Spécifications de sécurité du service VMware on OVHcloud sous la qualification SecNumCloud
1336 vues
21.05.2024 
Informations du compte
Objectif
En complément au modèle de responsabilité entre OVHcloud et le client sur le service VMware on OVHcloud sous la qualification SecNumcloud, cette fiche a pour objectif de présenter les particularités et fonctions de sécurité propres à ce service. Elle met aussi en avant des bonnes pratiques qui permettront au client de l'exploiter au mieux.
1 - Certifications
- ISO/IEC 27001
- ISO/IEC 27701
- ISO/IEC 27017
- ISO/IEC 27018
- HDS
- SecNumCloud
- SOC 1 type II
- SOC 2 type II
- CSA type II
- C5 type II
- CISPE
2 - Bonnes pratiques à déployer sur le service
2.1 - Recommandations à la prise en main du service
Pour l'accès à l'interface vSphere sous la qualification SecNumCloud, il convient de suivre les étapes décrites via ce lien afin d'autoriser les connexions d'adresses IP au vCenter, les accès des utilisateurs et authentification en MFA ainsi que les fonctionnalités de filtrage réseaux et de chiffrement pour sécuriser le service.
Il convient également de procéder au durcissement de son Système d'Exploitation suite à la création des machines virtuelles.
D'autres guides sont disponibles dans le corpus documentaire dédié au service sur ce lien pour vous assister à la prise en main et l'exploitation du service.
2.2 - Scan de vulnérabilités
Vous êtes autorisé à réaliser des scans de vulnérabilités sur le service que vous avez souscrit chez OVHcloud, depuis n'importe quel service. OVHcloud n'a pas besoin d'être prévenu préalablement aux tests. Les mesures de sécurité déployées par OVHcloud (notamment les protections réseau) ne sont pas désactivables, à plus forte raison dans le cadre de ce type d'audits qui doivent établir une vision claire de la sécurité de l'infrastructure du client.
Vous n'êtes pas autorisé à utiliser votre service pour scanner d'autres infrastructures.
3 - Garanties de service
3. SLA
Reprise des SLA des conditions particulières par composante du service.
| Composant | SLA | Méthode de calcul | Dédommagement |
|---|---|---|---|
| L'ensemble du service | Le taux de disponibilité mensuel est de 99,95 % pour l'ensemble du service | Nombre total de minutes du mois considéré, déduction faite du nombre de minutes d’indisponibilité du mois concerné, le tout divisé par le nombre total de minutes du mois considéré. Pour le calcul des dédommagements, le temps d’indisponibilité est calculé à partir de l’ouverture du ticket incident, jusqu'à la résolution du dysfonctionnement. | 1. si le taux disponibilité mensuel est < 99,95%, crédit de 10% du prix du service impacté. 2. Si le taux de disponibilité mensuel est < 99,99%, crédit de 30% du prix du service impacté |
Les SLA pour les options telles que Veeam Managed Backups peuvent être différents, vous pouvez vous référer aux conditions particulières du service pour plus de détails.
4 - Backups
4.1 - Sauvegardes techniques
Les sauvegardes techniques (ou de configuration) sont les sauvegardes réalisées par OVHcloud pour assurer les niveaux de service prévus au contrat. Ces sauvegardes ne sont pas prévues pour être activées à la demande du client.
4.2 - Sauvegardes métier
Liste des fonctionnalités et options de backups adaptées au service :
| Nom de l'option | Granularité | RPO | RTO | Documentation et tutoriels | chiffrement des jobs |
|---|---|---|---|---|---|
| Veeam Managed Backup(Advanced) | la VM | dépend de la date de la dernière sauvegarde et de la durée de résolution de l'incident | dépend de la taille de la VM sauvegardée | Activer et utiliser Veeam Managed Backup | Oui |
| Veeam Managed Backup(Premium) | la VM | dépend de la date de la dernière sauvegarde et de la durée de résolution de l'incident | dépend de la taille de la VM sauvegardée | Activer et utiliser Veeam Managed Backup | Oui |
5 - Logs
Le client bénéficiant d'une infrastructure Hosted Private Cloud qualifiée SecNumcloud a la possibilité de récupérer les logs de connexion à l'espace client et évènements enregistrés sur le service qu'il opère.
Consultez le guide Premiers pas avec les API OVHcloud pour vous familiariser avec l'utilisation des APIv6 OVHcloud.
| Source | Contenu | Liens |
|---|---|---|
| Control Plane (Espace Client) | Logs sur toutes les interactions réalisées via des appels API lancés par les contacts administrateur, technique ou de facturation, sur les services auxquels ils ont accès. | - https://api.ovh.com/console/#/me (voir les appels /me/api/logs)- List of API calls done with your account Tasks associated with this User |
| Service | Historique des tâches, évènements sur le vCenter effectués par un client sur ses infrastructures. | Historique du vCenter : vSphere Client, onglet "Tasks et events" ou via appel API pour certaines tâches : Tasks associated with this User |
| Service | Logs des "support user" qui correspondent aux tâches effectuées par un utilisateur d'OVHcloud créé à la volée, dans l'infrastructure du client pour le support et la gestion des incidents. | Historique du vCenter : vSphere Client, onglet "Tasks et events" |
6 - API
| Nom | Capacités | Liens |
|---|---|---|
| Control Plane et service | Manipulation des comptes client et des services sur lesquels le compte a des droits de gestion du service | Appels API pour Private Cloud |
7 - Comptes utilisateurs
7.1 - Control Plane
A travers votre espace client OVHcloud, vous avez la possibilité de gérer le service à l'aide de trois contacts types.
Afin de référencer chaque client ayant souscrit à un ou plusieurs services, OVHcloud utilise un compte propriétaire avec un NIC interne.
Pour renforcer l'accès au compte client, vous avez la possibilité d'activer une authentification à double facteur (2FA).
La gestion des accès utilisateurs à l'interface vSphere avec filtrage IP et authentification à double facteurs peut se faire en suivant les premières étapes de ce guide.
Avec le compte administrateur, vous avez la possibilité d'établir sa propre politique d'accès au vCenter, de créer des utilisateurs et leur affecter différents droits d'accès pour gérer les ressources, l'accès à l'interface vSphere et la gestion de la partie réseau privé et public. Le guide et détails de configurations sont disponibles sur ce lien.
7.2 - Data Plane
Vous êtes autonome pour créer les comptes utilisateurs sur votre OS, une fois que vous avez les droits d'administration sur son serveur.
8 - Antivirus
Une protection antivirus, avec des scans hebdomadaires, est déployée sur différents composants des infrastructures gérées par OVHcloud comme la SSL Gateway, la Private Gateway, la zone Master, etc.
Aucune protection n'est mise en place au niveau des VM déployées par le client. Il vous appartient donc d'installer votre propre logiciel antivirus et de le monitorer.
9 - Services disponibles à l'installation du Service
9.1 - Fourniture d'images de VM
OVHcloud met à disposition des clients des modèles de VM au format OVF. Ces templates de VM disposent d'un niveau de durcissement minimal. Le durcissement des OS Windows et Linux est celui d'une installation nominale de l’éditeur. Pour un durcissement avancé, OVHcloud recommande de se référer aux documentations de chaque éditeur.
Lors du déploiement d'une VM, vous avez également la possibilité d'importer votre propre image ISO.
9.2 - Fonctions de filtrage, chiffrement et autres options de sécurité
9.2.1 SSL Gateway
Les adresses IP d'un service Private Cloud sont publiques par défaut. La SSL Gateway est une passerelle qui permet à un client d'activer des fonctions de filtrage pour permettre à ses propres utilisateurs de se connecter à son infrastructure depuis Internet.
Elle offre également un service de Firewall/NAT que vous pouvez configurer via une iptable, un certificat pour sécuriser la connexion, un ProxyPass, du monitoring, un serveur SFTP et un script antivirus avec scan quotidien/mise à jour.
9.2.2 Private Gateway
La PrivateGateway est une option disponible sur un service Private Cloud et activée par défaut sur une infrastructure qualifiée SecNumCloud. Elle permet au client de gérer l'accès à son infrastructure via une IP privée (interface vSphere, vScope, etc.).
Une fois déployée, la PrivateGateway agit comme un proxy pour accéder à l'infrastructure à partir du réseau vRack. L'ensemble des règles établies dans SSL Gateway (iptable) seront copiées vers la PrivateGateway pour le filtrage. L'accès via les IP publiques sera désactivé et le domaine du Private Cloud sera accessible uniquement via cette Gateway.
Le mode opératoire pour activer la Private Gateway est disponible via ce lien : Activer la Private Gateway.
Pour l'infrastructure qualifiée SecNumCloud, il convient de suivre l'étape 4 disponible sur ce lien : Mise en route de votre vSphere SecNumCloud.
9.2.3 NSX
Des fonctionnalités de filtrage réseaux plus fines comme la micro-segmentation, un pare-feu distribué, du Load Balancing, etc., sont disponibles via l'offre SDN de VMware basée sur la solution NSX.
Le guide pour les premiers pas avec la solution NSX est disponible sur ce lien. Il est accompagné d'autres tutoriels dans l'espace documentaire pour faciliter l'utilisation des autres fonctionnalités.
9.2.4 SecNumCloud Connectivity : SPN et VPN
Un service optionnel de connectivité est disponible sur l'infrastructure qualifiée SecNumCloud. Ce service intègre :
- un Réseau Privé Sécurisé (SNC Secured Private Network ou SPN) ;
- une interconnexion sécurisée entre SPN distants (SNC SPN Inter-DC) ;
- une passerelle VPN IPsec (SNC VPN Gateway).
La présentation de ces options est disponible via ce lien.
9.2.5 Chiffrement des données
Sur une infrastructure qualifiée SecNumcloud ou hors SecNumcloud, vous avez la possibilité d'appliquer un chiffrement au repos en utilisant la brique vNKP disponible sur le service pour chiffrer les VM ou au niveau des datastores d'un Cluster vSAN.
La même opération peut être réalisée si vous optez pour l'utilisation d'un KMS externe à l'offre OVHcloud.
Le mode d'emploi est disponible via ce lien.
9.2.6 Sécurité avancée avec HDS
Vous pouvez bénéficier d'un pack sécurité avancée en activant les options HDS sur votre infrastructure.
Le pack comprend plusieurs fonctionnalités telles que token validator, accès via 2FA, session Timeout, Fail2ban, hids, forcer le protocole TLS v1.2, etc.
10 - Réversibilité
Afin d'assurer la portabilité et la réversibilité des données sur le service, OVHcloud vous permet d'importer et exporter vos données (machines virtuelles et fichiers de configuration du vCenter) en toute autonomie sous un format de fichiers VMDK ou tout autre format supporté par l'hyperviseur VMware. Il est également possible d'utiliser les API mis à disposition pour faciliter ces opérations.
Les principes de portabilité d'OVHcloud sont décrits dans sa propre politique de portabilité et ceux spécifiques au service Hosted Private Cloud by VMware sous la qualification SecNumCloud sont indiqués dans sa politique spécifique.
10.1 - Effacement des données métier
Suite au décommissionnement du service par le client et avant l'extraction du disque dur du rack, un robot d'effacement applique une procédure d'effacement sécurisé des données basée sur le standard NIST SP 800-88 r1 niveau Purge. En cas de contraintes ou limitations techniques sur certaines gammes de disques durs et quand le niveau Purge ne peut s'appliquer, c'est l'effacement au niveau Clear qui s'exécute.
Sur l'infrastructure qualifiée SecNumCloud, c'est le niveau Destroy qui est appliqué suite à l'extraction du disque de la baie.
10.2 - Effacement des données techniques
Suite au décommissionnement du service par le client, OVHcloud procède à la libération des ressources qui lui sont allouées et la suppression des configurations réalisées lors de la livraison du service.
11 - Représentation des garanties HDS
Ce tableau est publié préalablement à la certification effective d'OVHcloud sur la version 2024 du référentiel HDS. Il permet aux clients d'OVHcloud d'alimenter leur propre démarche de conformité par rapport au référentiel HDS version 2024. OVHcloud a réalisé et publié ce tableau en s'efforçant d'appliquer au mieux les différentes exigences du référentiel. Les versions vérifiées par les auditeurs ont été mises en ligne avant février 2024.
| Raison sociale de l'acteur | Rôle dans le cadre de la prestation d'hébergement | Certfié HDS | Qualifié SecNumCloud 3.2 | Activités d'hébergement sur laquelle l'acteur intervient | Exigence n°29 du référentiel HDS | Exigence n°30 du référentiel HDS |
|---|---|---|---|---|---|---|
| OVHcloud | Hébergeur | Oui | Oui, aucun risque d’accès non autorisé aux données visées par l’exigence n°30 du référentiel HDS | 1° La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3° La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4° La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 6° La sauvegarde des données de santé. | Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen | Non(1) |
(1) : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
Phishing - Comment reconnaître des e-mails ou SMS frauduleux ?
874392