Get best of the week

Modèle de répartition des responsabilités de sécurité cloud

Il reste de moins en moins de temps jusqu'au début d'un nouveau flux sur le cours "DevOps Practices and Tools" . En prévision du début du cours, nous avons préparé une traduction d'un autre matériel utile.




Lorsque nous pensons aux nuages, nous parlons souvent de leurs avantages: évolutivité, élasticité, dynamisme et tarification flexible. C'est bien beau, mais le problème de sécurité reste critique pour les entreprises. Dans votre propre environnement local, vous êtes vous-même responsable de tous les aspects de la sécurité, parmi lesquels les suivants peuvent être distingués au niveau de la base (mais ils ne se limitent pas à cela):

  • cryptage des données;
  • contrôle d'accès à la base de données;
  • sécurité Internet;
  • sécurité du système d'exploitation (hôte et invité);
  • sécurité physique.

Avec la bonne approche, tout cela implique une quantité importante de travail et, en règle générale, des coûts importants. Dans les nuages, tous ces points restent pertinents et nécessaires pour assurer une bonne sécurité. Cependant, conformément au modèle de responsabilité partagée, une partie de ce travail est transférée de vous au fournisseur de services cloud. Examinons ce modèle et les différences entre les deux types courants de déploiements de bases de données cloud: IaaS et DBaaS.

Modèle de responsabilité partagée


Chaque fournisseur de services cloud peut avoir ses propres conditions spécifiques, mais néanmoins, le concept général pour tous reste le même. La sécurité se compose de deux parties: la sécurité du cloud et la sécurité dans le cloud. Par exemple, regardez le modèle de responsabilité AWS:



Sécurité cloud


Cela fait partie du modèle de responsabilité partagée dont le fournisseur de services cloud est responsable. Il comprend du matériel, un système d'exploitation hôte et une infrastructure de sécurité physique. Lors du passage au cloud, la plupart de ces tâches sont immédiatement supprimées du client.

Sécurité cloud


La sécurité physique du cloud étant contrôlée par le fournisseur, le domaine de responsabilité du client devient plus ciblé. Le composant le plus important reste le contrôle de l'accès aux données clients.

Même si vous placez des gardes armés près de vos serveurs, il est peu probable que vous souhaitiez ouvrir le port 3306 pour le monde entier et autoriser l'accès root à la base de données. C’est le type de déploiement (IaaS ou DBaaS) qui définit le domaine de responsabilité du client pour la sécurité «dans le cloud».

Auto-déploiement (IaaS)


Souvent, avec une équipe de base de données expérimentée ou un environnement complexe, l'auto-déploiement est préférable. Dans ce cas, des composants cloud IaaS sont utilisés (machines virtuelles, stockage et réseau). Bien qu'il n'y ait rien de mal à cette approche, le client assume plus de responsabilité en matière de sécurité. En fait, le modèle de base présenté ci-dessus correspond à l'auto-déploiement. Ici, le client est responsable de:

  • gestion du système d'exploitation invité (mises à jour, correctifs de sécurité, etc.);
  • gestion et configuration de tous les composants du réseau;
  • gestion de pare-feu;
  • gestion des bases de données (sécurité, correctifs, sauvegardes, etc.);
  • contrôle d'accès;
  • données client.

Encore une fois, c'est une approche complètement viable, et parfois nécessaire, selon vos conditions. Cependant, voyons comment ce modèle change lors de l'utilisation de DBaaS.

Déploiement géré (DBaaS)


Même lors de l'utilisation de la base de données en tant que service (par exemple, Amazon RDS), une partie de la responsabilité incombe toujours au client. Bien que ses frontières soient différentes. Ce qui suit montre comment le modèle de responsabilité change avec DBaaS:



La première chose qui attire votre attention est que la responsabilité de l'OS invité et du logiciel d'application revient au fournisseur de cloud. Cela peut permettre à votre équipe de se concentrer sur le niveau de la base de données - sur les données elles-mêmes (données client). Le client est toujours responsable du chiffrement de son côté, du pare-feu de la base de données et du contrôle d'accès aux données. Cependant, une énorme quantité de travail opérationnel quotidien se déplace du client vers le fournisseur de services cloud.

Gardez à l'esprit que le modèle DBaaS n'élimine pas le besoin d'un DBA. Bien que la majeure partie du support opérationnel disparaisse, les tâches DBA standard restent. À l'avenir, nous discuterons toujours des tâches qui restent et de la raison pour laquelle vous devez continuer de vous concentrer sur votre base de données.

Sommaire


Comme vous pouvez le voir, les nuages ​​aident vraiment à éliminer une partie du travail traditionnel et des frais généraux associés à la gestion de la base de données. Quel que soit le type de déploiement que vous utilisez, vous avez (et resterez pour toujours) la responsabilité de gérer l'actif le plus important: les données. Et aussi, vous avez l'analyse de la charge, du trafic et des performances. Bien que les services cloud garantissent que les composants individuels se trouvent dans le contrat SLA, le client est toujours responsable de la gestion de sa charge de travail, notamment:

  • optimisation des requêtes;
  • planification des capacités;
  • allocation optimale des ressources;
  • reprise après sinistre.

Ce sont les principaux aspects du niveau de la base de données, et le passage au cloud vous permet de vous concentrer sur la création de la meilleure application, en laissant les détails de l'infrastructure à quelqu'un d'autre. Par conséquent, si vous analysez la possibilité de migrer vers les nuages , Percona peut vous aider à analyser les options et à concevoir le système le mieux adapté à votre organisation.

Jetez un coup d'œil à la deuxième partie de cette série d'articles: Modèle de responsabilité partagée dans le cloud Partie 2: Responsabilité du DBA .

C'est tout. Rendez-vous sur le parcours !

More articles:


All Articles