De quelle granularité a-t-on besoin dans le processus de restauration ? C’est l’une des questions à se poser pour choisir le mode de sauvegarde d’une VM. L’ANSSI en fait part dans un document récemment publié.
Ce document inaugure une série de « fondamentaux », format à travers lequel l’agence entend « traiter en quelques pages un sujet spécifique », « éclairer [quel que soit le] niveau de connaissance technique » et « donner des orientations de mise en œuvre sécurisée ».
Le premier de ces sujets est la sauvegarde des systèmes d’information. Il fait l’objet d’une quarantaine de recommandations sommaires. En voici quelques-unes parmi celles considérées comme « les plus importantes et les plus prioritaires ».
1 – Cloisonner les serveurs de sauvegarde et les positionner au sein du SI d’administration. Ou, au moins, dans une zone réseau distincte de la zone de prod hébergeant les serveurs sauvegardés.
2 – Faire transiter les flux de sauvegarde au sein du réseau d’administration et au sein d’un VLAN dédié. Les filtrer au moyen d’un pare-feu interne.
3 – Dédier une instance de serveur de sauvegarde et un magasin de données par niveau de sensibilité des données et/ou applications. En réserver, par exemple, au SI d’administration, aux postes bureautiques ou aux systèmes stockant des secrets.
4 – Ne pas intégrer à un domaine Windows de production (Active Directory) les serveurs hébergeant l’infra de sauvegarde. Ils doivent disposer d’un système d’authentification indépendant (comptes locaux, annuaires dédiés à l’administration).
5 – Mettre en place une sauvegarde hors ligne – ou au moins hors site en ligne sous certaines conditions. Ce même si elle est moins fréquente que les sauvegardes locales en ligne.
6 – Dédier des comptes d’administrateurs à chaque instance de sauvegarde. Ces comptes doivent être nominatifs et dédiés.
7 – Maintenir à jour les composants de l’infrastructure de sauvegarde (suivre les CVE et les bulletins d’alerte de l’éditeur).
8 – En cas d’incident de sécurité, isoler cette infra du reste du SI. On prévoira un « bouton d’urgence » (script automatisé, déconnexion d’un commutateur…).
9 – Sauvegarder les médias d’installation et les configurations des applications métier
10 – Aligner le niveau de robustesse de la protection des sauvegardes sur le niveau de protection de ces mêmes données dans le SI de production.
Pour le choix du mode de sauvegarde des machines virtuelles (images disque ou installation de l’agent), l’ANSSI liste quelques critères dont tenir compte. Et y adjoint un tableau des avantages et inconvénients.
Même approche binaire pour l’aspect externalisation de la sauvegarde. Mais sous l’angle risques/solutions.
Illustration principale © kubais – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…