Unité 3.5 : Sécurité et conformité
Introduction
Imaginez que vous gérez une chambre forte de banque sécurisée. La banque fournit le bâtiment, la porte de la chambre forte, les gardes de sécurité et les systèmes d'alarme. Mais vous êtes responsable de ce que vous stockez à l'intérieur, de qui reçoit la clé et de la façon dont vous organisez vos objets de valeur. La sécurité du cloud fonctionne de la même manière : le fournisseur sécurise l'infrastructure, tandis que vous sécurisez vos charges de travail et vos données.
Dans cette unité, vous apprendrez comment IONOS Cloud partage les responsabilités de sécurité avec vous, quels sont les certifications et les normes de conformité que IONOS maintient, et comment la plateforme protège vos données grâce au chiffrement et aux traces d'audit. Comprendre ces principes de sécurité fondamentaux vous aide à créer des applications conformes et sécurisées tout en répondant aux exigences réglementaires comme GDPR, ISO 27001, et aux normes spécifiques à l'industrie.
1. Shared Responsibility Model
La sécurité du cloud fonctionne sur un Shared Responsibility Model où le fournisseur de cloud et le client ont des responsabilités de sécurité distinctes. Comprendre où les responsabilités d'IONOS se terminent et où les vôtres commencent est crucial pour maintenir un environnement sécurisé.
1.1 Responsabilités d'IONOS (Sécurité DU Cloud)
IONOS est responsable de la maintenance de l'infrastructure cloud sous-jacente, qui comprend :
- Infrastructure physique et centres de données
- Infrastructure de calcul et de stockage
- Services de plateforme
IONOS maintient ces couches en continu, garantissant que la base de votre environnement cloud reste sécurisée sans nécessiter d'intervention du client.
1.2 Responsabilités du client (Sécurité DANS le Cloud)
En tant que client d'IONOS Cloud, vous êtes responsable de la sécurisation de tout ce que vous déployez et configurez dans l'environnement cloud :
| Domaine de responsabilité | IONOS (Fournisseur) | Client (Vous) |
|---|---|---|
| Centres de données physiques et infrastructure | Responsabilité totale | Aucune responsabilité |
| Backbone réseau et matériel | Responsabilité totale | Aucune responsabilité |
| Couche d'hyperviseur et de virtualisation | Responsabilité totale | Aucune responsabilité |
| Infrastructure de service gérée | Responsabilité totale | Configuration et utilisation |
| Systèmes d'exploitation sur les machines virtuelles | Non responsable | Responsabilité totale |
| Applications et conteneurs | Non responsable | Responsabilité totale |
| Chiffrement des données et sauvegardes | Fournit des outils | Met en œuvre et gère |
| Gestion des identités et des accès | Fournit la plateforme | Configure les utilisateurs et les rôles |
| Règles de sécurité réseau | Fournit des NSGs | Configure les règles |
| Surveillance et journalisation | Fournit des services | Configure et analyse |
1.3 Contrôles partagés
Certains contrôles de sécurité impliquent à la fois IONOS et le client :
Pare-feu réseau
- IONOS fournit Network Security Groups (NSGs) en tant que capacité de plateforme
- Vous configurez les règles de pare-feu spécifiques qui s'appliquent à vos ressources
Chiffrement
- IONOS fournit des capacités de chiffrement et d'infrastructure
- Vous décidez des données à chiffrer et gérez les clés de chiffrement au niveau de l'application, le cas échéant
Surveillance et journalisation
- IONOS fournit Activity Logs, Flow Logs, et des services de surveillance
- Vous configurez ce que vous souhaitez surveiller, configurez des alertes et répondez aux résultats
Comprendre cette division des responsabilités vous aide à identifier les lacunes de sécurité et à garantir une couverture complète sur toutes les couches de votre environnement cloud.
2. Certifications et conformité de sécurité IONOS
IONOS Cloud maintient plusieurs certifications de sécurité reconnues internationalement et respecte les principaux cadres de conformité, fournissant ainsi l'assurance que la plateforme répond à des normes de sécurité et de confidentialité rigoureuses.
2.1 Certification ISO 27001
Ce que c'est ISO 27001 est la norme internationale pour les systèmes de gestion de la sécurité de l'information (SGSI). Il établit une approche systématique pour gérer les données sensibles grâce à l'évaluation des risques, aux contrôles de sécurité et aux processus d'amélioration continue.
Conformité IONOS Les centres de données IONOS Cloud sont certifiés ISO 27001 dans tous les emplacements, démontrant ainsi que IONOS suit les meilleures pratiques reconnues internationalement pour la gestion de la sécurité de l'information. La portée de la certification est vérifiée par des audits indépendants réguliers dans chaque centre de données.
Ce que cela signifie pour vous Lorsque vous exécutez des charges de travail sur IONOS Cloud, vous bénéficiez d'une plateforme construite sur les principes de ISO 27001, fournissant ainsi une base sécurisée pour vos propres efforts de conformité. De nombreuses organisations exigent que les fournisseurs de services cloud détiennent la certification ISO 27001 avant de pouvoir héberger des charges de travail sensibles.
2.2 Certification de type II SOC 2
Ce que c'est SOC 2 (Service Organization Control 2) de type II est un cadre de conformité qui évalue les contrôles liés à la sécurité, à la disponibilité, à l'intégrité du traitement, à la confidentialité et à la protection des données. La certification de type II démontre spécifiquement que ces contrôles fonctionnent de manière efficace dans le temps, et non seulement qu'ils sont conçus correctement.
Conformité IONOS IONOS Cloud détient la certification de type II SOC 2 dans certains emplacements de centres de données, ce qui nécessite que des auditeurs indépendants vérifient que les processus et les contrôles de sécurité de IONOS répondent à des critères opérationnels stricts de manière cohérente. La certification est renouvelée régulièrement par le biais d'audits permanents. Consultez le Catalogue de services IONOS Cloud pour connaître la couverture actuelle de SOC 2 par emplacement.
Ce que cela signifie pour vous La certification de type II SOC 2 fournit l'assurance que les opérations IONOS Cloud sont surveillées, contrôlées et auditées par rapport à des critères standardisés dans l'industrie. Cela est particulièrement important pour les organisations qui opèrent dans des secteurs réglementés (santé, finance, gouvernement) et qui doivent vérifier que leurs fournisseurs répondent à des exigences de sécurité spécifiques.
2.3 Conformité GDPR
Ce que c'est Le Règlement Général sur la Protection des Données (GDPR) est la loi de protection des données de l'Union européenne qui régit le traitement des données personnelles des citoyens de l'UE par les organisations.
Conformité IONOS IONOS Cloud est entièrement conforme au GDPR, avec des centres de données situés dans l'Union européenne (Allemagne, Espagne et France). Tous les mécanismes de traitement des données, de chiffrement à REST et en transit, ainsi que les contrôles de résidence des données sont conçus pour répondre aux exigences de GDPR. IONOS fournit des outils et des fonctionnalités qui permettent aux clients de créer des applications conformes à GDPR.
Ce que cela signifie pour vous Si vous traitez des données personnelles de citoyens de l'UE, vous pouvez utiliser l'infrastructure conforme à GDPR d'IONOS et les centres de données basés dans l'UE pour répondre aux exigences de résidence et de souveraineté des données. Le cadre de conformité d'IONOS vous aide à remplir vos propres obligations de GDPR.
2.4 Conformité PCI DSS
Ce que c'est La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble d'exigences de sécurité conçues pour protéger les données des cartes de paiement pendant le traitement, le stockage et la transmission. Les organisations qui traitent des informations de cartes de crédit doivent se conformer à la norme PCI DSS.
Conformité IONOS IONOS Cloud offre la conformité PCI DSS dans certains emplacements de centres de données pour les clients qui ont besoin de traiter des données de cartes de paiement. Cela fournit une base d'infrastructure conforme pour le commerce électronique, le traitement des paiements et d'autres applications qui traitent des informations de cartes de crédit. Vérifiez la disponibilité de la conformité PCI DSS dans votre centre de données choisi par le biais du Catalogue de services IONOS Cloud.
Ce que cela signifie pour vous Si vous exécutez des applications qui traitent des paiements par carte de crédit, vous pouvez utiliser l'infrastructure conforme à la norme PCI DSS d'IONOS pour simplifier vos propres efforts de conformité. Cependant, la norme PCI DSS est une responsabilité partagée : IONOS sécurise l'infrastructure, tandis que vous devez vous assurer que vos applications et vos pratiques de traitement des données répondent également aux exigences de la norme PCI DSS.
2.5 BSI C5 et IT-Grundschutz (normes de sécurité fédérales allemandes)
Ce qu'ils sont :
L'Allemagne maintient deux cadres de sécurité clés par le biais de l'Office fédéral de la sécurité des informations (BSI). BSI IT-Grundschutz est une méthodologie de sécurité de l'information complète qui fournit des mesures de sécurité de base détaillées, allant au-delà de ISO 27001 en spécifiant des contrôles concrets et réalisables. BSI C5 (Catalogue des critères de conformité pour le cloud computing) définit les critères pour la sécurité du cloud computing dans 17 domaines, allant de la sécurité physique à la vérification d'identité et à l'interaction avec les forces de l'ordre.
Conformité IONOS :
IONOS Cloud détient les deux certifications BSI pour les services cloud de base. Le certificat ISO 27001 basé sur IT-Grundschutz couvre Compute Engine, Object Storage et la sauvegarde, ainsi que Managed Kubernetes dans les centres de données allemands. L'attestation BSI C5 de type 1 couvre Compute Engine, Cloud Cubes et Object Storage. En tant que fournisseur allemand, IONOS est le premier à détenir à la fois l'attestation C5 et la certification BSI IT-Grundschutz, reflétant ainsi un engagement à répondre aux attentes de sécurité allemandes les plus élevées.
Ce que cela signifie pour vous :
Si vous travaillez pour le secteur public allemand ou dans le domaine des infrastructures critiques (KRITIS), les certifications BSI sont souvent une condition préalable pour utiliser des services cloud. Ces certifications fournissent une transparence détaillée dans les contrôles de sécurité d'IONOS, simplifiant ainsi votre propre analyse des risques et vos audits de conformité. L'attestation BSI C5 est particulièrement pertinente pour les secteurs réglementés tels que la santé, où la démonstration de la conformité du fournisseur de services cloud aux normes BSI soutient vos propres obligations réglementaires.
2.6 Tableau de résumé de la conformité
Le tableau suivant résume les certifications clés et les normes de conformité d'IONOS Cloud :
| Certification / Norme | Ce qu'elle couvre | Statut IONOS |
|---|---|---|
| ISO 27001 | Système de gestion de la sécurité de l'information (SGSI) avec des contrôles de sécurité des données systématiques | Certifié dans tous les emplacements de centres de données |
| BSI IT-Grundschutz | Protection de base de la sécurité des TI allemande avec des mesures de sécurité concrètes | Certifié pour les services de base dans les centres de données allemands |
| BSI C5 | Catalogue des critères de conformité pour la sécurité du cloud computing dans 17 domaines | Attestation de type 1 pour les services cloud de base |
| SOC 2 Type II | Contrôles de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité et de protection des données vérifiés dans le temps | Certifié dans certains emplacements de centres de données |
| GDPR | Règlement de protection des données de l'UE pour les données personnelles des citoyens de l'UE | Entièrement conforme (centres de données basés dans l'UE, chiffrement, résidence des données) |
| PCI DSS | Norme de sécurité de l'industrie des cartes de paiement pour le traitement des données de cartes de crédit | Disponible dans certains emplacements de centres de données |
Important : La couverture des certifications varie en fonction de l'emplacement du centre de données et du service. Pour la liste actuelle des certifications à chaque emplacement, consultez le Catalogue de services IONOS Cloud.
2.7 Souveraineté numérique : GDPR vs. US CLOUD Act
Bien que IONOS Cloud réponde à toutes les exigences techniques de sécurité, le cadre juridique européen offre un avantage décisif par rapport aux fournisseurs non européens :
- Immunité à l'US CLOUD Act : En tant que société allemande sans société mère américaine, IONOS n'est pas soumise à la loi Clarifying Lawful Overseas Use of Data (CLOUD) Act. Contrairement aux fournisseurs américains, qui peuvent être légalement contraints de donner accès aux autorités aux données, quel que soit leur emplacement de stockage physique, IONOS opère exclusivement sous la juridiction européenne.
- Souveraineté numérique : Les clients conservent le contrôle juridique exclusif sur leurs charges de travail et leurs données. L'accès par les agences gouvernementales n'est possible que par le biais de processus juridiques et d'ordres judiciaires européens, éliminant ainsi efficacement le risque d'ingérence juridique étrangère ou de mandats de divulgation de données secrets.
3. Protection et chiffrement des données
IONOS Cloud protège vos données grâce à des stratégies de chiffrement complètes qui couvrent à la fois les données au niveau de REST (données stockées) et les données en transit (données se déplaçant sur les réseaux).
3.1 Chiffrement au niveau de REST
Le chiffrement au niveau de REST protège les données stockées contre les accès non autorisés, en garantissant que même si les périphériques de stockage physique sont compromis, les données restent illisibles sans les clés de chiffrement appropriées.
Chiffrement Block Storage
- Tous les volumes logiques Block Storage créés sur IONOS Cloud sont automatiquement chiffrés à l'aide du chiffrement AES-XTS 256 bits
- Chaque Volume reçoit une clé de chiffrement unique qui est invisible au serveur de stockage
- Même les utilisateurs Root ne peuvent pas accéder aux clés de chiffrement brutes
- Le chiffrement au niveau du disque sur les volumes SSD Premium et Standard ajoute une deuxième couche de chiffrement AES-XTS 256 bits à l'aide de disques autochiffrants (SED)
- La suppression physique d'un disque du centre de données rend les données illisibles
Chiffrement Backup Service
- Le chiffrement serveur utilise AES-256 pour protéger les données de sauvegarde sur les périphériques de stockage
- Le chiffrement côté client permet de chiffrer les sauvegardes à l'aide d'une clé dérivée d'un mot de passe (AES-256)
- Lorsque vous utilisez le chiffrement côté client, IONOS et le fournisseur de sauvegarde (Acronis) n'enregistrent jamais votre clé de chiffrement
- Cela garantit que seul vous pouvez déchiffrer et restaurer vos données de sauvegarde
Chiffrement IONOS Cloud Object Storage
- Chiffrement serveur avec des clés gérées par IONOS (SSE-S3) à l'aide d'AES-256
- L'option de clés gérées par le client (SSE-C) utilise également le chiffrement AES-256
- Toutes les données stockées dans les buckets Object Storage sont chiffrées automatiquement
Chiffrement Private Container Registry
- Les images de conteneurs stockées dans le Private Container Registry sont chiffrées au niveau de REST à l'aide d'AES-256
- Les clés de chiffrement sont gérées par la plateforme IONOS
- Les clients ne peuvent pas fournir leurs propres clés de chiffrement pour le stockage du registre de conteneurs
3.2 Chiffrement en transit
Le chiffrement en transit protège les données lorsqu'elles se déplacent entre vos applications, les services IONOS et les systèmes externes, empêchant les écoutes et les attaques de type "homme du milieu".
Chiffrement TLS/HTTPS
- Tous les points de terminaison API d'IONOS Cloud utilisent le chiffrement TLS 1.2 ou TLS 1.3
- IONOS Cloud Object Storage prend en charge le chiffrement TLS 1.2/1.3 pour tous les transferts de données vers et depuis les points de terminaison compatibles S3
- Backup Service chiffre tout le trafic de sauvegarde en temps réel à l'aide de HTTPS/TLS avec des suites de chiffrement solides (échange de clés Diffie-Hellman et RSA)
- Les interfaces de gestion (Data Center Designer, accès API) sont protégées par HTTPS/TLS
Chiffrement des services réseau
- Les connexions VPN Gateway chiffrent le trafic entre vos réseaux locaux et IONOS Cloud
- Certificate Manager provisionne et gère les certificats SSL/TLS pour les équilibreurs de charge d'applications, garantissant des connexions clientes chiffrées
3.3 Gestion des clés
Clés gérées par la plateforme Pour la plupart des services IONOS, les clés de chiffrement sont gérées automatiquement par la plateforme IONOS :
- Les clés sont stockées de manière sécurisée au sein de l'infrastructure IONOS et ne sont jamais exposées aux clients ou aux administrateurs
- L'accès aux clés de chiffrement nécessite des demandes authentifiées, autorisées et chiffrées
- Les clés sont liées à l'infrastructure, ce qui signifie que les disques physiques supprimés des centres de données restent chiffrés et illisibles
Clés gérées par le client (disponibilité limitée) Certains services offrent des options de chiffrement gérées par le client :
- Backup Service prend en charge les clés de chiffrement dérivées d'un mot de passe que IONOS n'enregistre jamais
- Object Storage prend en charge les clés gérées par le client (SSE-C) pour le chiffrement des buckets
- La plupart des autres services utilisent des clés gérées par la plateforme exclusivement
3.4 Suppression sécurisée des données
Lorsque vous supprimez des données d'IONOS Cloud, les processus de suppression sécurisés garantissent que les données ne peuvent pas être récupérées :
Suppression de Volume et de sauvegarde
- La suppression d'un Block Storage Volume ou d'une sauvegarde annule les métadonnées, détruisant la clé de chiffrement
- Sans la clé de chiffrement, les données chiffrées deviennent définitivement illisibles
- Les disques physiques sont effacés conformément aux directives NIST SP 800-88 Rev 1
- Lorsque l'effacement n'est pas possible, les disques sont physiquement détruits
Suppression de Object Storage
- La suppression d'objets de IONOS Cloud Object Storage supprime les métadonnées et rend les données irrecevables
- La suppression sécurisée suit les mêmes directives NIST SP 800-88 que Block Storage
Cette approche de chiffrement complète (AES-256 pour les données au niveau de REST, chiffrement TLS 1.2/1.3 pour les données en transit, gestion sécurisée des clés et suppression conforme aux normes NIST) garantit que vos données restent confidentielles tout au long de leur cycle de vie sur IONOS Cloud.
4. Traçabilité des audits pour la conformité
Les traçabilités des audits fournissent un enregistrement chronologique et inviolable de toutes les actions effectuées dans votre environnement IONOS Cloud. Ces enregistrements sont essentiels pour les enquêtes de sécurité, la résolution des problèmes opérationnels et le respect des exigences de conformité réglementaire.
4.1 Qu'est-ce qu'une traçabilité d'audit ?
Une traçabilité d'audit est un journal en lecture seule, classé dans l'ordre chronologique, qui capture :
- Qui a effectué l'action (identité de l'utilisateur et numéro de contrat)
- Quand l'action s'est produite (horodatage exact)
- Où l'action a été initiée (adresse de source IP et service)
- Ce qui a été affecté (type de ressource, ID de ressource et action spécifique prise)
IONOS Cloud fournit des traçabilités d'audit via le service de journal d'activité, qui enregistre chaque requête API, chaque modification de configuration, chaque connexion utilisateur, chaque création, modification et suppression de ressource dans votre environnement cloud.
4.2 Journal d'activité pour les traçabilités d'audit
Que capturent les Activity Logs Les Activity Logs enregistrent toutes les activités des utilisateurs et les modifications de ressources, y compris :
- Les événements d'authentification des utilisateurs (connexions, déconnexions, tentatives de connexion échouées)
- La provision et la suppression de ressources (création de machines virtuelles, volumes de stockage, réseaux)
- Les modifications de configuration (modification des règles de pare-feu, mise à jour des paramètres Load Balancer)
- Les événements d'accès aux données (accès à Object Storage, connexions à la base de données)
- Les modifications de gestion des identités et des accès (création d'utilisateurs, modification de rôles, changement de permissions)
- Les événements de sécurité (modifications des règles de groupe de sécurité réseau, déploiements de certificats)
Structure des données du journal d'activité Chaque entrée du journal d'activité comprend :
- L'identité du principal (adresse e-mail de l'utilisateur, numéro de contrat, source IP, service source)
- Le type d'événement (par exemple, RequestAccepted, ResourceCreated, ConfigurationChanged)
- Les ressources de l'événement (type de ressource, ID de ressource, action effectuée)
- Les métadonnées (horodatage, version du journal d'audit)
Immutabilité et rétention Les Activity Logs sont en lecture seule et ne peuvent pas être modifiés ou supprimés par les utilisateurs, garantissant ainsi des traçabilités d'audit inviolables. Les journaux sont conservés conformément aux politiques et aux exigences de conformité d'IONOS, fournissant un enregistrement historique pour les enquêtes et les audits.
4.3 Utilisation des traçabilités d'audit pour la conformité
Les traçabilités d'audit soutiennent plusieurs objectifs de conformité et de sécurité :
Conformité réglementaire De nombreuses réglementations exigent des traçabilités d'audit de qui a accédé ou modifié des données :
- GDPR exige l'enregistrement des activités d'accès et de traitement des données personnelles
- HIPAA exige des traçabilités d'audit pour l'accès aux données de santé
- SOX (Sarbanes-Oxley) exige des traçabilités d'audit pour les données financières
- PCI DSS exige l'enregistrement de l'accès aux données des porteurs de cartes
Les Activity Logs fournissent les preuves nécessaires pour démontrer la conformité à ces exigences lors des audits.
Enquêtes de sécurité Lorsque des incidents de sécurité se produisent, les traçabilités d'audit aident à :
- Identifier la source de l'activité suspecte (quel utilisateur, à partir de quelle adresse IP)
- Reconstituer la séquence d'événements menant à une faille de sécurité
- Déterminer l'étendue de l'accès non autorisé ou de l'exposition des données
- Fournir des preuves pour la réponse aux incidents et l'analyse forensique
Révisions d'accès Les révisions régulières des traçabilités d'audit permettent de :
- Identifier les privilèges excessifs accordés aux utilisateurs ou aux comptes de service
- Détecter les comptes orphelins qui devraient avoir été désactivés
- Surveiller les modifications de rôles et de permissions au fil du temps
- Révoquer l'accès rapidement lorsque les utilisateurs changent de rôle ou quittent l'organisation
Dépannage opérationnel Au-delà de la conformité, les traçabilités d'audit aident à :
- Diagnostiquer les problèmes de configuration (ce qui a changé avant que le problème se produise ?)
- Comprendre les modèles et les tendances d'utilisation des ressources
- Vérifier que les scripts d'automatisation et les déploiements d'Infrastructure as Code ont été exécutés correctement
4.4 Accès aux Activity Logs
Les Activity Logs peuvent être accédés via :
IONOS Cloud API en utilisant des requêtes GET pour récupérer les entrées de journal de manière programmatique (le journal d'activité est un API en lecture seule et n'a pas de vue de navigation dans le Data Center Designer) Data Center Designer (DCD) pour accorder le privilège de groupe "Accès au journal d'activité", qui autorise les comptes d'utilisateur à lire le journal via le API (par défaut, seuls les comptes de propriétaire de contrat et d'administrateur ont accès) Automatisation et intégration avec des systèmes SIEM (Security Information and Event Management) externes pour l'analyse centralisée des journaux
En révisant régulièrement les Activity Logs et en les intégrant dans vos processus de surveillance de sécurité, vous pouvez maintenir la conformité, détecter les menaces de sécurité à temps, et réagir rapidement aux incidents.
Cas d'utilisation courants
Scénarios du monde réel où les fonctionnalités de sécurité et de conformité d'IONOS Cloud sont utilisées :
- Application de soins de santé avec GDPR et exigences HIPAA : Un fournisseur de soins de santé crée un système de gestion des patients sur IONOS Cloud. Ils exploitent l'infrastructure conforme à GDPR d'IONOS et les centres de données basés dans l'UE (Section 2.3) pour répondre aux exigences de résidence des données. Le chiffrement Block Storage au niveau de REST (Section 3.1) protège les dossiers des patients, tandis que le chiffrement TLS lors de la transmission (Section 3.2) sécurise les transferts de données. Les Activity Logs (Section 4.2) fournissent les traces d'audit requises par les réglementations HIPAA, enregistrant tous les accès aux données des patients pour les rapports de conformité.
- Plateforme de commerce électronique avec conformité PCI DSS : Un détaillant en ligne traite les paiements par carte de crédit et doit se conformer à la norme PCI DSS. Ils déployé leur application de traitement des paiements sur l'infrastructure conforme à la norme PCI DSS d'IONOS Cloud (Section 2.4). Les Network Security Groups (référencés dans la Section 1.2) segmentent les systèmes de traitement des paiements des autres charges de travail. Les Certificate Manager (couverts dans l'Unité 2.6, référencés ici pour la terminaison TLS) fournissent des certificats SSL/TLS pour des transactions de paiement sécurisées. Les Activity Logs suivent toutes les modifications de configuration des systèmes de paiement, soutenant ainsi les exigences d'audit PCI DSS (Section 4.3).
- Application de services financiers avec exigences SOC 2 : Une entreprise fintech doit démontrer des contrôles de sécurité robustes aux clients entreprises qui exigent la conformité SOC 2. Ils construisent leur application sur l'infrastructure certifiée SOC 2 Type II d'IONOS Cloud (Section 2.2). Le Shared Responsibility Model (Section 1) clarifie lesquels des contrôles de sécurité IONOS gère par rapport à ceux que l'entreprise doit mettre en œuvre. Ils mettent en œuvre un chiffrement géré par le client pour les données financières sensibles en utilisant les clés dérivées de mot de passe Backup Service (Section 3.1), et ils effectuent des examens mensuels des journaux d'activité (Section 4.3) pour identifier tout accès non autorisé ou tentative d'élévation de privilèges.
Résumé
La sécurité et la conformité sur IONOS Cloud fonctionnent grâce à un Shared Responsibility Model où IONOS sécurise l'infrastructure cloud (centres de données physiques, réseau, hyperviseur) tandis que les clients sécurisent leurs charges de travail, leurs données et leurs configurations. IONOS Cloud maintient de multiples certifications internationalement reconnues, notamment ISO 27001 (dans tous les emplacements), BSI IT-Grundschutz et BSI C5 (pour les services principaux dans les centres de données allemands), SOC 2 Type II, et la conformité GDPR, avec des certifications spécifiques qui varient en fonction de l'emplacement du centre de données et du service.
La protection des données est assurée grâce à des stratégies de chiffrement complètes : chiffrement AES-256 au niveau de REST pour Block Storage, Backup Service, Object Storage, et Container Registry, combiné avec le chiffrement TLS 1.2/1.3 pendant le transfert de toutes les données. Les clés de chiffrement sont gérées par la plateforme IONOS pour la plupart des services, avec des clés gérées par le client facultatives pour Backup Service et Object Storage.
Les traces d'audit fournies par Activity Logs créent des enregistrements inaltérables de toutes les activités des utilisateurs et des modifications de ressources, soutenant les exigences de conformité pour GDPR, HIPAA, SOX, et PCI DSS. Ces journaux capturent qui a effectué des actions, quand elles se sont produites, d'où elles ont été initiées, et quels ressources ont été affectées, fournissant des preuves essentielles pour les enquêtes de sécurité, les examens d'accès, et les audits réglementaires.
Points clés :
- Le Shared Responsibility Model divise les responsabilités de sécurité : IONOS sécurise l'infrastructure, les clients sécurisent leurs charges de travail, leurs données et leurs configurations
- IONOS Cloud détient des certifications, notamment ISO 27001, BSI IT-Grundschutz, BSI C5, SOC 2 Type II, et la conformité GDPR, avec des certifications spécifiques qui varient en fonction de l'emplacement du centre de données et du service
- Les données sont chiffrées au niveau de REST en utilisant AES-256 et pendant le transfert en utilisant TLS 1.2/1.3 sur tous les services IONOS Cloud
- Les Activity Logs fournissent des traces d'audit immuables requises pour la conformité avec les réglementations GDPR, HIPAA, SOX, et PCI DSS
- Les centres de données basés dans l'UE en Allemagne (Berlin, Francfort), en Espagne (Logroño), et en France (Paris) soutiennent les exigences de résidence et de souveraineté des données
- Les traces d'audit permettent les enquêtes de sécurité, les examens d'accès, et la dépannage opérationnel au-delà des exigences de conformité
Terminologie importante :
- Shared Responsibility Model : Un cadre de sécurité cloud divisant les responsabilités entre le fournisseur de cloud (sécurité de l'infrastructure) et le client (sécurité de la charge de travail et des données)
- ISO 27001 : Norme internationale pour les systèmes de gestion de la sécurité de l'information (ISMS) démontrant des contrôles de sécurité systématiques
- SOC 2 Type II : Cadre de conformité vérifiant que les contrôles de sécurité fonctionnent de manière effective au fil du temps, et non seulement par conception
- GDPR (Règlement général sur la protection des données) : Loi de l'UE régissant la protection des données personnelles, exigeant des droits des sujets de données, des contrôles de consentement et de résidence
- Chiffrement au niveau de REST : Protection des données stockées en utilisant le chiffrement (AES-256) afin qu'elles restent illisibles sans clés de déchiffrement
- Chiffrement pendant le transfert : Protection des données se déplaçant à travers les réseaux en utilisant TLS/HTTPS pour prévenir les écoutes et les attaques de type « homme du milieu »
- Trace d'audit : Journal chronologique, en lecture seule, de toutes les actions dans l'environnement cloud, capturant qui, quand, d'où, et quoi pour les enquêtes de conformité et de sécurité
- Journal d'activité : Service de trace d'audit d'IONOS Cloud enregistrant toutes les requêtes API, les modifications de configuration, et les activités des utilisateurs
Prochaines étapes
Continuer l'apprentissage : Fin du cours
Sujets connexes :
- Unité 3.2 : Gestion des identités et des accès - Comprendre les rôles des utilisateurs, les autorisations et les contrôles d'accès
- Unité 3.4 : Activity Logs et surveillance - Exploration approfondie des services de journalisation, de surveillance et d'observabilité
- Unité 2.6 : Services de sécurité - Network Security Groups, DDoS Protect, et Certificate Manager