Azure Native Qumulo Maintenant disponible dans l'UE, au Royaume-Uni et au Canada - En savoir plus

Protection des données : prévention des incidents de logiciels malveillants avec des contrôles de sécurité intégrés

Rédigé par:

Protection des données : utilisation des contrôles préventifs de Qumulo contre les logiciels malveillants est le deuxième d'une série en quatre parties publiée en avril, conçue pour vous aider à tirer parti des contrôles de sécurité et des capacités de protection des données de la plate-forme de données de fichiers de Qumulo. 

La plate-forme de données de fichiers Qumulo est conçue pour minimiser efficacement la surface de risque d'une attaque. Dans le première entrée de cette série, j'ai présenté l'architecture de sécurité. Nous allons maintenant nous concentrer sur les contrôles préventifs clés pour détecter les ransomwares et aidez à garder d'autres logiciels malveillants à l'écart de votre stockage de fichiers.

Version Linux verrouillée 

Qumulo est un plateforme de données de fichiers définie par logiciel, qui est conçu pour fonctionner sur une version actuelle d'ubuntu Linux. Le système d'exploitation Linux sous-jacent est verrouillé afin de n'autoriser que les opérations nécessaires à l'exécution des tâches du système de fichiers. De nombreux autres services Linux standard sont désactivés pour réduire la surface de risque d'attaque.

Application de l'espace utilisateur

La plate-forme de données de fichiers de Qumulo est entièrement conçue comme une application d'espace utilisateur. Cela présente de nombreux avantages, ceux liés aux contrôles préventifs contre les malwares sont les suivants :

  • Pas d'accès direct aux données sur les nœuds Qumulo. Même si un attaquant a acquis les privilèges et l'accès de l'utilisateur root local, il n'y a aucun moyen d'accéder directement à vos données sur les nœuds. Ceci est différent des implémentations d'autres fournisseurs de stockage où un utilisateur administrateur sur les nœuds peut accéder et manipuler toutes les données localement. L'accès aux données via SMB ou NFS nécessite l'installation d'un logiciel supplémentaire sur le nœud. (L'accès aux données API pourrait toujours être possible, mais nécessiterait un jeton d'accès pour l'accès aux données API pour les utilisateurs non root, tout comme l'accès aux données à distance via l'API).
  • Pile de protocole natif entièrement développée. Aucun composant tiers ou open source n'est utilisé (tels que Ganesha, Samba, etc.) pour implémenter les protocoles d'accès aux données. Qumulo développe et contrôle chaque ligne de code pour tous les protocoles d'accès aux données. Les risques qui pourraient apparaître en raison de vulnérabilités connues dans les composants tiers sont faibles ou nuls puisque Qumulo contrôle tout le code.
  • Niveau de séparation de l'OS. Aucun moyen de partager des utilisateurs ou des privilèges avec le système d'exploitation sous-jacent. Les utilisateurs du système d'exploitation Linux sous-jacent sont « inconnus » pour Qumulo. Les utilisateurs de Qumulo sont généralement conservés dans Active Directory ou une base de données locale, mais ne sont pas partagés avec le système d'exploitation sous-jacent. 
  • Pratiques de codage sécurisé. Le logiciel Qumulo est développé selon les meilleures pratiques de codage sécurisé, ce qui réduit encore les attaques de surface et le risque de vulnérabilités exploitables. Même si une vulnérabilité du système d'exploitation est trouvée et exploitée, l'attaquant obtiendra les privilèges de l'utilisateur mais ne pourra pas accéder aux données.
     

Mises à jour bihebdomadaires

Le processus de mise à niveau de Qumulo est très simple et nous permet donc d'envoyer un nouveau code toutes les deux semaines. Cela permet non seulement une innovation rapide, mais également une sécurité améliorée. Les correctifs de sécurité pour Qumulo, ainsi que le système d'exploitation sous-jacent, sont livrés automatiquement avec la nouvelle version toutes les deux semaines si nécessaire. Si un correctif réactif est requis, il peut être mis à disposition encore plus rapidement en utilisant la version accélérée de Qumulo pour les contrôles préventifs contre les logiciels malveillants.

Nos versions sont régulièrement testées à l'aide de Qualys Vulnerability Manager, qui est reconnu par la communauté de la sécurité comme l'un des meilleurs outils d'évaluation des vulnérabilités.

Contrôle d'accès basé sur les rôles

Le contrôle d'accès basé sur les rôles (RBAC) permet aux administrateurs d'attribuer des privilèges précis aux utilisateurs ou groupes réguliers et de réduire leurs privilèges si nécessaire tout en les maintenant aussi minimes que possible. Cela permet de déléguer des tâches de manière sécurisée loin de l'administrateur. Associé à la fonction d'audit de Qumulo, il nous permet de déployer un cadre de gestion très contrôlé et sécurisé pour empêcher les accès non autorisés. 

Il existe actuellement trois rôles prédéfinis: 

  • Administrateurs: Les administrateurs Qumulo auront un accès et un contrôle complets sur le cluster.
  • Administrateurs de données: tLe rôle de Data-Administrator est idéal pour les utilisateurs API / CLI. Avec ce rôle, un utilisateur ou un groupe n'aura pas accès à l'interface utilisateur Web mais aura les mêmes privilèges de fichier que le rôle Administrateurs avec quelques autres
  • Observateurs: wAvec le rôle Observateurs, un utilisateur ou un groupe aura le privilège d'accéder à l'interface utilisateur Web et aux API en lecture seule à quelques exceptions près (API de débogage et paramètres d'authentification). 

Pour plus d'informations sur la fonctionnalité RBAC de Qumulo, reportez-vous à Contrôle d'accès basé sur les rôles (RBAC) avec Qumulo Core.

Quotas

Supporte Qumulo Quotas intelligents qui garantit que chaque quota est une stratégie qui exécute un ensemble de requêtes en temps réel. Les quotas intelligents peuvent être appliqués immédiatement, contrairement aux systèmes traditionnels qui nécessitent une arborescence de toute la structure de répertoires et peuvent prendre des jours. Les avantages de cette approche comprennent le diagnostic et l'application en temps réel des applications et des utilisateurs malveillants, ainsi qu'une visibilité en temps réel montrant comment le stockage est alloué à un moment donné.

Du point de vue de la sécurité, les quotas intelligents réduisent l'impact des logiciels malveillants potentiels en écrivant des données illimitées dans le système de fichiers. En outre, si un comportement suspect est détecté, la définition du quota sur 0 arrêtera immédiatement toutes les écritures dans un répertoire.

Masquer les partages SMB aux utilisateurs non autorisés

Qumulo permet masquage des partages SMB d'utilisateurs non autorisés. Le montage du partage nécessite une connaissance explicite du chemin du partage pour empêcher les intrus potentiels de parcourir les partages. Par ailleurs, énumération basée sur l'accès peut être activé pour chaque partage. Ce faisant, seuls les fichiers et dossiers auxquels un utilisateur est autorisé à accéder seront affichés pour cet utilisateur. Si un utilisateur ne dispose pas d'autorisations de lecture ou équivalentes pour un dossier, le dossier est masqué dans la vue de l'utilisateur.

Restrictions d'hôte

Les restrictions d'hôte par plage d'adresses IP du client constituent un bon moyen de réduire la surface de risque en limitant l'accès de partage / d'exportation à des hôtes spécifiques, indépendamment des autorisations utilisateur / groupe de ce partage. Ce contrôle est actuellement disponible pour SMBv3 et NFSv3.

Différentes plages d'adresses peuvent se voir accorder un accès complet, en lecture seule ou pas d'accès, selon les besoins de votre déploiement. Les autorisations d'hôte interagissent avec les autorisations de partage d'utilisateur / groupe et les autorisations de fichier sur la base du «moindre privilège», ce qui signifie que pour qu'un privilège soit accordé pour un fichier particulier, les autorisations de fichier, les autorisations d'utilisateur de partage et les autorisations d'hôte de partage doivent toutes permettez-le. 

Restrictions d'hôte SMB par plage d'adresses IP du client ne font pas partie du protocole SMB. En implémentant cette fonctionnalité, Qumulo fournit une couche supplémentaire de sécurité SMB.

Chiffrement SMB3 avec Qumulo Core

Avec le support Qumulo pour Chiffrement SMB3, un chiffrement au niveau du cluster ou par partage peut être activé. En fonction de votre environnement et de votre flux de travail, vous pouvez configurer le chiffrement au niveau par partage au lieu du paramètre à l'échelle du cluster afin qu'un client puisse utiliser le chiffrement contre un partage unique qui le nécessite et se connecter à un partage qui ne se trouve pas dans la même session.

Cryptage des données au repos 

Qumulo Core cryptage logiciel fournit un chiffrement complet des données de fichiers en sécurisant les données au repos pour tous les clusters sur site créés avec Qumulo Core 3.1.5 et versions ultérieures. Les clés sont utilisées pour crypter les données, ainsi que pour crypter les clés de données elles-mêmes. Une clé principale est utilisée et stockée sur chaque lecteur de démarrage du cluster dans un fichier auquel seule la racine peut accéder pour une couche de sécurité supplémentaire afin de chiffrer une clé de données qui déchiffre les données elles-mêmes. De cette façon, vos données sont protégées contre les menaces potentielles telles que les disques volés ou les acteurs malveillants de la chaîne d'approvisionnement qui obtiennent des disques mis hors service.

Ce sont les contrôles de sécurité préventifs de Qumulo contre les logiciels malveillants. Dans le reste de la série, liée ci-dessous, vous découvrirez les commandes de détective et de correction.

En savoir plus
Nous contacter

Faites un essai routier. Faites une démonstration d'un cluster Qumulo ou déplacez vos données vers Amazon S3 dans nos ateliers pratiques interactifs.
Abonnez-vous au blog Qumulo pour les témoignages clients, les informations techniques, les tendances du secteur et les actualités sur les produits

Articles Similaires

Remonter en haut