L'environnement multi-cloud est une topologie courante et même recommandé pour un plan de reprise après sinistre (DRP), mais la sécurité pourrait être un risque ici car vous devez ajouter aux contrôles de sécurité communs un point supplémentaire ou plus d'un pour garantir vos données dans des environnements multi-cloud.
Dans ce blog, nous mentionnerons certains des contrôles de sécurité les plus courants dans un environnement PostgreSQL exécuté dans le cloud, et ce que vous devez prendre en compte lorsque vous utilisez un environnement multi-cloud.
Vérifications de sécurité pour PostgreSQL dans le cloud
Voyons quelques-uns des contrôles de sécurité les plus courants pour une base de données PostgreSQL dans un environnement cloud.
Contrôle de l'accès à la base de données
Vous devez limiter l'accès à distance aux seules personnes nécessaires, et à partir du moins de sources possibles. L'utilisation d'un VPN pour y accéder est certainement utile ici, mais il existe également d'autres options telles que le tunneling SSH ou les règles de pare-feu.
Gestion des comptes utilisateur de la base de données
Il existe de nombreuses façons d'améliorer la sécurité de vos comptes d'utilisateurs.
-
Supprimer les utilisateurs inactifs.
-
Accorder uniquement les privilèges nécessaires aux utilisateurs nécessaires.
-
Restreindre la source pour chaque connexion utilisateur.
-
Définir une politique de mot de passe sécurisé.
Installations et configurations sécurisées
Il y a quelques changements à faire pour sécuriser l'installation de votre base de données.
-
Installez uniquement les packages et services nécessaires sur le serveur.
-
Modifiez le mot de passe de l'utilisateur administrateur par défaut et restreignez l'utilisation à partir de l'hôte local uniquement.
-
Modifier le port par défaut et spécifier l'interface à écouter.
-
Activer le plug-in d'audit.
-
Configurer les certificats SSL pour chiffrer les données en transit.
-
Chiffrer les données au repos.
-
Configurez le pare-feu local pour autoriser l'accès au port de la base de données uniquement depuis le réseau local ou depuis la source correspondante.
Si vous utilisez une base de données gérée, certains de ces points ne seront pas possibles.
Mettre en place un WAF (Web Application Firewall)
Les injections SQL ou les attaques DoS (Denial of Service) sont les attaques les plus courantes contre une base de données, et le moyen le plus sûr de les éviter consiste à utiliser un WAF pour intercepter ce type de requêtes SQL ou un SQL Proxy pour analyser le trafic.
Gardez votre système d'exploitation et votre base de données à jour
Il existe plusieurs correctifs et améliorations que le fournisseur de la base de données ou le système d'exploitation publie afin de corriger ou d'éviter les vulnérabilités. Il est important de maintenir votre système aussi à jour que possible en appliquant des correctifs et des mises à niveau de sécurité.
Vérifier CVE (Vulnérabilités et Expositions Communes) fréquemment
Chaque jour, de nouvelles vulnérabilités sont détectées pour votre serveur de base de données. Vous devriez le vérifier fréquemment pour savoir si vous devez appliquer un correctif ou modifier quelque chose dans votre configuration. Une façon de le savoir est de consulter le site Web CVE, où vous pouvez trouver une liste des vulnérabilités avec une description, et vous pouvez rechercher la version et le fournisseur de votre base de données, pour confirmer s'il y a quelque chose de critique à corriger dès que possible.
Vérifications de sécurité pour PostgreSQL dans un environnement multicloud
Outre les vérifications mentionnées ci-dessus, la chose la plus importante à sécuriser dans un environnement multi-cloud est la communication entre les fournisseurs de cloud.
Pour des raisons de sécurité, la communication entre les fournisseurs de cloud doit être cryptée et vous devez limiter le trafic uniquement à partir de sources connues pour réduire le risque d'accès non autorisé à votre réseau.
L'utilisation de règles VPN, SSH ou de pare-feu, ou même une combinaison de celles-ci, est indispensable pour ce point. Vous devez limiter le trafic uniquement à partir de sources connues, donc uniquement du fournisseur de cloud 1 au fournisseur de cloud 2 et vice versa.
Conclusion
Votre environnement multi-cloud sera plus sûr en vérifiant les points mentionnés ci-dessus, mais malheureusement, il y a toujours un risque d'être piraté car il n'y a pas de système 100 % sécurisé.
La clé ici est de minimiser ce risque, et pour cela, vous devez exécuter périodiquement des outils d'analyse de sécurité comme Nessus, à la recherche de vulnérabilités, et avoir un bon système de surveillance comme ClusterControl, qui vous permet non seulement de surveiller votre système, mais aussi récupérez automatiquement vos systèmes en cas de panne, ou même configurez rapidement la réplication dans un environnement Multi-Cloud et gérez la configuration de manière simple et conviviale.
