Dossier sécurité Memority

Transcription

1 Dossier sécurité Memority Version / date : Mai 2016 Contact Commercial : Alexandre Esculier alexandre.esculier@arismore.fr Contact technique : Francis GREGOIRE francis.gregoire@arismore.fr

2 Objectif du document Le présent document a pour objectif de détailler les mesures de sécurité prises par Memority pour répondre aux plus hautes exigences des clients. A noter que les documents cités dans le présent support peuvent être mise à disposition auprès des clients pour consultation (attestations, certifications, rapports de sécurité, etc.). Memority /11

3 Memority dossier sécurité Memority, une solution «Security by design» Memority est conçue pour répondre aux plus hauts standards de sécurité, et ce à plusieurs niveaux : sécurité physique des datacenters, architecture de la solution, organisation de la sécurité Les paragraphes qui suivent décrivent l ensemble de ces éléments. Memority est le seul service de gestion des identités et des Accès complet en cloud vous assurant que vos données sont en France et sont exploitées depuis la France. Sécurité des datacenters Memority s appuie sur l offre Dedicated Cloud dans deux datacenters (Roubaix et Strasbourg) de l hébergeur OVH. Memority utilise l offre Dedicated Cloud d OVH. Au travers de cette offre, OVH fournit à Memority des serveurs, des disques dédiés et par hyperviseur VMWare, non partagés avec d autres clients d OVH. Memority est en charge de la solution à partir de la gestion des VMs (virtualisation, système, applicatif, réseau interne). Sécurité physique niveau datacenter La zone d hébergement Dedicated Cloud pour Memority dans les datacenters OVH est close et séparée du reste des infrastructures. Cette zone est occultée de toute visibilité depuis les fenêtres ou autres ouvertures sur l'extérieur. Des moyens de protection : clôture, barbelés, SAS et gardiens, assurent une absence directe d'accès au Dedicated Cloud depuis l'extérieur des bâtiments. Les accès piétons à la zone Dedicated Cloud sont contrôlés un par un par des badges d'accès individuels, des SAS unipersonnels et des contrôles par vidéosurveillance. Les entrées et sorties du périmètre Dedicated Cloud sont systématiquement contrôlées au moyen d'un lecteur de badge. Les accès au Dedicated sont contrôlés au moyen d'un double dispositif : la mesure du poids de l accédant et le port du badge. Les entrées et sorties des périmètres Dedicated Cloud sont tracés et enregistrés dans un journal de logs. Des mécanismes de protection d'accès des véhicules sur les sites de Strasbourg et Roubaix sont opérants. Les accès des véhicules visiteurs sur les sites de Strasbourg et Roubaix sont tracés. La gestion des accès piétons à la zone Dedicated Cloud est révisée tous les mois. Des procédures d'audit des autorisations et des moyens d'accès sur le périmètre Dedicated Cloud existent. Les entrées et sorties des visiteurs (prestataires inclus) sont vérifiées avec un contrôle d'identité obligatoire. Elles sont tracées dans un registre sécurisé. Memority /11

4 Sécurité physique pour l'accès des exploitants Memority Sécurité incendie Sécurité électrique Les entrées et issues de sorties du périmètre Dedicated Cloud sont protégées par des mécanismes anti-effraction (Alarme) et par de la Video Surveillance. Les ouvertures de portes d'entrées et de sorties sont contrôlées et signalées au centre de surveillance permanent. Le gardiennage 24/7/365 et la vidéo surveillance détectent les intrusions en dehors des heures de présence du personnel. Les exploitants de l'équipe Memority sont localisés à Saint-Cloud (France). Ils ont en charge la gestion de l'infrastructure globale Memority (hors gestion des éléments physiques). Cette exploitation se fait depuis un site sûr dans lequel seule l'équipe Memority est autorisée à entrer. L'accès au site sûr se fait par contrôle biométrique (empreinte digitale). Les datacenters hébergeant Memority sont équipés d un système de détection et d'extinction d incendie ainsi que de portes coupe-feu. Notre hébergeur respecte la règle APSAD R4 pour l installation des extincteurs portatifs et mobiles, et possède le certificat de conformité N4 pour tous ses datacenters. Les datacenters de notre hébergeur sont alimentés par deux arrivées électriques indépendantes l une de l autre et sont également équipés d onduleurs. Des groupes électrogènes d une autonomie de 48 heures permettent de pallier une éventuelle panne du réseau de fourniture d électricité. Certification sécurité Preuve de son engagement en matière de sécurité, notre hébergeur a obtenu la certification ISO/IEC 27001:2013 pour la fourniture et l exploitation d infrastructures dédiées de Cloud Computing. Le périmètre de la certification ISO englobe l ensemble des salles d hébergement où sont localisés les serveurs dédiés au Cloud Computing dans trois centres de données (P19, RBX2 et SBG). L ensemble du personnel situé dans le périmètre ISO reçoit régulièrement des formations spécifiques à la sécurité du système d information. Notre hébergeur a également obtenu les attestations internationales SOC 1 type II (SSAE 16 et ISAE 3402) et SOC 2 type II pour quatre centres de données en France et au Canada. Les bureaux et les services de Roubaix et Montréal, ainsi que les datacenters de Roubaix (RBX2), Strasbourg (SBG1), Paris (P19) et Beauharnois (BHS), où est localisé le Cloud Dédié, qui ont été audités par la société KPMG. SOC 1 type I atteste que notre hébergeur a bien défini et mis en place des contrôles pour la protection des données de ses clients, tandis que SOC 2 type I évalue ses contrôles par rapport à la norme internationale établie par l'aicpa (American Institute of Certified Public Accountants) dans ses principes sur les services de confiance («Trust Services Principles»). Le Dedicated Cloud d'ovh est certifié PCI-DSS Niveau 1. Cette certification permet aux clients d'ovh de bénéficier d'une infrastructure conforme aux exigences du PCI SSC (PCI Standard Security Council) pour le stockage et le traitement des données de carte bancaire. Memority /11

5 Par ailleurs, notre hébergeur a adhéré au Cloud Security Alliance et y a publié son propre Self-Assessment (CAIQ), disponible sur Internet. Redondance matérielle Chaque élément de l infrastructure est redondé. Les alimentations des serveurs, les arrivées électriques, les espaces de stockage, les routeurs, les switchs ont tous un jumeau, relié à des alimentations différentes. Gestion des attaques DDoS Le contrôle d'accès est une fonction sensible de Memority. La perte de ce service suite à une attaque de type DDoS (Distributed Deny Of Service ou attaque par déni de service) ne permettrait plus à nos clients d'accéder à leurs services. C'est pourquoi nous avons choisi un hébergeur proposant l'une des meilleures réponses à ce type d'attaque. Ainsi la gestion par auto-mitigation est basée sur du matériel Cisco, Tilera, Arbor (4 niveaux) : En permanence, 1/2000ième du trafic est analysé pour détecter une attaque de type DDOS. Lors d une attaque, le processus suivant est déclenché : Lors du démarrage d'une attaque, l'auto-mitigation démarre dans un laps de temps allant de 15 à 120 secondes. Dès lors, le trafic entrant vers le serveur est aspiré sur 3 VACs, d'une capacité totale de 480Gbps (3x160Gbps) de mitigation, hébergés dans 3 datacenters répartis sur deux continents (Europe et Amérique du Nord). L'attaque est bloquée sans limite de durée, sans limite de taille et quel que soit son type. Le trafic légitime passe à travers le VAC pour arriver enfin sur le serveur. Le serveur répond directement sans repasser par le VAC. Durant 26 heures à compter de la fin de l'attaque, l'auto-mitigation est maintenue. Cela permet ainsi de bloquer une nouvelle attaque qui pourrait arriver potentiellement à nouveau au bout de quelques minutes, quelques heures ou de 24 heures. Après 26 heures seulement, l'auto-mitigation se désactive tout en restant prête à se réactiver en cas de détection d'une nouvelle attaque. Memority /11

6 Si nécessaire, la mitigation peut être déclenchée manuellement. Architecture de la solution Les paragraphes ci-dessous décrivent les éléments d architecture de Memority relatifs à sa sécurité. Un ensemble de service redondé Un service réparti sur deux datacenters L'ensemble des services sont intégralement redondés en s'appuyant sur les technologies de virtualisation et de répartition de charge. Les services de gestion d'identité et de gestion des accès sont actuellement hébergés sur deux datacenters en France (Roubaix et Strasbourg). Le fonctionnement de la répartition des services est le suivant : actif / passif sur le service de gestion d'identité, actif / passif sur le service de reporting, actif / Actif sur le service de contrôle d'accès. Le service d authentification multi-facteur est réparti sur deux autres datacenters en France en mode actif / actif. Ainsi les engagements de disponibilité sont les suivants : 99,95 % annuels pour le contrôle d accès (soit moins de 22 minutes de coupures par mois), 99,90 % annuels (soit moins de 44 minutes de coupures par mois) pour la gestion d identité, le reporting et l authentification multi-facteur. Accès logique L'accès d exploitation à l'infrastructure Memority se fait uniquement via des comptes nominatifs après une authentification forte (mot de passe + clé SSH). Cet accès se fait depuis des postes spécifiques (chiffré, sans droits administrateurs sur le poste, sans accès Internet depuis ce poste). En termes d exploitation, l'accès aux serveurs de l'infrastructure Memority n'est possible que via une zone de rebond sur laquelle résident les serveurs. L'ensemble des accès exploitants (commande en ligne, mouvement de la souris) est tracé au travers de la solution AdminBastion de Wallix. Une architecture de sécurité à l'état de l'art L'architecture est basée sur un cloisonnement réseau (zone publique / zone rivée / zone d administration) ne laissant passer que les flux nécessaires (principe du moindre privilège). Memority /11

7 La zone d administration n est accessible que par VPN. La zone privée n est pas accessible d Internet. Les serveurs ne sont installés qu'avec les services strictement nécessaires au bon fonctionnement de Memority. Les flux sont chiffrés en SSL. Les serveurs bénéficient d'une défense anti-virale. Chiffrement des mots de passe Les mots de passe primaires utilisateurs sont hashés (non réversible) en SHA2. Si le client utilise l'un des modes d'authentification multi-facteurs, le stockage du login et de la clé de chiffrement associé à l utilsateur se fait sur des serveurs situés dans des datacenters différents. Dans le cadre de l authentification multi-facteurs, les clés sont stockées dans un HSM Utimaco. Son utilisation implique l utilisation de passer par des mots de passe à usage unique. Ainsi le mot de passe ou code PIN de l utilisateur ne transite jamais sur le réseau. Politique de mot de passe Le client peut définir une ou plusieurs politiques de mot de passe pour ses utilisateurs (par population). La politique de mot de passe permet de : renseigner la complexité (composition attendue, longueur minimale, mots interdits depuis un dictionnaire, reprise totale ou partielle d un attribut d utilisateur, interdiction de pattern ), renseigner la durée de vie du mot de passe avec délai de grâce pour en changer, gérer l historique du mot de passe (interdiction de réutiliser les N derniers mots de passe, interdiction d utiliser un ancien mot de passe avant une période pré-définie), bloquer le compte (temporaire ou définitif) au bout de N échecs d authentification. Réinitialisation du mot de passe Il est possible de configurer Memority pour permettre la réinitialisation par l utilisateur final. La réinitialisation peut être effectuée par challenges, mail ou par SMS. Authentification multifacteur Il est possible de renforcer l authentification simple login / mot de passe par une authentification multi-facteur. Dès lors, l authentification s appuiera sur ce que sait l utilisateur (un mot de passe ou un code PIN) et sur ce que possède l utilisateur (en l occurrence l appareil enrôlé au préalable). Memority peut également s appuyer sur vos propres systèmes d authentification (x.509, Kerberos AD ). Différentes possibilité d authentification : réserver certains modes d authentifications à certaines populations, réserver certains modes d authentifications à certaines applications, ou encore mixer les deux précédentes modes d authentification. Authentification adaptative Memority peut, à la demande, détecter des tentatives de connexions à risque (fonction de l historique d adresse IP, d une géolocalisation (via adresse IP), d un changement d attributs utilisateurs ). Dès lors, il est possible de simplement bloquer l accès ou de demander une preuve supplémentaire d authentification (réponse à un challenge, demande d authentification forte ). Memority /11

8 Cloisonnement des données clientes Au travers de l offre standard, Memority garantit que les données de différents clients sont gérées de manière autonome à différents niveaux : par virtualisation des éléments applicatifs, par exécution d'instances logicielles spécifiques à chaque client, par contrôle d accès au niveau applicatif (incluant la gestion des données), par utilisation d une clé de chiffrement différente par client. Alimentation des données Raccordement entre datancenter client et datacenter Memority Au travers de l offre Dedicated Memority, les serveurs et les disques sont dédiés au client. Ainsi le cloisonnement des données est directement effectué au niveau physique. Très souvent, l alimentation des données vers Memority s effectue par fichiers plats. Memority n accepte que des fichiers chiffrés (confidentialité) et signés (intégrité). Par ailleurs, il est possible de mettre en place des règles de vérification fonctionnelle sur la qualité du contenu du fichier de données afin d en vérifier la cohérence. Les accès utilisateurs s effectuent en https sur Internet uniquement. Les échanges de données (alimentation amont, provisioning aval) entre datacenters client et datacenters Memority s effectuent au travers d un lien IPSec. Si souhaité, un lien MPLS peut être mis en place. Sauvegardes L intégralité des données est sauvegardée une fois par jour sur une rétention de 30 jours calendaires. Développement sécurisé Une gestion des vulnérabilités actives Dans le cadre de l offre Dedicated Memority, la fréquence de sauvegarde peut être plus élevée. Les développements liés à Memority sont basés sur les meilleures pratiques en termes de développement sécurisé de logiciel. Memority étant basé sur une architecture maitrisée, une veille des vulnérabilités des différents composants est faite de manière permanente. Quand une faille est découverte, Memority réalise le plan d'action suivant : évaluation du risque sur les services Memority, évaluation du patch proposé, de sa mise en œuvre sur Memority, validation du patch sur une plateforme dédiée, déploiement du patch sur Memority. Audit L'infrastructure Memority est auditée une fois par an par du personnel qualifié Arismore (audit en boite noire, boîte de cristal et en boite blanche). En parallèle, un audit hebdomadaire est automatiquement par la société Qualys. Deux audits externes de tests d intrusion ont lieu chaque année. Ces audits de tests d intrusion sont réalisés par deux cabinets externes différents, certifiés par l ANSSI (Agence Nationale de la Sécurité des Systèmes d Informations). A ce jour, les audits ont été réalisés par HSC-Deloitte et Solucom. Les clients de Memority peuvent réaliser des audits de sécurité de leur instance après accord préalable de Memority. Supervision 24/7 L'infrastructure Memority est supervisée en permanence afin d'avoir : une vue sur les composants techniques, une vue sur les services par clients, une vue en terme de capacity planning, une vue sur les performances de Memority. Memority /11

9 En cas d'incidents, les équipes Memority corrigent le problème dans les meilleurs délais. Certification ANSSI La librairie utilisée dans le cadre du module d'authentification multi-facteur est certifié par l'anssi au niveau CSPN (Certificat de Sécurité de Premier Niveau) : Organisation de la sécurité L organisation de la sécurité, sous responsabilité du RSSI Memority, est décrite au travers de deux documents : la Politique de Sécurité du Système d Information, le plan de fonctionnement qui décrit aussi d autres processus tels que l exploitation, les processus projets, le support. Nous listons ci-dessous les processus mis en œuvre pour les domaines exploitation et sécurité, domaines décrits dans le plan de fonctionnement Memority. Equipe d exploitation Seule l équipe d exploitation peut accéder aux tenants de préproduction et production. L accès d exploitation Memority se fait depuis des postes de travail n ayant pas d accès Internet et sur lesquels les exploitants Memority ne sont pas administrateurs (afin d éviter l installation de logiciels tiers non autorisés). Les accès des exploitants (ligne de commande / accès graphique) sont intégralement enregistré en mode vidéo via un bastion Wallix. L extrait de casier judiciaire B3 est vérifié à l embauche. Processus exploitation Les processus et éléments existants sont les suivants : stockage et procédures des modes opératoires, outillage d exploitation, gestion du plan de production, gestion des incidents, gestion des problèmes, gestion des changements, gestion des configurations, gestion de la capacité, gestion de la continuité de service, gestion de la disponibilité, gestion de crise, gestion de la réversibilité, Processus sécurité Les processus et éléments existants sont les suivants : pilotage de la sécurité, mesures de contrôle, indicateurs et tableaux de bord, analyse de risque, classification des biens, ségrégation des droits et gestion des accès, gestion des vulnérabilités, Memority /11

10 sécurité physique, gestion des traces, mesures spécifiques de sécurité mises en œuvre, mesures liées au personnel, gestion de la continuité d activité, gestion de la sécurité des développements, gestion des audits, conformité légale. Memority /11