Comment utiliser les contrôles préventifs de Qumulo contre les logiciels malveillants est le deuxième d'une série en quatre parties conçue pour vous aider à profiter de la contrôles de sécurité et capacités de protection des données dans la plate-forme de données de fichiers de Qumulo, ainsi que de partager les meilleures pratiques de sécurité. 

La plate-forme de données de fichiers Qumulo est conçue pour minimiser efficacement la surface de risque d'une attaque. Dans le premier blog de cette série, J'ai présenté l'architecture de sécurité. Nous allons maintenant nous concentrer sur les contrôles préventifs clés.

Version Linux verrouillée 

Qumulo est un plateforme de données de fichiers définie par logiciel, qui est conçu pour fonctionner sur une version actuelle d'ubuntu Linux. Le système d'exploitation Linux sous-jacent est verrouillé afin de n'autoriser que les opérations nécessaires à l'exécution des tâches du système de fichiers. De nombreux autres services Linux standard sont désactivés pour réduire la surface de risque d'attaque.

Application de l'espace utilisateur

La plate-forme de données de fichiers de Qumulo est entièrement conçue comme une application d'espace utilisateur. Cela présente de nombreux avantages, ceux liés aux contrôles préventifs sont les suivants:

  • Pas d'accès direct aux données sur les nœuds Qumulo. Même si un attaquant a acquis les privilèges et l'accès de l'utilisateur root local, il n'y a aucun moyen d'accéder directement à vos données sur les nœuds. Ceci est différent des implémentations d'autres fournisseurs de stockage où un utilisateur administrateur sur les nœuds peut accéder et manipuler toutes les données localement. L'accès aux données via SMB ou NFS nécessiterait l'installation d'un logiciel supplémentaire sur le nœud. (L'accès aux données API peut encore être possible, mais nécessiterait un jeton d'accès pour l'accès aux données API pour les utilisateurs non root, tout comme l'accès aux données à distance via l'API).
  • Pile de protocoles natifs entièrement développée: aucun composant tiers ou open source n'est utilisé (comme Ganesha, Samba ou autre) pour implémenter les protocoles d'accès aux données. Qumulo développe et contrôle chaque ligne de code pour tous les protocoles d'accès aux données. Les risques qui pourraient surgir en raison de vulnérabilités connues dans les composants tiers sont faibles ou nuls car Qumulo contrôle tout le code.
  • Niveau de séparation du système d'exploitation: aucun moyen de partager des utilisateurs ou des privilèges avec le système d'exploitation sous-jacent. Les utilisateurs du système d'exploitation Linux sous-jacent sont «inconnus» de Qumulo. Les utilisateurs de Qumulo sont généralement conservés dans Active Directory ou dans une base de données locale mais ne sont pas partagés avec le système d'exploitation sous-jacent. 
  • Pratiques de codage sécurisé: le logiciel Qumulo est développé selon les meilleures pratiques de codage sécurisé, ce qui réduit encore les attaques de surface et le risque de vulnérabilités exploitables. Même si une vulnérabilité du système d'exploitation est trouvée et exploitée, l'attaquant obtiendrait des privilèges d'utilisateur mais ne pourra pas accéder aux données.
     

Mises à jour bihebdomadaires

Le processus de mise à jour de Qumulo est très simple et nous permet donc d'envoyer un nouveau code toutes les deux semaines. Cela permet non seulement une innovation rapide, mais également une sécurité améliorée. Les correctifs de sécurité pour Qumulo, ainsi que le système d'exploitation sous-jacent, sont livrés automatiquement avec la nouvelle version bihebdomadaire si nécessaire. Si un patch réactif est requis, il peut être rendu disponible encore plus rapidement en utilisant la version accélérée de Qumulo pour ces situations. 

Nos versions sont régulièrement testées à l'aide de Qualys Vulnerability Manager, qui est reconnu par la communauté de la sécurité comme l'un des meilleurs outils d'évaluation des vulnérabilités.

Contrôle d'accès basé sur les rôles

Le contrôle d'accès basé sur les rôles (RBAC) permet aux administrateurs d'attribuer des privilèges précis à des utilisateurs ou groupes réguliers et d'alléger leurs privilèges si nécessaire tout en les minimisant autant que possible. Cela permet de déléguer des tâches de manière sécurisée loin de l'administrateur. Associé à la fonction d'audit Qumulo, il nous permet de déployer un cadre de gestion très contrôlé et sécurisé. 

Il existe actuellement trois rôles prédéfinis: 

  • Administrateurs: Les administrateurs Qumulo auront un accès et un contrôle complets sur le cluster.
  • Administrateurs de données: tLe rôle de Data-Administrator est idéal pour les utilisateurs API / CLI. Avec ce rôle, un utilisateur ou un groupe n'aura pas accès à l'interface utilisateur Web mais aura les mêmes privilèges de fichier que le rôle Administrateurs avec quelques autres
  • Observateurs: wAvec le rôle Observateurs, un utilisateur ou un groupe aura le privilège d'accéder à l'interface utilisateur Web et aux API en lecture seule à quelques exceptions près (API de débogage et paramètres d'authentification). 

Pour plus d'informations sur la fonctionnalité RBAC de Qumulo, reportez-vous à Contrôle d'accès basé sur les rôles (RBAC) avec Qumulo Core.

Quotas

Supporte Qumulo Quotas intelligents qui garantit que chaque quota est une stratégie qui exécute un ensemble de requêtes en temps réel. Les quotas intelligents peuvent être appliqués immédiatement, contrairement aux systèmes traditionnels qui nécessitent une arborescence de toute la structure de répertoires et peuvent prendre des jours. Les avantages de cette approche comprennent le diagnostic et l'application en temps réel des applications et des utilisateurs malveillants, ainsi qu'une visibilité en temps réel montrant comment le stockage est alloué à un moment donné.

Du point de vue de la sécurité, les quotas intelligents réduisent l'impact des logiciels malveillants potentiels en écrivant des données illimitées dans le système de fichiers. En outre, si un comportement suspect est détecté, la définition du quota sur 0 arrêtera immédiatement toutes les écritures dans un répertoire.

Masquer les partages SMB aux utilisateurs non autorisés

Qumulo permet masquage des partages SMB d'utilisateurs non autorisés. Le montage du partage nécessite une connaissance explicite du chemin du partage pour empêcher les intrus potentiels de parcourir les partages. Par ailleurs, énumération basée sur l'accès peut être activé pour chaque partage. Ce faisant, seuls les fichiers et dossiers auxquels un utilisateur est autorisé à accéder seront affichés pour cet utilisateur. Si un utilisateur ne dispose pas d'autorisations de lecture ou équivalentes pour un dossier, le dossier est masqué dans la vue de l'utilisateur.

Restrictions d'hôte

Les restrictions d'hôte par plage d'adresses IP du client constituent un bon moyen de réduire la surface de risque en limitant l'accès de partage / d'exportation à des hôtes spécifiques, indépendamment des autorisations utilisateur / groupe de ce partage. Ce contrôle est actuellement disponible pour SMBv3 et NFSv3.

Différentes plages d'adresses peuvent se voir accorder un accès complet, en lecture seule ou pas d'accès, selon les besoins de votre déploiement. Les autorisations d'hôte interagissent avec les autorisations de partage d'utilisateur / groupe et les autorisations de fichier sur la base du «moindre privilège», ce qui signifie que pour qu'un privilège soit accordé pour un fichier particulier, les autorisations de fichier, les autorisations d'utilisateur de partage et les autorisations d'hôte de partage doivent toutes permettez-le. 

Restrictions d'hôte SMB par plage d'adresses IP du client ne font pas partie du protocole SMB. En implémentant cette fonctionnalité, Qumulo fournit une couche supplémentaire de sécurité SMB.

Chiffrement SMB3 avec Qumulo Core

Avec le support Qumulo pour Chiffrement SMB3, un chiffrement au niveau du cluster ou par partage peut être activé. En fonction de votre environnement et de votre flux de travail, vous pouvez configurer le chiffrement au niveau par partage au lieu du paramètre à l'échelle du cluster afin qu'un client puisse utiliser le chiffrement contre un partage unique qui le nécessite et se connecter à un partage qui ne se trouve pas dans la même session.

Cryptage des données au repos 

Qumulo Core cryptage logiciel fournit un cryptage complet des données de fichier en sécurisant les données au repos pour tous les clusters sur site créés avec Qumulo Core 3.1.5 et supérieur. Les clés sont utilisées pour crypter les données, ainsi que pour crypter elles-mêmes les clés de données. Une clé principale est utilisée et stockée sur chaque lecteur de démarrage du cluster dans un fichier auquel seul root peut accéder pour une couche supplémentaire de sécurité afin de crypter une clé de données qui décrypte les données elles-mêmes. De cette façon, vos données sont protégées contre les menaces potentielles telles que les disques volés ou les acteurs malveillants de la chaîne d'approvisionnement qui obtiennent des disques mis hors service.

Ce sont les contrôles de sécurité préventifs de Qumulo contre les logiciels malveillants. Dans le blog trois de cette série, nous discuterons des contrôles de détection de Qumulo.

En savoir plus

Blog 1 sur 4: Introduction à l'architecture de sécurité Qumulo et bonnes pratiques

Livre blanc:  Architecture de sécurité et meilleures pratiques pour contrer les logiciels malveillants 

Découvrez comment les services de données de Qumulo vous aident à gérer et à protéger d'énormes quantités de données de fichiers.

Contactez-nous

Faites un essai routier. Démo Qumulo dans nos laboratoires interactifs. 

Abonnez-vous au blog Qumulo pour les témoignages clients, les informations techniques, les tendances du secteur et les actualités sur les produits