James Thew - Fotolia
Monitoring : le stockage de Nasuni s’intègre au SIEM d’Azure
Microsoft se lance dans une nouvelle stratégie d’intégration des solutions de stockage hébergées sur Azure à Sentinel, son système de surveillance des incidents de cybersécurité. RSSI et DSI sont invités à collaborer.
Le système de stockage de Nasuni – qui partage localement, sous la forme d’un NAS, du stockage objet en cloud - peut désormais fournir des événements d'audit et des notifications à Microsoft Sentinel, une console de gestion des informations et des événements de sécurité (SIEM).
« Sachant que les ransomwares ciblent le stockage pour accéder à des informations personnelles identifiables, à la propriété intellectuelle de l'entreprise ou à d'autres données précieuses, les enjeux de cybersécurité et ceux de la gestion du stockage convergent. Plus que jamais, les équipes de sécurité (du RSSI) et celles de l’infrastructure (de la DSI) doivent mettre en commun leurs efforts et cette initiative entre Nasuni et Microsoft répond à ce besoin », commente l’analyste Dave Raffo, du cabinet de conseil Futurum Group.
L'intégration de la solution de Nasuni dans Sentinel permet aux équipes de sécurité de collecter les événements liés aux risques informatiques qui surviennent sur chaque NAS Nasuni, dont le nombre peut atteindre plusieurs centaines chez certains clients qui en équipent toutes leurs succursales. Les événements suspects ainsi collectés sont typiquement une quantité massive de modifications de données ou de suppressions de fichiers.
Automatiser la remise en opération
Sentinel dispose pour sa part de capacités d'automatisation pour réagir instantanément aux événements suspects : envoi d’alertes au personnel concerné, désactivation des comptes utilisateurs impliqués, analyse des logs à des fins d’investigation.
La connexion Nasuni-Sentinel permet également l'interopérabilité avec d'autres services de sécurité Azure. Parmi ceux-ci, citons Microsoft Defender, qui mettra à jour la protection sur les appareils des utilisateurs censés se connecter aux NAS, et Sentinel Data Connectors qui surveille les flux entre plusieurs clouds.
De plus, Sentinel peut réinjecter dans le système de Nasuni le moment auquel l’attaque a eu lieu, de sorte que Nasuni puisse enclencher son système de restauration qui consiste à remplacer les données partagées par leur dernière copie saine. Ce dispositif repose sur une capacité récente de Nasuni de réaliser de manière continue des snapshots des contenus qu’il partage.
En pratique, l'intégration de Nasuni est désormais disponible depuis la marketplace Azure, dans la catégorie des modules Sentinel. Rappelons que le système de Nasuni, nommé File Data Platform, est vendu sous forme d'abonnement annuel par To, depuis la marketplace des trois hyperscalers. Le service de snapshots et de restauration est vendu en option.
Une stratégie pour unifier gestion du stockage et cybersécurité
La connexion entre Nasuni et Sentinel s’inscrit dans une récente stratégie de partenariat menée par Microsoft avec les fournisseurs de stockage présents sur son cloud. Avant Nasuni, Microsoft s’était ainsi associé à Rubrik pour connecter sa solution de sauvegarde au SIEM d’Azure.
Pour l’analyste Jack Poller, du cabinet de conseil ESG, ce type d’intégration est d’autant plus nécessaire que les acteurs du stockage ont brouillé les messages à force de revendiquer à tort et à travers qu’ils assuraient la protection des données :
« La protection des données concerne la disponibilité des données, tandis que la sécurité concerne le contrôle de leur accès. Ce sont deux choses totalement différentes et les entreprises en prennent rarement conscience », lance-t-il.
Il conseille ainsi à toutes les entreprises de connecter leur stockage à un SIEM, qu’il s’agisse de Sentinel ou d’un autre : Chronicle sur GCP, Splunk, ou encore IBM QRadar Suite.
« La protection des données par les fournisseurs de stockage ne doit pas être considérée comme une première ou une dernière ligne de défense, mais comme un rouage parmi tous les rouages de la cybersécurité. Et c’est pourquoi il est essentiel que les équipes de sécurité et d’infrastructure aient des outils de collaboration sur le stockage », conclut-il.