Utilisation du logiciel de plateforme de données VAST

Utilisation du logiciel de plateforme de données VAST

Contenu cacher
1 Introduction
2 Qu'est-ce que la plateforme de données VAST
3 Segmentation du réseau et des nœuds
4 Location logique
5 Autorisation et gestion des identités
6 Contrôle d'accès
7 ACL de protocole et étiquettes SELinux
8 Gestion et chiffrement des certificats
9 Catalogue et audit
10 Système d'exploitation maintenu et sécurisé
11 Chaîne d’approvisionnement logicielle sécurisée
12 Conclusion
13 Documents / Ressources
13.1 Références

Introduction

Dans le monde actuel axé sur les données, la confidentialité et la sécurité des données non structurées sont primordiales. La sécurité multicatégorie (MCS) et les fonctionnalités de location sécurisées offrent un cadre robuste pour répondre à ces préoccupations. MCS, un mécanisme de contrôle d'accès dans Security-Enhanced Linux (SELinux), améliore la confidentialité des données en attribuant des catégories spécifiques à files et processus. Cela garantit que seuls les utilisateurs et processus autorisés peuvent accéder aux informations sensibles, offrant ainsi une couche de protection supplémentaire pour les données non structurées telles que les documents, les images et les vidéos.

La location sécurisée renforce encore l'isolation des données en créant des environnements distincts pour différents groupes, départements ou organisations au sein de la même infrastructure. Cette approche garantit que les données de chaque locataire sont logiquement ou physiquement séparées, empêchant tout accès non autorisé et préservant la confidentialité des données. Les aspects clés de la location sécurisée incluent l’isolation des ressources, la ségrégation des données, la segmentation du réseau et les contrôles d’accès granulaires.

La plateforme de données VAST illustre ces principes grâce à sa suite complète de fonctionnalités, notamment VLAN. tagdes contrôles d'accès basés sur les rôles et les attributs, ainsi que des mécanismes de chiffrement robustes. Ce document explore comment l'intégration de MCS avec une location sécurisée au sein de la plateforme de données VAST fournit une solution complète et sécurisée pour gérer les données non structurées, en particulier pour les organisations ayant des exigences strictes en matière de confidentialité des données. Cette introduction est concise, ciblée et fournit un guide clair du contenu du document, conforme aux meilleures pratiques en matière de documentation technique.

Qu'est-ce que la plateforme de données VAST

La VAST Data Platform est une solution complète pour gérer les données non structurées, en particulier pour les applications d'IA et d'apprentissage profond. Il intègre diverses fonctionnalités pour capturer, cataloguer, étiqueter, enrichir et préserver les données, offrant ainsi un accès transparent aux données de la périphérie au cloud.

Architecture désagrégée et partagée (DASE)

Cette architecture dissocie la logique de calcul de l'état du système, permettant une mise à l'échelle indépendante de la capacité en ajoutant des nœuds de données (DNodes) et des performances en ajoutant des nœuds de calcul (CNodes). Il combine des structures de données partagées et transactionnelles pour surmonter les limites des systèmes distribués traditionnels.

Clients pris en charge : NFS, NFSoRDMA Server Message Block (SMB), Amazon S3 et Containers (CSI)

Qu'est-ce que la plateforme de données VAST
Serveurs de protocole sans état (CNodes)
Architecture désagrégée et partagée (DASE)

Banque de données VAST

Introduit en 2019, le DataStore est conçu pour stocker et servir des données non structurées. Il brise le compromis entre performances et capacité, ce qui le rend adapté au stockage de données non structurées d'entreprise prêt pour l'IA.
Base de données VAST

Ce composant offre les performances transactionnelles d'une base de données, les performances analytiques d'un entrepôt de données, ainsi que l'évolutivité et le prix abordable d'un lac de données. Il prend en charge le stockage de données en lignes et en colonnes.
Espace de données VASTE

Lancé en 2023, DataSpace offre un accès mondial aux données de la périphérie au cloud, équilibrant une stricte cohérence avec les performances locales. Il permet de calculer des données provenant de n'importe quelle plateforme cloud publique, privée ou périphérique.

La plateforme unifie les données structurées et non structurées, les analyses de bases de données et fournit un espace de noms global. Il prend en charge divers protocoles tels que NFS, SMB, S3, SQL et intègre Apache Spark pour la transformation et la consommation des données des systèmes de messagerie.

La plateforme est conçue pour alimenter l'IA et les applications d'entreprise, en fournissant une analyse approfondie des données en temps réel et des capacités d'apprentissage profond. Il capture et traite les données en temps réel, permettant l'inférence de l'IA, l'enrichissement des métadonnées et le recyclage des modèles.

Qu'est-ce que la plateforme de données VAST

Segmentation du réseau et des nœuds

La plateforme de données VAST comprend plusieurs fonctionnalités liées à l'efficacité de la gestion et à la segmentation du réseau, notamment la fonctionnalité de regroupement de CNodes, ainsi que la possibilité de lier des CNodes à des VLAN. Voici les descriptions détaillées de ces fonctionnalités, ainsi que les sections pertinentes de la documentation VAST Cluster 5.1 :

Regroupement et pooling de nœuds CNode

Pooling de serveurs (CNode) : les protocoles de stockage sont servis à partir des nœuds de calcul (CNodes). La plateforme de données VAST permet de regrouper des CNodes dans des pools de serveurs distincts. Chaque pool de serveurs dispose d'un ensemble attribué d'adresses IP virtuelles (VIP) réparties sur les CNodes du pool. Cela fournit un mécanisme de qualité de service (QoS) en contrôlant le nombre de serveurs attribués à chaque pool. Lorsqu'un CNode se déconnecte, les VIP qu'il servait sont redistribués sans interruption entre les CNodes restants du pool. Cela garantit l’équilibrage de charge et la haute disponibilité.

  • Section : Documentation du cluster VAST, « Gestion des pools d'adresses IP virtuelles » [p. 593]

VLAN Tagcollage et reliure

VLAN Tagconnexion : VLAN tagging permet aux administrateurs de contrôler quelles adresses IP virtuelles sont exposées à quels VLAN sur le réseau. Cette fonctionnalité garantit que le trafic réseau est isolé entre les différents VLAN, empêchant ainsi les accès non autorisés et les fuites de données entre les locataires. VLAN tagging est configuré en créant des pools IP virtuels au sein des VLAN de la plate-forme VAST, offrant ainsi une segmentation et une isolation sécurisées du réseau.

  • Section : Documentation du cluster VAST, «Tagconnecter des pools IP virtuels avec des VLAN » [p. 147]
  • Section : Accès réseau et provisionnement du stockage (v5.1) [p. 141]

Segmentation du réseau

Contrôler l'accès à Views et protocoles : un vaste View est une représentation multiprotocole d'un partage, d'une exportation ou d'un compartiment de stockage réseau. La plateforme permet aux administrateurs de contrôler quels VLAN ont accès à des Views et quels protocoles sont autorisés à être utilisés lors de l'accès aux VIP sur ces VLAN. Cette fonctionnalité améliore la sécurité en garantissant que seuls les VLAN autorisés peuvent accéder à certaines données et services. Il est configuré en utilisant View Stratégies, qui peuvent spécifier des autorisations d'accès basées sur les VLAN.

  • Section : Documentation du cluster VAST, « Création View Politiques » [p. 628]

Location logique

La plateforme de données VAST offre plusieurs fonctionnalités liées à la multilocation qui permettent une isolation et une gestion sécurisées des locataires. Voici les principales fonctionnalités de location ainsi que des descriptions détaillées et les sections pertinentes de la documentation VAST Cluster 5.1 :

Locataires

Description : les locataires de VAST Data Platform définissent des chemins de données isolés et peuvent disposer de leurs propres sources d'authentification telles qu'Active Directory (AD), LDAP ou NIS. Chaque locataire peut également gérer ses propres clés de chiffrement, garantissant ainsi que les données restent isolées en toute sécurité des autres locataires. Cette fonctionnalité est cruciale pour les environnements multi-tenants où différentes organisations ou départements doivent maintenir une séparation stricte des données.

  • Rubrique : Locataires (v5.1) [p. 251]

View Politiques

Description: View Les stratégies définissent les autorisations d'accès, les protocoles et les paramètres de sécurité pour Views attribués aux locataires. Ces politiques permettent aux administrateurs de contrôler qui peut accéder aux données, quelles actions ils peuvent effectuer et quels protocoles ils peuvent utiliser. Ce contrôle granulaire est essentiel pour maintenir la sécurité et la conformité dans les environnements multi-tenants.

  • Rubrique : Gestion Viewsable View Politiques (v5.1) [p. 260]

Isolation VLAN

Description : les VLAN peuvent être liés à un locataire spécifique pour isoler davantage le trafic entre les locataires, empêchant ainsi le routage croisé ou le trafic de diffusion de se produire à travers la limite L2.

  • Section: TagGérer des pools IP virtuels avec des VLAN [p. 147]

Qualité de service (QoS)

Description : les stratégies QoS fournissent des contrôles granulaires des performances pour la bande passante et les IOPS (opérations d'entrée/sortie par seconde) pour Views attribués aux locataires. Ces politiques garantissent des performances prévisibles et évitent les problèmes de conflit de ressources, ce qui est particulièrement important dans les environnements multi-locataires où différents locataires peuvent avoir des exigences de performances variables. En plus des seuils maximum de QoS qui aident à prévenir l'épuisement des performances, des seuils minimum de QoS sont également disponibles, pour aider à prévenir le problème de voisin bruyant de la multilocation.

  • Section : Qualité de service (v5.1) [p. 323]

Quotas

Description : les quotas permettent aux administrateurs de définir des limites de capacité sur Views et répertoires pour l’isolement des locataires. Cette fonctionnalité garantit qu'aucun locataire ne peut consommer plus que la part de ressources qui lui est allouée, contribuant ainsi à éviter un épuisement inattendu des ressources de capacité du système.

  • Section : Gestion des quotas (v5.1) [p. 314]

Autorisation et gestion des identités

Gestion des locataires et des identités

Description : les locataires de VAST Data Platform définissent des chemins de données isolés et peuvent disposer de leurs propres sources d'authentification telles qu'Active Directory (AD), LDAP ou NIS. La plateforme prend en charge jusqu'à huit fournisseurs d'identité uniques qui peuvent être configurés pour être utilisés au niveau du locataire.

  • Rubrique : Locataires (v5.1) [p. 251]

Views

Description: ViewLes s sont des partages multiprotocoles, des exportations ou des compartiments appartenant à des locataires spécifiques. Ils fournissent un accès aux données isolé et sécurisé, garantissant que chaque locataire ne peut accéder qu'à ses propres données. ViewLes s peuvent être configurés avec des autorisations d'accès et des protocoles spécifiques, ce qui les rend polyvalents pour différents cas d'utilisation.

  • Rubrique : Gestion Viewsable View Politiques (v5.1) [p. 260]

View Politiques

Description: View Les stratégies définissent les autorisations d'accès, les protocoles et les paramètres de sécurité pour views attribués aux locataires. Ces politiques permettent aux administrateurs de contrôler qui peut accéder aux données, quelles actions ils peuvent effectuer et quels protocoles ils peuvent utiliser. Ce contrôle granulaire est essentiel pour maintenir la sécurité et la conformité dans les environnements multi-tenants.

  • Rubrique : Gestion Viewsable View Politiques (v5.1) [p. 260]

Contrôle d'accès

La plateforme de données VAST offre une suite complète de fonctionnalités pour la gestion des autorisations et des identités. Voici les descriptions détaillées de chaque fonctionnalité ainsi que les sections et numéros de page pertinents de la documentation VAST Cluster 5.1 :

Contrôle d'accès

Contrôle d'accès basé sur les rôles (RBAC)

Description : le cluster VAST utilise un système de contrôle d'accès basé sur les rôles (RBAC) pour gérer l'accès au système de gestion VAST (VMS). RBAC permet aux administrateurs de définir des rôles avec des autorisations spécifiques et d'attribuer ces rôles aux utilisateurs. Cela garantit que les utilisateurs ont accès uniquement aux ressources et aux actions nécessaires à leurs rôles, améliorant ainsi la sécurité et simplifiant la gestion.

  • Section : Autoriser l'accès et les autorisations VMS [p. 82]

Contrôle d'accès basé sur les attributs (ABAC)

Description : le contrôle d'accès basé sur les attributs (ABAC) est pris en charge sur views accessible via NFSv4.1 avec authentification Kerberos ou via SMB avec authentification Kerberos ou NTLM. ABAC permet d'accéder à un view si le compte de l'utilisateur dans Active Directory a un attribut ABAC associé qui correspond à l'ABAC tag affecté à la view. Cela fournit un contrôle d’accès précis basé sur les attributs de l’utilisateur.

  • Section : Contrôle d'accès basé sur les attributs (ABAC) [p. 269] Contrôle d'accès

Authentification par authentification unique (SSO)

Description : VAST VMS prend en charge l'authentification par authentification unique (SSO) à l'aide de fournisseurs d'identité (IdP) basés sur SAML. Cela permet aux gestionnaires VMS de se connecter à un cluster VAST à l'aide de leurs informations d'identification provenant d'un fournisseur d'identité tel qu'Okta, qui peut en outre fournir des fonctionnalités d'authentification multifacteur (MFA). SSO simplifie le processus de connexion et améliore la sécurité en centralisant l'authentification.

  • Section : Configurer l'authentification SSO dans VMS [p. 90]

Intégration à Active Directory

Description : le cluster VAST prend en charge l'intégration avec Active Directory (AD) pour l'authentification et l'autorisation des utilisateurs du VMS et du protocole de données. Cela permet aux organisations de tirer parti de leur infrastructure AD existante pour gérer l'accès des utilisateurs aux ressources du cluster VAST. L'intégration AD prend en charge des fonctionnalités telles que l'historique SID pour les groupes et les utilisateurs, garantissant un contrôle d'accès transparent.

  • Section : Connexion à Active Directory (v5.1) [p. 347]

Intégration LDAP

Description : La plate-forme prend en charge l'intégration avec les serveurs LDAP pour l'authentification et l'autorisation des utilisateurs du VMS et du protocole de données. Cela permet aux organisations d'utiliser leurs annuaires LDAP existants pour gérer l'accès aux ressources du cluster VAST, offrant ainsi une solution d'authentification flexible et évolutive.

  • Section : Connexion à un serveur LDAP (v5.1) [p. 342]

Intégration NIS

Description : le cluster VAST prend en charge l'intégration avec Network Information Service (NIS) pour l'authentification des utilisateurs du protocole de données. Cette fonctionnalité est utile pour les environnements qui s'appuient sur NIS pour gérer les informations utilisateur et le contrôle d'accès.

  • Section : Connexion à NIS (v5.1) [p. 358]

Utilisateurs et groupes locaux

Description : les administrateurs peuvent gérer les utilisateurs et les groupes locaux directement dans le cluster VAST. Cela inclut la création, la modification et la suppression de comptes et de groupes d'utilisateurs locaux, ainsi que l'attribution d'autorisations et de rôles à ces comptes.

  • Section : Gestion des utilisateurs locaux (v5.1) [p. 335]
  • Section : Gestion des groupes locaux (v5.1) [p. 337] Contrôle d'accès

ACL de protocole et étiquettes SELinux

La plateforme de données VAST prend en charge diverses ACL de protocole et fonctionnalités d'étiquette SELinux, garantissant un contrôle d'accès et une sécurité robustes. Voici les descriptions détaillées de chaque fonctionnalité ainsi que les sections et numéros de page pertinents de la documentation VAST Cluster 5.1 :

Listes de contrôle d'accès POSIX (ACL)

Description : les systèmes VAST prennent en charge les ACL POSIX, permettant aux administrateurs de définir des autorisations détaillées pour files et dossiers au-delà du simple modèle Unix/Linux. Les ACL POSIX permettent l'attribution d'autorisations à plusieurs utilisateurs et groupes, offrant un contrôle d'accès flexible et granulaire.

  • Rubrique : NFS File Protocole de partage (v5.1) [p. 154]

Listes de contrôle d'accès NFSv4

Description : NFSv4 est un protocole avec état avec authentification sécurisée via Kerberos qui prend en charge les ACL détaillées. Ces ACL ont une granularité similaire à celles disponibles dans SMB et NTFS, permettant un contrôle d'accès robuste. Les ACL NFSv4 peuvent être gérées à l'aide d'outils Linux standard via le protocole NFS.

  • Rubrique : NFS File Protocole de partage (v5.1) [p. 154]

Listes de contrôle d'accès PME

Description : les ACL SMB sont gérées de la même manière que les partages Windows, permettant aux utilisateurs de définir des ACL Windows plus précises via des scripts PowerShell et Windows. File Explorateur sur SMB. Ces ACL, y compris les entrées de liste de refus, peuvent être appliquées aux utilisateurs accédant simultanément via les protocoles SMB et NFS.

  • Rubrique : PME File Protocole de partage sur cluster VAST (v5.1) [p. 171]

Politiques d'identité S3

Description : La version de sécurité native S3 permet l'utilisation de stratégies d'identité S3 pour contrôler l'accès et la possibilité de définir et de modifier les ACL conformément aux règles S3. Cette fonctionnalité fournit un contrôle d'accès granulaire pour les compartiments et les objets S3.

  • Section : Protocole de stockage d'objets S3 (v5.1) [p. 182]

ACL multiprotocoles

Description : VAST prend en charge les ACL multiprotocoles, fournissant un modèle d'autorisation unifié pour accéder aux données sur différents protocoles. Cela garantit un contrôle d’accès et une sécurité cohérents quel que soit le protocole utilisé pour accéder aux données.

  • Section : Accès multiprotocole (v5.1) [p. 151]

Fonctionnalités de l'étiquette SELinux

1. Étiquettes de sécurité NFSv4.2

Description : VAST Cluster 5.1 prend en charge l'étiquetage NFSv4.2 en mode serveur limité. Dans ce mode, le cluster VAST peut stocker et renvoyer les étiquettes de sécurité des files et répertoires sur NFS views de locataires compatibles NFSv4.2, mais le cluster n'applique pas la prise de décision d'accès basée sur les étiquettes. L'attribution et la validation des étiquettes sont effectuées par les clients NFSv4.2.

  • Section : Étiquettes de sécurité NFSv4.2 (v5.1) [p. 169]

Gestion et chiffrement des certificats

La VAST Data Platform offre une suite complète de fonctionnalités pour le chiffrement et la gestion des certificats. Voici les descriptions détaillées de chaque fonctionnalité ainsi que les sections et numéros de page pertinents de la documentation VAST Cluster 5.1 :

Chiffrement des données au repos

Description : VAST Data Platform prend en charge le chiffrement des données au repos à l'aide de solutions de gestion de clés externes. Cette fonctionnalité garantit que les données stockées sur la plateforme sont cryptées de manière sécurisée avec des clés conservées en dehors du cluster VAST, protégeant ainsi les données contre tout accès non autorisé. La plateforme prend en charge Thales CipherTrust Data Security Platform et Fornetix Vault Core pour la gestion des clés externes. Chaque cluster possède une clé principale unique et le chiffrement peut être activé lors de la configuration initiale du cluster.

  • Section : Chiffrement des données (v5.1) [p. 128]

Validation FIPS 140-3 niveau 1

La plateforme de données VAST intègre le module cryptographique OpenSSL 1.1.1, validé FIPS 140-3 niveau 1. Le numéro de certificat pour cette validation est #4675. Tout le cryptage des données en vol et au repos est lié au module cryptographique OpenSSL 1.1.1 validé FIPS. La plate-forme utilise TLS 1.3 pour la transmission sécurisée des données et le cryptage AES-XTS 256 bits pour les données au repos, garantissant ainsi une sécurité robuste et la conformité aux normes de l'industrie. Améliorer la sécurité et la gestion des données grâce à la sécurité multicatégorie et à la location sécurisée 14

  • Source : Programme de validation des modules cryptographiques (CMVP)

Gestion des certificats TLS

Description : La plateforme prend en charge l'installation et la gestion de certificats TLS pour sécuriser les communications.
avec le système de gestion VAST (VMS). Les administrateurs peuvent installer des certificats TLS pour garantir que les données transmises
entre les clients et le VMS est crypté et sécurisé.

• Section : Installation d'un certificat SSL pour VMS (v5.1) [p. 78]

Authentification mTLS pour les clients VMS

Description : La plate-forme prend en charge l'authentification mutuelle TLS (mTLS) pour les clients VMS GUI et API. Lorsque mTLS est activé, VMS exige que le client présente un certificat signé par une autorité de certification spécifique. Cela ajoute une couche d'authentification mutuelle, dans laquelle le client et le serveur s'authentifient mutuellement, fournissant une couche de sécurité supplémentaire pour les communications avec le VMS afin de prendre en charge éventuellement les cartes PIV/CAC.

  • Section : Activation de l'authentification mTLS pour les clients VMS (v5.1) [p. 78]

Sécurisation des communications Active Directory

La plateforme de données VAST fournit des mesures de sécurité robustes pour l'authentification Active Directory (AD) en permettant aux administrateurs de désactiver les protocoles NTLM v1 et v2. NTLM (NT LAN Manager) est un protocole d'authentification plus ancien qui présente des vulnérabilités connues, le rendant moins sécurisé par rapport aux protocoles plus modernes comme Kerberos.

  • Section : Connexion à Active Directory (v5.1) [p. 347]

Sécuriser l'accès à S3

La plateforme de données VAST améliore la sécurité de l'accès S3 en vous permettant de désactiver la signature Signature Version 2 (SigV2), garantissant ainsi que toutes les interactions S3 sont effectuées à l'aide de la signature Signature Version 4 (SigV4), plus sécurisée. De plus, la plate-forme impose l'utilisation de TLS 1.3 pour les communications S3, en tirant parti des chiffrements validés FIPS 140-3.

  • Section : Protocole de stockage d'objets S3 (v5.1) [p. 182]

Effacement de crypto-monnaie

Description : l'effacement cryptographique est une méthode permettant de supprimer les données d'un locataire d'un système VAST. Cela se fait en révoquant ou en supprimant les clés du locataire à l'aide du système VAST ou du gestionnaire de clés externe. Le système VAST purgera les clés de cryptage de données (DEK) et les clés de cryptage de clé (KEK) de la RAM système, supprimant ainsi immédiatement l'accès à toutes les données écrites à l'aide de ces clés. Le système VAST peut alors effacer les données cryptées. Cette fonctionnalité fournit une méthode pour supprimer en toute sécurité des données en cas de fuite de données ou lorsqu'un locataire quitte la plateforme.

Section : Chiffrement des données (v5.1) [p. 128]

Catalogue et audit

La plateforme de données VAST offre une suite complète de fonctionnalités pour l'audit et le catalogage, garantissant une gestion et une conformité robustes des données. Voici les descriptions détaillées de chaque fonctionnalité ainsi que les sections et numéros de page pertinents de la documentation VAST Cluster 5.1 :

Audit de protocole

Description : audit de protocole dans les opérations de journalisation de VAST Data Platform qui créent, suppriment ou modifient files, répertoires, objets et métadonnées. Il enregistre également les opérations de lecture et les activités de session. Cette fonctionnalité permet de suivre les activités des utilisateurs et de garantir le respect des politiques de sécurité. Les administrateurs peuvent configurer les paramètres d'audit globaux et view journaux d'audit via VAST Web Interface utilisateur ou CLI.

  • Section : Audit du protocole terminéview [p. 243]
  • Section : Configuration des paramètres d'audit globaux [p. 243]
  • Section : Configuration de l'audit avec View Politiques [p. 245]
  • Section : Opérations de protocole auditées [p. 245]
  • Section: Viewjournaux d'audit du protocole [p. 248]

Stockage des journaux d'audit de protocole dans les tables de base de données VAST

Description : VAST Data Platform permet la configuration de VMS pour stocker les journaux d'audit de protocole dans une table de base de données VAST. Les entrées du journal sont stockées sous forme d'enregistrements JSON, qui peuvent être viewdirectement depuis le VAST Web Interface utilisateur sur la page Journal d'audit VAST. Cette fonctionnalité améliore la capacité d'effectuer des audits et des analyses détaillés des activités des utilisateurs. Section : Stockage des journaux d'audit de protocole dans les tables de la base de données VAST [p. 25]

Catalogue VAST

Description : le catalogue VAST est un index de métadonnées intégré qui permet aux utilisateurs de rechercher et de trouver rapidement des données. Il traite le file système comme une base de données, permettant aux applications d’IA et de ML de nouvelle génération de l’utiliser comme magasin de fonctionnalités auto-référentiel. Le catalogue prend en charge les requêtes de style SQL et fournit une interface intuitive WebInterface utilisateur, CLI riche et API pour l'interaction.

  • Section : Catalogue VAST terminéview [p. 489]
  • Section : Configuration du catalogue VAST [p. 491]
  • Section : Interrogation du catalogue VAST à partir du VAST Web Interface utilisateur [p. 492]
  • Section : Fournir un accès client à la CLI du catalogue VAST [p. 493] Catalogue et audit

Base de données VAST

Description : la base de données VAST étend les capacités du catalogue VAST en stockant du contenu plus complexe dans une base de données complète. Il prend en charge les requêtes de données massives et à grande vitesse, stockant les données dans un format de colonnes efficace similaire à Apache Parquet. La base de données est conçue pour des requêtes fines en temps réel sur de vastes réserves de données tabulaires et de métadonnées cataloguées.

  • Section : Base de données VAST terminéeview [p. 495]
  • Section : Configuration du cluster VAST pour l'accès à la base de données [p. 499]
  • Section : Guide de démarrage rapide de la CLI de base de données VAST [p. 494]

Champs d'enregistrement du journal d'audit

Description : les champs d'enregistrement du journal d'audit fournissent des informations détaillées sur chaque événement enregistré, notamment le type d'opération, les détails de l'utilisateur, l'heure.amps et les ressources affectées. Cette journalisation détaillée est cruciale pour la conformité et l’analyse médico-légale.

  • Section : Champs d'enregistrement du journal d'audit [p. 250]

ViewJournaux d'audit du protocole

Description : les administrateurs peuvent view journaux d'audit de protocole via VAST Web Interface utilisateur ou CLI. Les journaux fournissent des informations sur les activités des utilisateurs et les opérations du système, contribuant ainsi à garantir la conformité et à détecter toute action non autorisée.

  • Section: Viewjournaux d'audit du protocole [p. 248]

Système d'exploitation maintenu et sécurisé

La plateforme de données VAST utilise une approche globale pour sécuriser son système d'exploitation, garantissant ainsi une robustesse
protection et respect des normes de l’industrie. Voici les aspects clés du système d’exploitation et les mesures de sécurité mises en œuvre :

Système d'exploitation maintenu

Description : VAST Data Platform utilise un système d'exploitation maintenu fourni par CIQ, en particulier Enterprise Rocky 8, qui est une image de système d'exploitation compatible binaire RHEL. La plateforme Mountain de CIQ offre une solution de livraison d'images, de packages et de conteneurs sécurisée, faisant autorité et hautement évolutive, disponible à la fois sur le cloud public et sur site.

Correctifs réguliers et gestion des vulnérabilités

Description : VAST garantit que le système d'exploitation est régulièrement corrigé et mis à jour en restant informé des dernières vulnérabilités de sécurité, en appliquant les correctifs nécessaires et en mettant en œuvre les mesures d'atténuation appropriées en temps opportun. Cette approche proactive permet de maintenir la posture de sécurité du système d'exploitation.

Surveillance continue

Description : des pratiques de surveillance continue sont mises en œuvre pour maintenir la posture de sécurité du système d'exploitation. Cela comprend des évaluations régulières, des audits et des reviews des contrôles et des configurations de sécurité du système, ainsi que la journalisation des activités suspectes et des incidents de sécurité potentiels.

Conformité DISA STIG

Description : La plateforme de données VAST prend en charge le DISA STIG (Security Technical Implementation Guide) pour RedHat Linux 8, MAC 1 Pro.file – Mission critique classifiée. Cette conformité garantit que le système d'exploitation adhère aux normes de sécurité rigoureuses requises par les clients dans des environnements réglementés.

Gestion de la configuration

Description : La plate-forme maintient une configuration de base pour les systèmes RHEL 8, y compris les paramètres des composants du système, file autorisations et installation de logiciels. Il met également en œuvre des processus de contrôle des changements pour suivre, reviewet approuver les modifications apportées à la configuration du système, en garantissant que les systèmes adhèrent à une configuration sécurisée et standardisée.

Moins de fonctionnalités

Description : le principe de fonctionnalité minimale est souligné en recommandant la suppression ou la désactivation des logiciels, services et composants système inutiles. Cela réduit les vulnérabilités potentielles et les vecteurs d’attaque.

Intégrité des systèmes et des informations

Description : Les fonctionnalités de chiffrement et de gestion des clés de la plateforme, ainsi que son intégration avec les systèmes SIEM, contribuent à garantir l'intégrité des données et des informations. Cela comprend des évaluations de sécurité régulières, des tests d'intrusion et une gestion des vulnérabilités pour garantir des correctifs de sécurité, des configurations et des meilleures pratiques à jour.

Chaîne d’approvisionnement logicielle sécurisée

Garantir une chaîne d'approvisionnement logicielle sécurisée est essentiel pour la conformité aux réglementations telles que la loi sur les accords commerciaux (TAA), la réglementation fédérale sur les acquisitions (FAR) et les normes ISO. La plateforme de données VAST met en œuvre des mesures complètes pour sécuriser sa chaîne d'approvisionnement logicielle, garantissant que les logiciels sont développés correctement et répondent à des exigences de sécurité strictes.

Cadre de développement logiciel sécurisé (SSDF))

La plateforme de données VAST adopte le NIST Secure Software Development Framework (SSDF), qui fournit des lignes directrices pour le développement de logiciels sécurisés. Ce cadre aide à protéger les chaînes d'approvisionnement logicielles contre les risques en décrivant les pratiques de codage sécurisé, de gestion des vulnérabilités et de surveillance continue.

Analyse de la composition du logiciel (SCA)

Des outils tels que GitLab sont utilisés pour les tests de sécurité des applications statiques (SAST) et les tests de sécurité des applications dynamiques (DAST) afin d'analyser les vulnérabilités du code propriétaire et open source. Ceci est crucial pour identifier les faiblesses de sécurité avant le déploiement.

Nomenclature logicielle (SBOM)

La plateforme génère et gère des SBOM pour suivre les composants utilisés dans le développement de logiciels. GitLab et Artifactory sont exploités en cours pour améliorer la transparence et la conformité au décret 14028.

Pipeline d’intégration continue et de déploiement continu (CI/CD)

Un pipeline CI/CD intègre des tests de sécurité, du code reviewet les contrôles de conformité. Le pipeline est hébergé sur une plate-forme cloud basée aux États-Unis pour répondre aux exigences TAA/FAR, garantissant que toutes les opérations sont effectuées aux États-Unis et gérées par des entités américaines.

Signature des conteneurs et des colis

La signature numérique des conteneurs et des colis est mise en œuvre pour garantir l'intégrité et l'authenticité. Docker Content Trust et la signature RPM sont des pratiques recommandées pour sécuriser les applications conteneurisées et les distributions de packages.

Analyse des vulnérabilités et de la conformité

Des outils tels que Tenable et Qualys sont utilisés pour analyser les systèmes d'exploitation et créer des packages, ainsi que pour la détection de virus et de logiciels malveillants. Ces outils sont intégrés au pipeline pour identifier et atténuer les menaces potentielles dans l'environnement logiciel.

Gestion des logiciels tiers

Tous les logiciels tiers, qu'ils soient open source ou propriétaires, proviennent de sites américains afin de se conformer aux réglementations TAA/FAR. Ce logiciel est inclus dans les processus d'analyse SAST et DAST pour garantir la sécurité.

Documentation et pistes d'audit

Une documentation complète de l'ensemble du processus, depuis l'enregistrement du code jusqu'au package téléchargeable utilisé par les clients, est conservée. Cette documentation est accessible sous NDA pour les audits et validations par les clients, comme l'exige la direction.

Gestion des employés et des actifs

Le processus est géré par des employés de l'entité américaine (Vast Federal), et tous les actifs utilisés dans le processus de développement et de déploiement du logiciel appartiennent à cette entité. Cette conformité est cruciale pour respecter les réglementations fédérales en matière d’acquisition.

Environnement de développement sécurisé

Le logiciel est développé et construit dans des environnements sécurisés, avec des mesures telles que l'authentification multifacteur, l'accès conditionnel et le cryptage des données sensibles. Une journalisation, une surveillance et un audit réguliers des relations de confiance sont appliqués.

Chaînes d'approvisionnement de codes sources fiables

Des outils automatisés ou des processus comparables sont utilisés pour valider la sécurité du code interne et des composants tiers, en gérant efficacement les vulnérabilités associées.

Vérifications des vulnérabilités de sécurité

Ongoing vulnerability checks are conducted before releasing new products, versions, or updates. A vulnerability disclosure program is maintained to assess and address disclosed software vulnerabilities promptly.

Conclusion

L'intégration de la sécurité multicatégorie (MCS) avec des fonctionnalités de location sécurisées fournit un cadre robuste pour améliorer la confidentialité et la sécurité des données non structurées. En tirant parti du MCS, les organisations peuvent attribuer des catégories spécifiques à files, garantissant que seuls les processus et les utilisateurs autorisés peuvent accéder aux informations sensibles. Cette couche de sécurité supplémentaire est cruciale pour protéger les données non structurées telles que les documents, les images et les vidéos.

La location sécurisée renforce encore l'isolation des données en créant des environnements distincts pour différents groupes, départements ou organisations au sein de la même infrastructure. Des aspects clés tels que l'isolation des ressources, la ségrégation des données, la segmentation du réseau et les contrôles d'accès granulaires garantissent que les données de chaque locataire restent privées et sécurisées. La plateforme de données VAST illustre ces principes grâce à sa suite complète de fonctionnalités, notamment VLAN. tagdes contrôles d'accès basés sur les rôles et les attributs, ainsi que des mécanismes de chiffrement robustes.

En résumé, la VAST Data Platform, avec son intégration de MCS et sa location sécurisée, fournit une solution complète et sécurisée pour gérer les données non structurées. Cette approche est essentielle pour les organisations ayant des exigences strictes en matière de confidentialité des données, telles que les agences gouvernementales, les institutions financières et les prestataires de soins de santé. En mettant en œuvre ces mesures de sécurité avancées, les organisations peuvent protéger en toute confiance leurs données sensibles tout en permettant une gestion des données efficace et évolutive. Cette conclusion conserve les points clés tout en garantissant clarté et concision.

Conclusion

 

Symbole Pour plus d'informations sur la plateforme de données VAST et sur la manière dont elle peut vous aider à résoudre vos problèmes d'application, contactez-nous à l'adresse bonjour@vastdata.com.

Logo

Documents / Ressources

Logiciel de plateforme de données VAST [pdf] Guide de l'utilisateur
Logiciel de plateforme de données, logiciel de plateforme, logiciel
Logiciel de plateforme de données VAST [pdf] Guide de l'utilisateur
Logiciel de plateforme de données, logiciel de plateforme, logiciel

Références

Laisser un commentaire

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués *