Les tragiques événements du 11 septembre nous font revoir nos hypothèses et nos priorités. Nous sommes obligés de remettre en question notre sécurité et la sécurité d'une manière qui aurait été impensable il y a quelques semaines.
Nous avons été habitués à penser que nos buildings et ordinateurs sont intrinsèquement sûr, juste parce qu'ils sont gros, importants et visibles. Ce mythe a été brisé. Si quoi que ce soit survient, ces types de bâtiments et d'ordinateurs sont les plus vulnérables.
L'assaut dévastateur sur notre infrastructure est également venu à un moment où l'entrepôt de données a évolué vers un état proche de la production dans beaucoup de nos sociétés. L'entrepôt de données est aujourd'hui le moteur de la gestion de la relation client, et fournit presque en temps réel le suivi des commandes, des livraisons et des paiements. L'entrepôt de données est souvent le seul endroit où une vue des clients et de la rentabilité des produits peut être assemblé. L'entrepôt de données est devenu un outil indispensable pour la bonne marche de nombreuses entreprises.
J'ai pensé écrire sur ce sujet pendant un certain temps, mais soudain, l'urgence est limpide. Énumérons certaines menaces importantes qui peuvent entraîner une défaillance catastrophique d'un entrepôt de données, et quels types de réponses concrètes sont possibles.
Défaillances
- Destruction des installations: Une attaque terroriste peut détruire un bâtiment ou l'endommager gravement par le feu ou une inondation. Dans ces cas extrêmes, tout peut être perdu, y compris les sauvegardes et les environnements d'administration.
- Sabotage délibéré par une personne compétente et déterminée: Les événements du 11 septembre ont montrés que le terrorisme inclut l'infiltration dans nos systèmes par des personnes compétentes qui ont accès aux points de contrôle les plus sensibles. Une fois dans le poste de contrôle, le terroriste peut détruire le système, logiquement et physiquement.
- Cyberguerre: Les pirates peuvent s'introduire dans les systèmes et faire des ravages. Les événements récents réfutent les arguments naïfs comme quoi ces incursions sont inoffensives, ou "constructives" car elles exposent les failles de sécurité de nos systèmes. Il y a des informaticiens qualifiés parmi nos ennemis, qui tentent activement aujourd'hui d'accéder à des informations non autorisées, d'altérer des informations, et de désactiver nos systèmes.
- Défaillance unique (volontaire ou non): Une catégorie de défaillance catastrophique provient de l'exposition excessive à des défaillances ponctuelles, peu importe que ces défaillances soient causées délibérément ou non. Si la perte d'une seule pièce de matériel, une seule ligne de communication, ou d'une seule personne rend l'entrepôt de données invalide pendant une période prolongée, alors nous avons un problème avec l'architecture.
Solutions
- Architecture distribuée: L'approche la plus efficace et puissante pour éviter ces catastrophes est une architecture profondément distribuée. L'entrepôt de données de l'entreprise doit être constitué de plusieurs ordinateurs, systèmes d'exploitation, bases de données, applications analytiques, voies de communication, lieux, personnel et copies en ligne des données. Les ordinateurs physiques doivent être situés dans des endroits très éloignés, idéalement dans différentes parties du pays ou dans le monde. L'étalement du matériel physique avec beaucoup de nœuds indépendants réduit considérablement la vulnérabilité de l'entrepôt aux sabotages et aux défaillances uniques. La mise en œuvre de l'entrepôt de données avec divers systèmes d'exploitation (par exemple, Linux, Unix et NT) réduit également la vulnérabilité de l'entrepôt aux vers, aux attaques informatiques, et aux pirates exploitant les vulnérabilités spécifiques.
- Voies de communication parallèles: même un entrepôt de données distribué peut être compromis si il dépend de trop peu de voies de communication. Heureusement, Internet est un réseau de communication robuste qui est hautement parallélisé et s'adapte continuellement à sa propre topologie changeante. L'Internet est vulnérable localement si les centres de commutation principaux (là où les serveurs Web haute performance se fixent directement à la dorsale Internet) sont attaqués. Chaque équipe locale de l'entrepôt de données devrait avoir un plan pour se connecter à Internet si le centre de commutation local est compromis. Fournir des chemins d'accès multi-modes redondants, comme les lignes dédiées et les liaisons par satellite à partir de votre bâtiment réduit encore davantage la vulnérabilité.
- Réseaux de stockage étendues (SAN): Un SAN est généralement une grappe de disques de haute performance et de périphériques de sauvegarde reliés entre eux via une fibre à très grande vitesse. Plutôt que d'être un serveur de fichiers, cette grappe de disques présente une interface aux ordinateurs accédant au SAN qui font que les disques semblent être connectés à chaque ordinateur. Les SAN offrent au moins trois avantages énormes pour un entrepôt de données. Un simple SAN peut couvrir 10 km. Cela signifie que les disques durs, systèmes d'archivage et dispositifs de sauvegarde peuvent être situées dans des bâtiments séparés sur un assez grand campus. Deuxièmement, la sauvegarde et la copie peuvent être effectuées de disque à disque à des vitesses extraordinaires à travers le SAN. Et troisièmement, puisque tous les disques sur un SAN sont une ressource partagée pour les processeurs connectés, plusieurs systèmes d'application peut être configurés pour accéder aux données en parallèle. Cela est particulièrement convaincant dans un environnement en lecture seule.
- Les sauvegardes quotidiennes sur des supports amovibles pour sécuriser le stockage: Nous connaissons cela depuis des années, mais maintenant il est temps de prendre tout cela au sérieux. Peu importe les d'autres protections que nous mettons en place, rien ne garantit mieux la sécurité que ce que les supports physiques de stockage hors ligne fournissent.
- Passerelles de filtrage stratégiquement placées: Nous devons isoler les serveurs clés de notre entrepôt de données de sorte qu'ils ne soient pas directement accessibles à partir des réseaux locaux utilisés dans nos bâtiments. Dans une configuration classique, un serveur d'application créé des requêtes qui sont transmises à un serveur de base de données séparé. Si le serveur de base de données est isolé derrière une passerelle de filtrage des paquets, le serveur de base de données peut être configuré pour ne recevoir que les paquets extérieurs provenant du serveur d'applications de confiance. Cela signifie que toutes les autres formes d'accès sont soit interdites, soit doivent être connectées localement au serveur de base de données derrière la passerelle. Cela signifie que les DBA avec des privilèges système doivent avoir leurs terminaux reliés physiquement au réseau interne, de sorte que leurs taches d'administration et les mots de passe tapés en clair ne peuvent pas être détectés par des renifleurs circulant sur le réseau du bâtiment.
- Les rôles créent des goulets d'étranglement pour l'authentification et les accès: Les entrepôts de données peuvent être plus facilement compromis s'il existe trop de façons différentes d'y accéder, et si la sécurité n'est pas contrôlée de manière centralisée. Une solution appropriée serait un serveur LDAP (Lightweight Directory Access Protocol Directory) qui contrôle tous les accès vers l'entrepôt de données. Le serveur LDAP permet à tous les utilisateurs d'être authentifiés d'une manière uniforme, indépendamment du fait qu'ils soient à l'intérieur du bâtiment ou connectés via Internet à partir d'un emplacement distant. Une fois authentifiés, le serveur d'annuaire associe l'utilisateur à un rôle nommé. Le serveur d'application prend ensuite la décision de savoir si l'utilisateur authentifié est autorisé à afficher l'information en fonction du son rôle. Comme nos entrepôts de données s'ouvrent à des milliers d'utilisateurs et des centaines de rôles distincts, les avantages de cette architecture de goulot d'étranglement deviennent significatifs.
Il y a beaucoup de choses que nous pouvons faire pour améliorer nos entrepôts de nos données. Au cours des dernières années, nos entrepôts de données sont devenus trop critique pour le fonctionnement de nos organisations pour demeurer exposés comme ils l'ont été.
Source originale: www.kimballgroup.com
Article original "Kimball Design Tip #28: Avoiding catastrophic failure of the data warehouse", publié le 9 septembre 2001.
Aucun commentaire:
Enregistrer un commentaire