes, intégrant des capacités de surveillance et des pistes d'audit numériques, afin de protéger les informations sensibles contre les menaces d'accès non autorisé et de vol. Les exigences réglementaires relatives à la sécurité des données continueront d'augmenter en réponse à l'évolution constante des tactiques des voleurs de données.
Les gestionnaires de centres de données peuvent prévenir ces situations en optimisant la sécurité au niveau des racks grâce à des solutions d'accès électronique. Les serrures électroniques étendent la sécurité intelligente des réseaux de sécurité des bâtiments existants aux armoires des centres de données. Ainsi, les gestionnaires de centres de données peuvent s'assurer que leurs installations et leurs équipements sont protégés contre le risque de violation des données et les pénalités associées à la non-conformité.
