Stockage : l’impact des technologies récentes sur la sécurité des baies SAN
L'IA, le NVMe-oF et les utilisations en cloud hybride chamboulent le fonctionnement des baies de disques en mode bloc. Alors qu’il s’agit de prime abord d’améliorer les performances, ces technologies augmentent aussi la surface d’attaque du stockage.
Les baies de stockage en mode bloc, ou SAN, ont longtemps été le centre de gravité de la configuration des serveurs. Cette approche est désormais supplantée par diverses avancées technologiques dans le datacenter. Si ces avancées ont vocation à améliorer la vitesse et les fonctionnalités des baies SAN, elles ont aussi l’inconvénient d’en augmenter la surface d’attaque possible.
Cet article liste les principaux points de vigilance.
Les charges de travail liées à l'IA ou nécessitant un accès faible latence aux données
L'introduction des activités d'IA, ainsi que des charges de travail qui y sont associées, a modifié la manière dont les baies SAN sont utilisées et, par conséquent, leurs exigences en matière de sécurité.
L'augmentation du trafic généré par les activités de stockage pilotées par l'IA met à rude épreuve la bande passante existante des baies SAN, ce qui se traduit par une latence accrue et des temps de réponse plus longs.
Cette croissance du trafic entraîne également une augmentation proportionnelle des surfaces d'attaque potentielles. La nécessité accrue de garantir la confidentialité, l'intégrité et la disponibilité des données en transit et au repos signifie que le chiffrement revêt une importance capitale.
Le risque accru d'attaques basées sur l'IA signifie que les configurations SAN pourraient être menacées, notamment par une manipulation malveillante des caractéristiques de zonage et de masquage. Les entreprises qui envisagent une sécurité SAN avancée doivent s'assurer que des outils basés sur l'IA sont en place pour offrir le plus haut niveau de protection.
NVMe-oF et NVMe/TCP. Succédant au protocole SCSI des disques durs, le protocole NVMe offre des vitesses plus élevées avec les SSD. À l’échelle d’un SAN cela se traduit par des connexions NVMe-over-Fabrics (alias NVMe-oF), à savoir le passage d’un protocole NVMe au travers d’une connexion réseau vers le SAN : NVMe/TCP par-dessus un réseau Ethernet, ou NVMe/FC par-dessus des liens Fiber Channel.
Dans tous les cas, le NVMe-oF élargit la surface d'attaque potentielle en augmentant le nombre de machines prises en charge. Sa variante NVMe/TCP pourrait même ouvrir la voie à des attaques par usurpation d'identité grâce à des attaques au niveau de la couche réseau. Le chiffrement est pratiquement indispensable.
Stockage cyberrésilient. La résilience, c'est-à-dire la capacité à survivre à de nouvelles attaques en tirant les leçons des précédentes et en adaptant les mesures correctives pour assurer une meilleure protection à l'avenir, est devenue une exigence fondamentale en matière de sécurité des baies SAN.
Les stratégies de stockage cyberrésilient comprennent les snapshots, l'isolation physique (alias air-gap), la restauration automatisée, les architectures « zero-trust » et la surveillance à des fins d’analyse du comportement du réseau. L'intelligence artificielle joue également un rôle majeur dans la mise en place de cette résilience.
SAN en cloud hybride et en multicloud. Alors que les baies SAN étaient traditionnellement confinées aux datacenters, les nouvelles architectures basées sur le cloud étendent la portée d'un SAN au-delà des murs de l’entreprise. Les nouvelles implémentations peuvent inclure des configurations cloud et sur site (hybrides) ainsi que des déploiements multicloud.
L'utilisation d'API pour la fourniture et la surveillance de services par des SAN adjacents au cloud peut introduire de nouvelles cibles pour les cyberattaques. Étendre la portée d'un SAN au-delà du centre de données peut affecter le contrôle d'accès basé sur les rôles (RBAC) sur plusieurs terminaux. Les clés de chiffrement interenvironnements et d'autres éléments peuvent également présenter des incohérences.
100 % SSD.En fonction des besoins de l'entreprise et des exigences en matière de reprise après sinistre, les SAN actuels peuvent connecter divers périphériques de stockage, notamment des disques durs, des systèmes de bandes et des SSD. L'évolution vers une infrastructure 100 % SSD permet d'atteindre des vitesses de lecture/écriture et une capacité de stockage plus élevées.
En revanche, cela augmente également les contraintes en matière de sécurité. Typiquement, les technologies de chiffrement doivent désormais prendre en charge des vitesses réseau plus élevées.
Ces mêmes vitesses élevées impliquent que les pirates qui parviennent à s'introduire dans le réseau agiront plus rapidement et causeront des dégâts à un rythme plus soutenu.
De plus, les firmwares et les contrôleurs nécessaires au fonctionnement des SSD peuvent eux aussi devenir des cibles.
Les mesures à prendre
À l'avenir, les stratégies de planification et de déploiement SAN devront se concentrer sur les aspects clés suivants :
- Des contrôles d'accès renforcés. Une stratégie fondée sur le modèle « zero trust » sera indispensable à tous les niveaux de l'infrastructure SAN. Cela nécessitera une authentification forte pour l'accès à tous les périphériques, une identification confirmée par un contrôle d'accès basé sur les rôles (RBAC), ainsi qu'un zonage et un masquage basés sur des politiques.
- Chiffrement de bout en bout. Alors qu'aujourd'hui la norme est le chiffrement en transit, puis au repos, les SAN de nouvelle génération devront disposer d'un chiffrement de bout en bout complet pour l'ensemble du trafic, quelle que soit la structure réseau utilisée. Les clés de chiffrement améliorées, partagées entre le serveur et la baie, pourront inclure des contrôles d'audit, de rotation avancée et de cycle de vie.
- Activités de gouvernance renforcées. Celles-ci seront nécessaires pour gérer les SAN de nouvelle génération complexes, notamment les contrôles d'accès, les multiples structures de réseau telles que Fibre Channel et le NVMe-oF, la surveillance continue du trafic réseau, le chiffrement, la détection avancée des anomalies et les déploiements d'IA.
- Gestion dynamique des incidents. Compte tenu de la vitesse et de la complexité attendues des nouvelles baies SAN, les plans d'intervention en cas d'incident devront permettre de détecter les codes suspects et de les analyser rapidement, avant de mettre en œuvre des mesures correctives. L'intelligence artificielle devrait jouer un rôle majeur dans les futures activités de réponse aux incidents, car elle permet de détecter et d'analyser plus rapidement les codes suspects et de déclencher des mesures d'intervention pour neutraliser rapidement les attaques.
- Gestion de la conformité. Il sera nécessaire de s'assurer que les données transitant par les SAN sont protégées contre les failles de sécurité et bénéficient d'une confidentialité optimale, afin de se conformer aux exigences réglementaires strictes du RGPD et aux spécifications définies dans la norme ISO 27001.
Cet article est initialement paru en anglais sur SearchStorage.
