Est-ce que la donnée est chiffrée by design et donc non accessible à tout autre personne que le client y compris vous-même chez Inspeere ?
La donnée est chiffrée sur disque par ZFS lors de l'écriture. L'accès aux données n'est possible qu'à partir de l'appliance. Une fois les données externalisées, elles deviennent totalement inexploitables. Par commodité, certains de nos clients nous laissent un accès distant (sécurisé) à l'appliance aux fins de maintenance. Mais il est possible aussi de choisir un contrôle d'accès plus strict par lequel l'accès permanent est interdit à Inspeere, c'est le client qui l'active et le désactive au cas par cas. Comment Inspeere utilise cet accès lorsqu'il est autorisé: En interne Inspeere applique une politique Zero Trust qui permet de n'autoriser que certaines opérations de maintenance à certains administrateurs. Seul notre directeur technique détient virtuellement tous les droits d'administration sur une appliance Datis, et en particulier celui de déléguer des permissions.
Et aussi quels sont les mécanismes, protocoles et applicatifs, ( auditable?), accès physique, qui permettent d'assurer que des personnes malintentionnées accèdent aux données des clients ? Par exemple Borg-backup permet de répondre a pas mal de ces questions.
L'appliance Datis est conçue sur la base d'un hyperviseur Proxmox, qui permet de séparer et confiner les sous-système par virtualisation et conteneurisation. Cette virtualisation permet aussi de forcer la réduction de privilèges, et au final de limiter à la fois les risques de propagatrion latéraux et verticaux en cas de compromission d'un sous-système (ce qui n'est jamais arrivé jusqu'à présent). En frontal, Datis embarque un firewall iptable très robuste (Shorewall). Pour des raisons de performances, Datis n'embarque aucun IPS/IDS, car nous considérons que cette protection requiert un équipement à part entière, et dimensionné pour ce besoin. Datis n'embarque pas non plus d'anti-virus, car nous ne souhaitons pas "toucher" aux données du client, auxquelles nous pouvons même ne pas avoir accès dans certains cas (par exemple Datis utilisée comme repository VEEAM ou PBS). En revanche, le firewall embarque des règles de détection d'attaque brute-force et mise en liste noire dynamique des IPs "toxiques" (fail2ban). Enfin, les accès se font exclusivement par connexion ssh authentifiées par bi-clef, et utilisant les algorithmes de chiffrement préconisé par l'ANSSI. Toute tentative de connexion ssh à l'aide d'un login/passwd est considérée comme hostile et aboutit à la mise en liste noire immédiate de l'IP à l'origine de le tentative (30 jours). En matière d'audit, l'interface d'administration de l'appliance permet d'accéder à un menu version, qui permet de lister les versions des différents sous-systèmes: noyau linux, base postgres, server SMB. Cette liste permet de vérifier l'éventuelle vulnérabilité des composants lors de la publication d'alertes. Enfin, l'appliance fonctionne en mode intégration continue: les mises à jour de sécurité critiques se font automatiquement à partir de la distribution linux (debian/proxmox), et la base de code Inspeere se met à jour quotidiennement. Une liste d'IP peut être communiquée au client pour mettre en place une politique de filtrage stricte, tant dans le sens de connexions entrantes que sortantes. Un dashboard de supervision (Grafana) permet de suivre les pricnipales métriques, et par exemple détecter une augmentation importante de la volumétrie de sauvegarde, qui pourrait être le signe d'une attaque par chiffrement. Notons que le principe de stockage ZFS rend impossible le chiffrement de données qui ont été capturées par un instantanné de sauvegarde (snapshot immuable).