Pierre-Yves DUCAS, Philippe PERRET, Jean Paul LASNIER. Sauvegarde, analyse du risque et chiffrement

Transcription

1 Sauvegarde, analyse du risque et chiffrement Pierre-Yves DUCAS, Philippe PERRET, Jean Paul LASNIER

2 Valeurs des informations Informations : Fait partie des richesses d une entreprise Risques : Perte (oubli ), divulgation (vol ) Besoins : Pérennité, confidentialité Parades: Pérennité è Sauvegardes Confidentialité è Contrôle d accès, chiffrement Page 1

3 Confidentialité Plusieurs techniques pour l assurer (contrôle d accès, chiffrement ) La ou les techniques à utiliser dépendent du contexte Échange de données (transfert réseau par exemple) Format des données (fichier, page Web, flux protocolaire) Protection physique de la donnée (ordinateur portable, disquette, serveur ) Dans cette présentation, on ne s intéressera qu à la confidentialité par chiffrement. Page 2

4 Chiffrement Chiffrement : Technique réversible permettant de rendre inintelligible des données. La présentation est à vocation pratique ; elle s oriente autour des différents usages du chiffrement. La présentation ne concerne pas les méthodes de chiffrement (algorithmes) ou d attaque (cryptanalyse). Page 3

5 Usages du chiffrement Principales utilisations actuelles du chiffrement : Sécurité WEB (HTTPS) Messagerie (S/MIME) Réseau (VPN) Fichiers Naturellement, il en existe d autres. Page 4

6 Sécurité Web Navigateur Serveur Internet/extranet/intranet Page 5

7 Sécurité WEB Objectif : protection de la confidentialité des échanges entre un navigateur et un serveur WEB Cette sécurité est classiquement mise en œuvre par le protocole HTTPS (HTTP over SSL) Disponible sur tous les navigateurs standards (Microsoft, Netscape ) et sur tous les serveurs WEB classique (Microsoft, Apache, iplanet Page 6

8 Protocole HTTPS Le protocole HTTPS permet de : Chiffrer les échanges entre le navigateur et le serveur (dans les deux sens) avec des clés de chiffrement pouvant atteindre 128 bits. Authentifier le serveur afin de ne pas fournir d informations (ou données d identification) à un faux serveur Authentifier le client afin que le serveur ne délivre des informations qu à des utilisateurs connus. Il est également possible de filtrer les informations utilisateur par utilisateur. Page 7

9 Authentification WEB Les authentifications sont basées sur des certificats (de même que la mise en œuvre de la clé de chiffrement) Il est donc nécessaire d avoir : un certificat pour chaque serveur WEB mettant en œuvre la sécurité HTTPS un certificat pour chaque utilisateur si l authentification des utilisateurs est mise en œuvre. La génération des certificats est faite par : Une autorité publique (simple et interropérable mais coûteux pour de gros volumes) Une autorité privée (relativement complexe à mettre en œuvre et non interropérable) Page 8

10 Cartes à puce/tokens Dans le cadre des authentifications clients, il est possible d utiliser des cartes à puce ou des tokens. Le certificat de l utilisateur et la clé privée associée sont stockés dans la carte à puce/token. èrenforce significativement la sécurité des authentifications (mais pas celle du chiffrement). Possibilité de générer les clés de chiffrement par la carte à puce/token (utilisation d aléas matériels) è Renforce significativement la sécurité du chiffrement Page 9

11 Messagerie électronique Emetteur Destinataire Serveur de messagerie Serveur de messagerie Page 10

12 Messagerie électronique Objectif : Sécuriser les échanges entre deux correspondants Cette confidentialité est classiquement mise en œuvre par le protocole S/MIME. Ce protocole est mis en œuvre par les logiciels de messagerie classiques (Outlook, Outlook express, Netscape) et est également apporté par des produits tiers (Security BOX ) Page 11

13 Format S/MIME Le format S/MIME permet de : Authentifier l émetteur du message (celui-ci est signé numériquement). Chiffrer le message pour un ou plusieurs destinataires. Le chiffrement permet indirectement l authentification des destinataires car il n y a que ceux-ci qui peuvent déchiffrer le message. Les échanges nécessitent des certificats (en théorie, il est possible d utiliser des mots de passe mais les produits ne mettent pas en œuvre cette possibilité). Il est nécessaire de disposer du certificat de tous les destinataires è nécessite d un annuaire local ou centralisé (classiquement LDAP). Page 12

14 VPN Il existe trois types principaux de mise en œuvre : Réseau à réseau Poste à réseau Poste à serveur Page 13

15 Réseau à réseau Poste Poste Serveur Passerelle Passerelle Serveur Réseau externe Poste Poste Très utilisé pour relier plusieurs sites d une entreprise Page 14

16 Poste à réseau Poste Poste Passerelle Serveur Réseau externe Très utilisé pour relier un utilisateur nomade au réseau d une entreprise Poste Page 15

17 Poste à serveur Poste Serveur Poste Réseau externe Utilisé pour protéger les communications sur le réseau interne d une entreprise Utilisé pour des utilisateurs nomades lorsqu il n y a pas de passerelle Page 16

18 VPN Objectifs : Sécuriser au niveau réseau les communications entre deux entités correspondantes par chiffrement, intégrité et authentification Cette confidentialité est classiquement mise en œuvre par le protocole IPSEC (sur les réseaux fonctionnant sur IP qui sont les plus répandus). Ce protocole est mis en œuvre par la majorité des systèmes d exploitation et par des routeurs (passerelle). Il est également apporté par des produits tiers (Security BOX ). La fonction est souvent couplée à un firewall (IPSEC impose de facto des fonctions de VPN). Totalement transparent aux protocoles applicatifs è non limité à HTTP, la messagerie Page 17

19 Protocole IPSEC Format normalisé au niveau de l IETF. L interopérabilité n était pas bonne jusqu à récemment mais elle commence à être bonne. Le protocole permet : L authentification mutuelle des entités en communication L intégrité des éléments transportés La confidentialité des éléments transportés Les authentifications et les négociations de clés de chiffrement mettent en œuvre des certificats. La configuration d un VPN IPSEC est très complexe et les problèmes délicats à analyser. Le déploiement pose donc des problèmes qui sont généralement résolus par des solutions propriétaires. Page 18

20 Protection des fichiers Il n existe pas de norme. Pour la protection des fichiers, il existe deux techniques principales : Chiffrement fichier/fichier Partition chiffrée Le choix entre les deux techniques est assez philosophique. Page 19

21 Chiffrement fichier/fichier Les fichiers sont traités individuellement. La mise en œuvre peut être Très simple avec un programme utilisant un mot de passe (Security BOX Freeware) mais cela oblige l utilisateur à agir sur chaque fichier. L avantage, c est que les fichiers chiffrés peuvent être transférés par messagerie. Sophistiquée avec des logiciels sachant traités des répertoires entiers lors de la connexion/déconnexion de l utilisateur (Security BOX File). Complètement intégrée au système tel que le chiffrement de fichiers de Windows. Les opérations de chiffrement/déchiffrement sont transparentes pour l utilisateur. Page 20

22 Partition chiffrée Le chiffrement ne concerne pas un fichier mais une partition (système de fichier). Tous les fichiers présents dans cette partition sont chiffrés ainsi que les informations connexes (taille, droits d accès). Les accès sont totalement transparents pour les utilisateurs (après déverrouillage de la partition chiffrée) Page 21

23 Choix des produits Beaucoup de fournisseurs relativement intéropérables (sauf pour la protection de fichiers). Nécessité d avoir confiance dans le produit et donc dans le fournisseur. Le nombre de produits (et de fournisseurs) a tendance à diminuer. Page 22

24 Algorithmes Algorithmes symétriques (utilisés pour le chiffrement des données) : RC4 pour le SSL avec une taille de clé d au moins 128 bits (algorithme réputé plus faible que les suivants mais très répandu) DES avec une taille de clé d au moins 128 bits (112 bits effectifs) AES avec une taille de clé d au moins 128 bits (algorithme récent) Algorithmes asymétriques (utilisés pour l authentification et la négociation de clés) : RSA avec une taille de clé d au moins 1024 (2048 est mieux) Page 23

25 Contraintes légales La taille des clés de chiffrement est limitée à 128 bits sauf autorisation. Cette autorisation est à demander par l utilisateur ou par le fournisseur (il peut faire une demande globale de fourniture). Le détenteur d une pièce chiffrée est tenue de pouvoir la déchiffrer si les autorités compétentes le lui demande. Dans le cas d une entreprise, cette responsabilité peut être appliquée aux dirigeants. L exportation de produits de chiffrement est contrôlée (attention dans le cadre de filiales/unités étrangères) L importation de produits de chiffrement est contrôlée dans certain pays (attention à des logiciels de ce type sur des portables). Page 24

26 Méthode et Solution Informatique Société de service et éditeur de logiciels spécialisé dans la sécurité logique et les réseaux Produits : Gamme Security BOX Adresse : 3 place Renaudel LYON Tél : Fax : Web : Philippe PERRET Directeur Engineering & System Integration philippe.perret@msi-sa.fr Page 25

27 Sauvegarde, analyse du risque et chiffrement Auteurs: Pierre-Yves DUCAS, Philippe PERRET,Jean-Paul LASNIER

28 Stockage et Sauvegarde Jean-Paul LASNIER (CGE&Y Grenoble)

29 Ordre du jour Le contexte Technologie SAN et NAS Les architectures de stockage Caractéristiques des SAN et NAS Les sauvegardes Technologies employées Typologies Exemples d architecture Logiciels de gestion Les acteurs du marché Page 2

30 Le contexte Valeur de la donnée Les données : capital de la plupart des entreprises Coût de l arrêt d une application Croissance de la volumétrie Besoins de stockage des entreprises en forte augmentation (jusqu à 100% par an) Réservations d espace de données souvent statiques et difficile de modifier leur taille Optimisation de la gestion des données Recherche de consolidation de serveurs et d optimisation de la gestion de l espace disque : Nombreux serveurs : cher à maintenir et à sauvegarder Peu de souplesse dans la gestion de l espace Fenêtres de sauvegarde non extensibles : De plus en plus insuffisantes vu les volumes et débits des réseaux De plus en plus de sauvegardes à chaud (applications critiques 24h/24h, SGBD.) Page 3

31 Quels sont les plus gros problèmes des centres informatiques face à la gestion des données? Gestion de l espace disque Plus d espace disque Sauvegardes Archivage Gestion des supports Source : Strategic Research Group Corp, Santa Barbara, Californie. Page 4

32 Les échanges par réseau Ethernet atteignent leur limites lors de la manipulation de gros volumes Capacité de commutation des équipements actifs, charge réseau Vitesse des cartes réseau : GigaBit au plus Performances des disques : Capacité actuelle : 146Go par disque (bientôt 250Go ) Performance d entrée/sortie : SCSI Mo/s Temps d accès moyen : 4,2 ms Cache 8 Mo Capacité des périphériques (débit des streamers ) Contraintes d exploitation : dispersion géographique, hétérogénéité matérielle. Page 5

33 Ordre du jour Le contexte Technologie SAN et NAS Les architectures de stockage Caractéristiques des SAN et NAS Les sauvegardes Technologies employées Typologies Exemples d architecture Logiciels de gestion Les acteurs du marché Page 6

34 Architectures de stockage La réponse Le protocole «fiber channel» Lien 1 ou 2 Gigabits en fibre optique entre l ordinateur et les disques Déport de 10 km (jusqu à 100 km sous certaines conditions) Cartes HBA dans l ordinateur Des baies de stockage intelligentes Grosse capacité de stockage Très importante mémoire cache Calculateur interne pour la gestion Couplage parallèle à plusieurs ordinateurs Multiples combinaisons : RAID, partitions. Des commutateurs spécialisés «fiber channel» Mêmes fonctions qu un commutateur IP mais en Fiber channel Des machines intégrées et spécialisées pour les gestions fichiers Page 7

35 Architectures de stockage : réseaux LAN et SAN DAS : Direct Attached Storage NAS : Network Attached Storage SAN : Storage Area Network Réseau LAN Application Système de fichiers Unité de Stockage Application & utilisateurs Réseau LAN NFS,CIFS Système de fichiers Unité de Stockage Réseau LAN Application Système de fichiers Réseau SAN Unité de Stockage Page 8

36 Architectures de stockage : DAS et SAN Réseau d utilisateurs Apps Apps Apps MVS UNIX NT Apps Réseau d utilisateurs Apps Apps MVS UNIX NT Réseau d utilisateurs Apps Apps Apps MVS UNIX NT Réseau de Stockage SAN Stockage Captif «Propriétaire» DAS DAS mutualisé TCP/IP-Ethernet Fibre Channel SCSI Stockage d Entreprise «Ouvert» Page 9

37 Architectures de stockage : NAS avec stockage DAS Réseau d utilisateurs Network Attached Storage : NAS Serveurs d applications Apps Apps Gestion logique des fichiers (nfs ) Réseau de Stockage SAN Network Appliance Data mover Filer DAS TCP/IP-Ethernet Fibre Channel SCSI Page 10

38 Architectures de stockage : NAS avec stockage rattaché au SAN Réseau d utilisateurs Network Attached Storage : NAS Serveurs d applications Apps Apps Gestion logique des fichiers (nfs ) Réseau de Stockage SAN Appliance Data mover Filer TCP/IP-Ethernet Fibre Channel SCSI Page 11

39 Ordre du jour Le contexte Technologie SAN et NAS Les architectures de stockage Caractéristiques des SAN et NAS Les sauvegardes Technologies employées Typologies Exemples d architecture Logiciels de gestion Les acteurs du marché Page 12

40 SAN et NAS : caractéristiques NAS SAN Avantages Inconvénients et/ou limitation Avantages Inconvénients et/ou limitation Fonction principale -Service de fichier grâce au concept de l appliance. -Récriture du noyau pour optimisation des IOs : accès rapide. -Accès concurrent NFS et CIFS. -«boite noire dédiée» : lié au constructeur. -Ne supprime pas les serveurs d impression, d authentification -Limité à ce type de service. - Stockage consolidé d un grand nombre de serveurs. - Forte capacité de stockage. - Grande souplesse de paramétrage. - La centralisation de l information peut présenter un risque : site de secours à prévoir. - Interopérabilité / compatibilité délicate. - Diminution du nombre de serveurs de fichiers. - NFS sur TCP : très lent et moyennement fiable (sans connexion, sans contrôle de flux). Sécurité d accès - Accès direct des postes clients aux données. - Attention à la sécurité. - Réseau SAN isolé et protégé de l accès client. - Seules les applications y accèdent. Page 13

41 SAN et NAS : caractéristiques NAS SAN Avantages Inconvénients et/ou limitation Avantages Inconvénients et/ou limitation Gestion des sauvegardes - Permet une sauvegarde rapide des postes clients (fichiers bureautique) par le LAN ou en attachement direct. - Difficile à sauvegarder, car passe par le LAN. - Débit limité. -Débits importants. -Mise en réseau possible, notamment avec des robots de sauvegarde. - Matériel de commutation fibre channel, cartes HBA et baies de stockage coûteux. Protocole performant pour les échanges et les sauvegardes. Installation -Installation rapide et facile. -Facile à maintenir. - Grande fiabilité du stockage grâce à un engagement très fort du constructeur. -Souvent présenté comme une «boite noire». -Maintenance constructeur impérative. - Bon marché. -Demande une bonne compétence d exploitation. - Installation assez complexe. Page 14

42 Ordre du jour Le contexte Technologie SAN et NAS Les architectures de stockage Caractéristiques des SAN et NAS Les sauvegardes Technologies employées Typologies Exemples d architecture Logiciels de gestion Les acteurs du marché Page 15

43 Les sauvegardes : technologies Principe Copier les données de supports rapides et onéreux vers des supports plus lents et moins coûteux Assurer la conservation sécurisée des données Support Bande magnétique : jusqu à 100 Go par cartouche. Support optique : jusqu à 9.1 Go par disque (faible utilisation) Deux technologies pour les bandes magnétiques Hélicoïdale : convient au petits fichiers (moins coûteux). Ex: DAT 4mm ou 8mm Linéaire : pour les gros volumes (plus coûteux). Ex : DLT, LTO Page 16

44 Les sauvegardes : technologies Ordre de grandeur des capacités aujourd hui Cassettes de 100 Go (200 Go en compressé) Débit de 15 Mo/s (30 Mo/s en compressé) Durée de vie plusieurs années, ré-écriture sur la bande possible. Utilisation de robots de sauvegarde Nombreux emplacement de cartouches Plusieurs streamers dans le robot Accès à la cartouche en quelques secondes Interface Fibre Channel ou SCSI Contrôle par le logiciel de sauvegarde Exemple : IBM LTO 3584 : 12 streamers 440 cartouches 88 Tera-octets compressés Page 17

45 Ordre du jour Le contexte Technologie SAN et NAS Les architectures de stockage Caractéristiques des SAN et NAS Les sauvegardes Technologies employées Typologies Exemples d architecture Logiciels de gestion Les acteurs du marché Page 18

46 Les sauvegardes : comment les organiser? La complexité de la sauvegarde dépend du contexte de l entreprise Répartition géographique 24h/24h ou arrêts possibles Durée autorisée des arrêts Volume à sauvegarder Classement des données par criticité Période maximale admise entre deux sauvegardes de chaque information Duplication souhaitée des données et/ou de leur sauvegarde En fonction des réponses, de nombreuses stratégies peuvent être mises en place Les outils de sauvegarde proposent différentes typologies pour s adapter au besoin Page 19

47 Les sauvegardes : typologie des sauvegardes Les sauvegardes peuvent s effectuer à deux niveaux TYPE DE SVG AVANTAGES INCONVENIENTS Niveau «système de fichiers» Niveau «volume disque» - Possibilité de sauvegarder ou restaurer les seuls fichiers utiles - Plus grande rapidité si l on réduit le volume sauvegardé - Déplacement des données sans aucun traitement, donc rapide. - nécessiter d utiliser un système d exploitation connaissant la structure des données -Granularité réduite : obligation de manipuler tout le volume sans discernement -Plus de difficulté à assurer l intégrité des données Page 20

48 Les sauvegardes : typologie des sauvegardes Trois principaux types de sauvegarde Sauvegarde totale Sauvegarde cumulative incrémentale Sauvegarde différentielle incrémentale Sauvegarde totale Toutes les données sauvegardées, éventuellement avec le système d exploitation. Avantages : Redémarrage à partir d un jeu unique de bandes Inconvénients : Généralement long Bloque souvent un serveur Page 21

49 Les sauvegardes : typologie des sauvegardes Sauvegarde cumulative incrémentale Une sauvegarde totale initiale, puis une sauvegarde des différences par rapport à cette version initiale. T0 T1 T2 Initiale Delta par rapport à T0 Delta par rapport à T0 Avantages : Redémarrage à partir d un double jeu de sauvegardes seulement Inconvénients : Accroissement de la taille du delta avec le temps Page 22

50 Les sauvegardes : typologie des sauvegardes Sauvegarde différentielle incrémentale Une sauvegarde totale initiale, puis une sauvegarde des différences par rapport à la version delta précédente. T0 T1 T2 Initiale Delta par rapport à T0 Delta par rapport à T1 Avantages : Pas d accroissement de la taille du delta avec le temps, donc delta plus rapidement sauvegardé Inconvénients : Restauration de multiples sauvegardes delta, en plus de la totale Page 23

51 Les sauvegardes : typologie des sauvegardes Les options des baies de stockage BCV : Business Continuance Volumes Gestion d un miroir à trois disques avec capacité de découpler le troisième disque pour l utiliser en sauvegarde sans perturber l exploitation SVG Snapshot mémorisation de tous les secteurs modifiés sur un disque à partir du moment ou l on prend une «photographie». L application continue à le modifier. Le lecteur de la photographie voit l original et l image des anciens secteurs avant photographie. Poursuite exploitation Secteurs non modifiés Mémo. Anciens secteurs avant modif. SNAPSHOT Page 24

52 Les sauvegardes : interactions avec les applications Prendre en compte dans la stratégie de sauvegarde la dépendance des données entre applications. ADM Addre ss Management Addre ss Checking WWMS Workforce Management Workorder Management CallCenter Directory Assistance Varetis Shift Management InVision CRM CTI Interactive Center Fax PBX/ACD Server Call Center Campaign Siebel Siebel Workflow Siebel Avaya Avaya Predictive Dialer Avaya Qdialer Service Sales Marketing Siebel Siebel Siebel Contact Center Interactive Center Exemple vécu : opérateur GSM à Cross References Connection Models EAI EAI Transaction Monitoring Business Process Account Receivables Payment Mgt HT Network Mediation Pre- Processing Cfa st Reports CABS Rating & Billing Geneva Billing & Rating Tariffs Mgt Geneva Account Receivables Interface Invoices Document Mgt Dialogue & StramWeaver Dunning Account Mgt SAP IS-T Printer or Banks. Banks. external print vendor Page 25

53 Sauvegarde en environnement LAN + SAN Stratégie de sauvegarde par LAN PC Workstatio n Toutes les données transitent sur le LAN Serveur Applicatif Flux des données Contrôle LAN Serveur Backup Librairie de bandes (-) Forte charge du réseau (-) Débit global limité (-) Sollicitation des serveurs d application pour l échange des données (+) Sauvegarde / Restauration au niveau fichier Disques des serveurs Page 26

54 Sauvegarde en environnement LAN + SAN Stratégie de sauvegarde «LAN FREE» PC LAN Contrôle Workstatio n Seul un flux de contrôle passe par le LAN Les données sont échangées directement sur le réseau Fiber Channel Serveur Applicati f SAN Flux des données Fibre Channel / SCSI Serveur Backup (+) Plus de charge du réseau LAN (+) Débit global élevé Baie de Stockage (-) Sollicitation des serveurs d application pour l échange des données (-) Sauvegarde / Restauration au niveau des volumes disques Librairie de bandes Page 27

55 Sauvegarde en environnement LAN + SAN Stratégie de sauvegarde «SERVER LESS» Identique au précédent mais les échanges se font directement entre la baie disque et la librairie de bandes (+) les meilleures performances possibles (+) Plus aucune sollicitation des serveurs d application Flux de données Contrôle Fibre Channel / SCSI Copies Librairie de Baie de stockage bandes (-) Sauvegarde / Restauration au niveau des volumes disques PC Serveur Applicatif Vol Prod LAN Contrôle Workstatio n SAN Serveur Backup Page 28

56 Sauvegarde en environnement NAS Protocole NDMP : spécialement développé pour permettre les échanges entre les logiciels de sauvegarde et les NAS. Exemple : le serveur récupère des informations sur l organisation des données présentes dans le second NAS et provoque la sauvegarde de ces données sur le streamer attaché au premier. LAN FILER NAS Serveur de sauvegarde transfert Dialogue NDMP FILER NAS Librairie de bandes Disques Disques Page 29

57 Ordre du jour Le contexte Technologie SAN et NAS Les architectures de stockage Caractéristiques des SAN et NAS Les sauvegardes Technologies employées Typologies Exemples d architecture Logiciels de gestion Les acteurs du marché Page 30

58 Exemple de SAN avec réplication SITE PRINCIPAL SITE DE SECOURS Robot IBM Baie EMC2 Robot IBM Serveur TIVOLI Serveur TIVOLI Baie Emc2 Commutateur Lien ISL Commutateur Lien ISL Commutateur Serveur Serveur Serveur Serveur Serveurs Serveurs Serveurs en rack Serveur Serveur Page 31

59 PROLIANT PROLIANT PROLIANT PROLIANT PROLIANT PROLIANT PROLIANT R 1850R 1850R 1850R 1850R 1850R 1850R SD SD SD SD SD SD SD Exemple NAS réel CHU xxx situation initiale Switch Gigabits Switchs 100Mbs 2 liens 100Mbs agrégés Serveur W2K Baies de serveurs W2K Serveur AIX Serveur AIX Serveur True64 2 Liaisons SCSI Librairie STK L180 3 LTO DAS 5700 Salle machine / Architecture de sauvegarde Page 32

60 Exemple NAS réel CHU xxx situation finale Exemple NAS réel CHU xxx situation finale Serveurs Filers en cluster Page 33

61 Ordre du jour Le contexte Technologie SAN et NAS Les architectures de stockage Caractéristiques des SAN et NAS Les sauvegardes Technologies employées Typologies Exemples d architecture Logiciels de gestion Les acteurs du marché Page 34

62 Logiciels de gestion SAN Pas de logiciel générique : chaque constructeur livre le sien Un échange des interfaces logicielles d administration des baies s effectue entre les principaux acteurs pour offrir des logiciels multi plate-forme Les outils permettent un contrôle total de l affectation de l espace disque, du type de sécurité retenue (RAID), du cache, du routage.. Page 35

63 Logiciels de gestion SAN D autres outils permettent le relevé de mesures pour ajuster finement les multiples paramètres Page 36

64 Ordre du jour Le contexte Technologie SAN et NAS Les architectures de stockage Caractéristiques des SAN et NAS Les sauvegardes Technologies employées Typologies Exemples d architecture Logiciels de gestion Les acteurs du marché Page 37

65 Les acteurs du marché du stockage EMC 2 : l ancien leader du stockage pour le haut (gamme SYMETRIX) et le milieu (gamme CLARIION) de gamme. Gros effort en cours pour sophistiquer les outils d administration. EMC 2 représente aussi 31% du marché des NAS. HEWLETT-PACKARD/COMPAQ : Leader mondial du stockage avec la gamme basée sur les baies «XP» d Hitachi Data Systems. Des produits d entrée de gamme sont d origine COMPAQ. Hitachi Data Systems (HDS): De très bons produits de stockage, notamment en bas et haut de gamme. Plusieurs accords de distribution avec des partenaires (HP, IBM). Network Appliance : leader mondial du NAS (38% du marché). Page 38

66 Les acteurs du marché du stockage Parts de marché des acteurs du stockage dans le monde On remarque que l addition des parts d HITACHI et HP (qui redistribue ses produits) dépasse EMC Ce tableau inclut les chiffres relatifs aux SAN, NAS et à l attachement direct Acteur HP SUN DELL HITACHI (source : IDC) Part en % IBM 25% EMC 2 11% 6% 5% 5% Estimation du marché du stockage dans le monde selon IDC : 5,4 milliards de $ en 2002 Page 39

67 Editeurs de logiciels de sauvegarde Le logiciel de sauvegarde est un élément essentielle pour planifier et ordonnancer les opérations de sauvegarde/restauration, en relation avec les applications. Logiciels de gestion des sauvegardes Tivoli Storage Manager (TSM) d IBM Netbackup et Veritas Volume Manager de Veritas Legato de Networkers, Brightstor de Computer Associate, Storage Management Les marges sur la vente de matériels étant en baisse, les constructeurs investissent dans des logiciels sophistiqués destinés à unifier les différentes ressources de stockage. Page 40

68 L avenir? Un nouveau type de réseau de sauvegarde émergeant : Le ISCSI = SCSI over IP Encapsulation du SCSI dans l IP Forte baisse des coûts des commutateurs et équipements réseau. iscsi Driver iscsi Storage Router IP Network GigE iscsi Driver Fibre Channel Ex : CISCO storage router 5420 Remote storage appears local to servers FC Storage Page 41

69 FIN DE PRESENTATION Page 42

70 Sauvegarde, analyse du risque et chiffrement Pierre-Yves DUCAS, Philippe PERRET, Jean Paul LASNIER

71 Préambule : quelques phrases clé. On ne s'attarde pas sur les menaces d'inondation quand on habite au sommet d'une montagne, même si on n'est jamais à l'abri d'un déluge Un système sûr à 100 % est un système inutilisable La sécurité : 80 % de BSP, 20 % de technique 50% des entreprises qui ont subi un sinistre informatique majeur disparaissent dans l année qui suit

72 Agenda Le contexte Les menaces Concept de sécurité globale Les méthodes d audit Analyse des risques Prévention des risques Page 2

73 Contexte Menaces Vulnérabilités Les vulnérabilités sont la matérialisation des menaces sur l organisation. Un sinistre survient s il existe une vulnérabilité. Ressources Un sinistre est caractérisé par un Impact sur une Ressource. Impact La probabilité/faisabilité est la potentialité de survenue d un sinistre. Potentialité Page 3

74 Les raisons de la vulnérabilité des réseaux absence de politique de sécurité absence de moyens (argent, temps, personnes) organisation répartie, manque de coordination Dé-corrélation entre pouvoir et responsabilité confiance dans les solutions connues (et déployées) manque d experts produits complexes les utilisateurs ignorants ou naïfs Page 4

75 Origine des risque erreurs internes Les attaques internes ou avec complicité interne (volontaire ou non) les attaques des concurrents des médias des curieux des groupes de pression, extrémistes des anciens employés des prestataires externes Page 5

76 Qui attaque? ne sait pas 18% employés avec autorisation 35% pirates informatiques 22% hackers 28% employés mécontents 36% anciens employés 9% employés sans autorisation 16% source : Information Week concurrents nationaux 17% source : Computer Crime and Security (CSI/FBI) concurrents étrangers 11% gouvernements étrangers 8% autres 24% vol et vandalisme 2% divulgation 9% accidents 24% erreurs 14% attaque logique 9% fraude 18% source : CLUSIF

77 Localiser le danger DANGER connu probable Page 7

78 Les conséquences indisponibilité du réseau perte de données atteinte à l image de l entreprise divulgation d informations confidentielles Page 8

79 Concept de sécurité globale è Page 9

80 Concept de sécurité globale enquête sur les personnes embauchées contrôle des stagiaires contrôle d accès dans l entreprise sécurité du réseau informatique sécurité des systèmes informatiques état d esprit du personnel règles de conduite des partenaires règles de diffusion des documents, d archivage

81 Démarche générale Lancement Évaluation des risques Définition de la politique de sécurité Audit sécurité Élaboration du Plan sécurité Mise en œuvre des projets Page 11

82 Evaluation des risques Identification des menaces, vulnérabilités et ressources impact sur le système d information conséquence sur l activité de l entreprise évaluation du risque (potentialité, coût) Page 12