Considérations sur le réseau pour sécuriser et protéger vos données
Voici le quatrième et dernier article de notre série en quatre parties sur la sécurisation de vos données de sauvegarde et la protection contre les ransomwares.
Les articles précédents avaient pour but de vous aider à vous familiariser avec les façons dont HYCU découvre les sources et protège les données en toute simplicité.
Nous avons également mis l'accent sur notre capacité native anti-ransomware, mais nous avons également expliqué comment nous vous offrons la possibilité d'améliorer encore votre posture de sécurité en choisissant des cibles de stockage qui offrent des options supplémentaires pour rendre les données de sauvegarde difficiles à compromettre et en changeant simplement les mots de passe ou en les faisant pivoter. La dernière étape du processus de sécurisation de vos sauvegardes consiste à se concentrer sur la manière de sécuriser les chemins d'accès vers et depuis vos sources, hôtes et cibles.
Fort heureusement, la configuration des adaptateurs réseau virtuels pour HYCU est un processus très simple et direct.
Bien qu'un seul NIC virtuel (vNIC) soit nécessaire, au minimum, il est possible d'héberger HYCU à plusieurs, en ajoutant un deuxième vNIC à la VM HYCU après l'avoir déployée avec le premier vNIC attaché. Une fois que le deuxième vNIC est attaché (après avoir déployé la VM), il devient un élément configurable dans l'interface Web de HYCU 4.1. Et les clients peuvent désactiver l'auditeur Web sur le deuxième NIC utilisé pour accéder à un réseau de stockage.
En fonction de votre sélection de cible, tenez compte des éléments suivants :
- Si vous choisissez une cible NFS pour vos sauvegardes primaires, sachez que l'appliance peut nécessiter un paramètre de liste blanche pour autoriser le trafic vers le stockage réseau à partir de HYCU.
- Si vous optez pour une cible SMB, vous devrez configurer un compte ayant accès à un partage que vous créez. Il est également important d'interdire (ou de ne pas autoriser abusivement) tout accès réseau non autorisé à votre partage de données de sauvegarde. Si vous choisissez une cible iSCSI, il serait prudent d'envisager d'activer/configurer CHAP (Challenge-Handshake Authentication Protocol), ce qui peut être fait sur la cible et dans HYCU.
- Pour les cibles de stockage d'objets dans le nuage, vous devrez configurer des comptes et/ou des clés secrètes/accès pour accorder l'accès au stockage dans le nuage. Vous devrez ensuite décider si vous avez besoin d'une connexion isolée cryptée à haut débit (configurée avec des points de connexion surveillés et des itinéraires appropriés), d'une connexion VPN de site à site ou si vous pouvez simplement passer par l'internet public avec HTTPS/TLS.
L'interface Web de HYCU peut être configurée pour utiliser un certificat PKI généré par le client ou le fournisseur.
Le déploiement initial fournit un certificat auto-signé, mais les clients peuvent passer à l'étape suivante en utilisant un certificat personnalisé à l'aide de leurs propres autorités de certification. De plus, la connexion source de HYCU avec Nutanix Prism peut également être configurée pour utiliser l'authentification par certificat.
Si les clients prennent le temps de mettre en œuvre les mesures susmentionnées appropriées à leurs environnements et de verrouiller les ports et les accès, alors les quelques étapes finales peuvent être de désactiver l'accès SSH à HYCU, de limiter l'accès à Prism Element ou aux interfaces utilisateur vCenter aux seuls administrateurs Nutanix et/ou VMware nécessaires (et à leurs postes de travail/serveurs administratifs) par le biais de la micro-segmentation. Faire ces choses peut grandement limiter l'accès à la console VM à seulement ces personnes ou machines sélectionnées.
Par-dessus tout, en faisant preuve de bon sens (c'est-à-dire en n'autorisant pas l'accès à Internet aux serveurs et en maintenant les postes de travail administratifs dans un état d'hygiène extrême), en sélectionnant soigneusement vos cibles de stockage (y compris celles qui offrent des fonctions anti-ransomware) et en suivant ces lignes directrices relatives au réseau, vous réduirez considérablement les risques d'attaque et vous aurez une chance de vous en remettre gracieusement.
Merci d'avoir suivi cette série de blogs sur la technologie ! Pour lire l'intégralité de la série, vous pouvez la consulter ici :
Subbiah Sundaram est SVP, Product chez HYCU. Subbiah dirige la gestion des produits, le marketing produit, les alliances, l'ingénierie des ventes et la réussite des clients, avec plus de 20 ans d'expérience dans la fourniture de solutions de protection des données multi-cloud et sur site de premier ordre. Diplômé d'un MBA de la Kellogg Management School, Subbiah a travaillé avec des entreprises de premier plan telles que EMC, NetApp, Veritas, BMC, CA et DataGravity.
Obtenez les dernières informations et mises à jour
Thank you for submitting the form!
The file should open in a new tab. If it doesn't, click the button below for direct download.
Thank you for submitting the form!
La vidéo du webinaire est désormais disponible ci-dessous.