Contents
Introduction
Le HSL est dédié à la confidentialité des données, en conformité avec les principales règles ISO2700x et des outils et des organisations de sens commun plus technicals.
- Un lieu physique («Bulletproof»)
- Un réseau dédié – RIPE – routage
- Une infrastructure d'enceinte complète (infra autonome)
- Une équipe informatique spécifique (avec confideltialité-spécifique-accréditation-en cours)
Partitionning, protections physiques
Le HSL est conçu pour la protection physique des serveurs contre l'accès direct. Quelques exemples de mesures:
- Une zone physique fermée dédiée dans le bâtiment Loria
- 3 zones
- Bureau/salle informatique/salle rouge
- Différentes autorisations individuelles
- Une puissance presque dédiée supplie
- Un système d'authentification isolé
- Authentification forte (2 facteurs).
- Biométrique et badge
- Verre blindé
- …
Sécurité du réseau
Un réseau dédié, des équipements dédiés, sans intervention extérieure ou dépendances:
- Registre RIPE dédié,
- Son propre DNS, NTP, APT,…
- (différents) pare-feu avec des règles pointe, même entre
réseaux internes - Nat
- LAN préférait au VLAN, même type de vhosts sur le
même hôte physique. - Centralisation des logs
- Bastion (SSH) et VPN dédié… ou pas.
- …
Sécurité du système
Une organisation de systèmes et d'intergiciels dédiés à la protection des données contre les fuites.
- Infrastructure centralisée et rejouable complète
- Hyperviseur & vhosts
- Déploiement de service & config
- Correctif de sécurité
- Surveillance et alerte
- Compte de centralisation… Ou pas
- Utilisateurs centralisés et droits de groupe… Ou pas
- Comptes d'application
- Proxy sortant… ou non.
- Tous les services à l'intérieur:
- Squid, APT Mirror, NTP, vues privées DNS, et plus encore…