Nous protégeons vos données et les nôtres selon un système de gestion des risques caractérisé par des niveaux élevés de sécurité informatique.
Nous avons rassemblé toutes les informations et la documentation sur les systèmes de gestion et de soutien adoptés par Aruba Cloud, comme preuve concrète et garantie supplémentaire de l'attention portée à la fourniture des services.
Nous savons combien il est important pour toute organisation de pouvoir confier en toute tranquillité la protection de ses données et de ses ressources numériques. C'est pourquoi l'une de nos priorités est de fournir des services sécurisés, dans le respect total des normes et réglementations relatives à la protection et à la sécurité des données, des informations et des infrastructures informatiques.
La protection de l'information est pour Aruba un aspect fondamental qui commence par l'analyse des domaines dans lesquels elle est traitée, évalue les interrelations entre les ressources, les menaces et les vulnérabilités et détermine les risques informatiques potentiellement associés, dans le but de définir un programme de sécurité efficace pour protéger l'activité de l'entreprise.
Nous mettons en œuvre les contrôles recommandés par la norme ISO 27001 afin de réduire les risques et d'assurer la couverture de l'ensemble de la gestion de la sécurité de l'information et des solutions technologiques proposées, ainsi que des processus organisationnels et du personnel impliqué.
Le système de gestion de la sécurité de l'information (SGSI).
Le groupe Aruba a défini l'approche adoptée par l'organisation pour la gestion de ses objectifs en matière de sécurité de l'information dans le cadre d'une politique d'entreprise spécifique. Ce document a été approuvé par la direction et publié sur l'intranet de l'entreprise. À l'appui de la politique susmentionnée, il existe d'autres politiques et procédures relatives à des questions spécifiques qui définissent le système de gestion de la sécurité de l'information d'Aruba.
Fonctions, rôles, compétences et responsabilités liés aux processus, conformément aux principes de séparation des tâches, de moindre privilège et de double contrôle.
Dans le cadre de la responsabilité d'Aruba en tant que fournisseur de services cloud (CSP), comme défini dans la page dédiée au modèle de responsabilité partagée, Aruba a défini les fonctions, les rôles, les compétences et les responsabilités liés aux processus, conformément aux principes de séparation des tâches, de moindre privilège et de double contrôle.
Dans le cadre des processus opérationnels des services, une séquence de procédures est exécutée par plusieurs personnes, jamais par une seule, afin d'éviter que le contrôle de l'ensemble du processus ne soit confié à un seul individu.
Les autorisations d'accès aux locaux, équipements, données, fonctions, etc. sont accordées au personnel de service selon le principe du moindre privilège (« least privilege »), c'est-à-dire dans la mesure nécessaire à l'accomplissement des tâches qui lui sont confiées, mais pas au-delà.
Les procédures les plus critiques en matière de sécurité impliquent au moins deux personnes.
Formation du personnel, sensibilisation et accord de non-divulgation (NDA).
Les employés du service disposent des compétences et de l'expérience nécessaires et reçoivent une formation spécifique pour chaque mise à niveau importante du système.
Régulièrement, le personnel est sensibilisé aux questions de sécurité, à la cybercriminalité en général et aux meilleures pratiques par le biais de cours de formation spécifiques.
Les nouveaux employés sont tenus de signer un accord de confidentialité afin de protéger le savoir-faire et les autres informations confidentielles de l'entreprise.
Toutes les procédures concernant le cycle de vie des machines physiques et virtuelles utilisées, de l'installation à la mise au rebut.
Il existe un inventaire actualisé des actifs, dans lequel sont enregistrées les machines virtuelles et physiques qui fournissent les services, ainsi que leur emplacement physique dans l'infrastructure Aruba.
A la fin de chaque activité d'installation d'une nouvelle machine au sein de l'infrastructure, l'inventaire des actifs est mis à jour. En outre, des analyses automatiques du réseau sont effectuées quotidiennement afin de détecter toute anomalie.
Dans l'inventaire, il existe une catégorisation des actifs dans laquelle leurs caractéristiques sont décrites : par exemple, le type de machine (virtuelle ou physique), l'infrastructure à laquelle ils appartiennent, la propriété interne, etc.
Il existe des procédures internes qui définissent et formalisent les activités liées à la préparation de nouvelles machines et à leur gestion (par exemple, comment effectuer un changement, comment mettre à jour les systèmes, etc.)
Le recensement régulier des composants du système permet d'identifier et de gérer les composants individuels de manière détaillée, jusqu'au modèle de chaque version matérielle et logicielle.
Les composants matériels (HW) les plus importants pour la continuité du service sont couverts par des contrats de maintenance qui garantissent la réparation ou le remplacement par le fournisseur, ainsi que la disponibilité d'un stock de pièces de rechange en cas de besoin. En ce qui concerne les logiciels (SW) commerciaux, des contrats d'assistance appropriés sont en place et garantissent l'assistance technique du fournisseur en cas de dysfonctionnement.
Aruba garantit, dans ses propres data centers et dans les data centers de colocation étrangers, la mise en œuvre de procédures spécifiques pour la destruction et l'élimination des composants matériels mis hors service, afin de s'assurer que pour chaque stockage ayant atteint la fin de sa durée de vie et devant être remplacé et éliminé, une suppression complète et définitive de toutes les données qu'il contient est effectuée.
Gestion de l'accès logique du personnel et politique des mots de passe.
Avant d'accéder aux systèmes internes, le personnel éligible est invité à s'identifier et à s'authentifier (au moyen d'un nom d'utilisateur, d'un mot de passe et d'une carte à puce). Le personnel d'Aruba ne peut accéder, après authentification, qu'aux ressources (par ex. systèmes, données) pour lesquelles il a été explicitement autorisé, en fonction des besoins réels du rôle qu'il occupe. La gestion des utilisateurs s'effectue via les contrôleurs de domaine Active Directory (AD). Pour garantir le principe de séparation des tâches, l'accès logique à l'environnement de production est géré par AD sur un domaine dédié, au sein duquel il y a des utilisateurs avec différents privilèges et autorisations en fonction du rôle professionnel du sujet, en respectant le principe du moindre privilège. Tous les usagers sont nominaux, c'est-à-dire qu'il n'y a pas d'usages collectifs et/ou partagés, et sont périodiquement vérifiés de manière indépendante par le Service de sécurité.
Conformément à la politique de sécurité du groupe et à la réglementation relative à la protection de la vie privée ("mesures minimales", dispositions du Garant), une politique de gestion sécurisée des mots de passe est appliquée.
Après la création d'un compte d'utilisateur, le changement de mot de passe est obligatoire lors de la première connexion, suivi d'un changement de mot de passe périodique obligatoire après un intervalle de temps défini.
Les méthodes de protection des données que nous utilisons : AES, certificats SSL, cryptage « au repos ».
Canal sécurisé TLS
Les flux de données en provenance et à destination des systèmes sont protégés par un canal sécurisé TLS, grâce à une configuration appropriée sur les serveurs, afin de garantir :
Cela s'applique à la fois aux flux générés de manière interactive (navigation sur le web) et à ceux générés de manière automatique (par exemple, les requêtes de services web).
En tant qu'algorithme de chiffrement symétrique, l'AES est principalement utilisé aujourd'hui.
La version TLS activée est la plus élevée possible, compte tenu des capacités du logiciel client.
Les certificats SSL Server installés sur les serveurs exposés sur Internet sont émis par une autorité de certification (CA) reconnue comme digne de confiance par les principaux navigateurs et systèmes d'exploitation.
Les détails des certificats utilisés sur les panneaux Cloud et les protocoles utilisés sur le réseau public sont disponibles dans la base de connaissances d'Aruba à la page dédiée aux certificats utilisés dans les panneaux Cloud.
Les données « au repos » les plus critiques en termes de sécurité, telles que les mots de passe, les jetons OTP et d'autres données qui doivent rester confidentielles pour garantir la fiabilité des processus, sont stockées par cryptage symétrique, à l'aide d'un algorithme considéré comme suffisamment sûr.
En ce qui concerne plus spécifiquement la protection des informations d'identification, les mots de passe sont stockés dans le référentiel en mode « haché » non réversible (empreinte digitale ou condensé de données), grâce à l'utilisation de l'algorithme de hachage SHA-512.
Description de tous les data centers de notre réseau et de toutes les mesures de sécurité mises en place.
Les systèmes pour la fourniture du service Cloud sont situés dans les data centers IT1 et IT2 d'Arezzo, situés respectivement Via Gobetti 96 et Via Ramelli 8, et dans les data centers IT3 DCA et DCB de Ponte San Pietro (BG), situés Via San Clemente 53. En plus de ses data centers italiens, Aruba utilise un réseau international d'infrastructures, qu'elles lui soient propres ou qu'elles appartiennent à des partenaires qualifiés :
Les data centers d'Aruba sont conformes aux réglementations antisismiques.
L'accès aux bâtiments n'est autorisé qu'aux personnes qui en ont réellement besoin, après enregistrement à la réception, et l'accès aux salles techniques n'est autorisé qu'au personnel habilité, après identification au moyen d'un badge et d'un code PIN. Le système de gestion des accès permet d'activer et de désactiver des cartes individuelles en fonction des zones, des horaires et d'autres paramètres, afin de garantir à la fois une sécurité maximale des environnements et la fluidité nécessaire de l'accès.
Dans les data centers et les bureaux, des grilles, des vitrages pare-balles, des portes de sécurité, des portails motorisés (prévention passive des intrusions) et des systèmes de vidéosurveillance et/ou de détection de mouvement (prévention active des intrusions) sont installés. Le système d'alarme anti-intrusion par zone fonctionne de manière entièrement automatique.
Les data centers sont divisés en interne en plusieurs zones, régies par des systèmes anti-intrusion. En outre, des détecteurs de mouvement capables de détecter la présence de personnes sont installés dans toutes les zones ; dans les zones sensibles (salles de données, centrales électriques, entrepôts), des capteurs détectent l'ouverture des portes et le badge est utilisé pour l'entrée et la sortie.
Construit en conformité avec les réglementations légales et les normes techniques. Des détecteurs d'incendie sont présents à tous les étages des bâtiments.
Il est mis en œuvre dans tous les bâtiments pour la détection des liquides. Les bâtiments sont également situés dans des zones plates et dans une position surélevée par rapport au niveau du terrain.
Ce système est présent dans les data centers, redondant à tous les niveaux (groupes de transformateurs, centrales électriques, ASI, groupes électrogènes, tableaux de distribution, etc.) afin de garantir la continuité de l'alimentation électrique dans toutes les conditions prévisibles. Il comprend également des mesures visant à contenir l'effet des décharges électriques d'origine atmosphérique, des surtensions, etc.
Il assure des conditions environnementales et microclimatiques optimales pour le bon fonctionnement des serveurs hébergés dans les data centers.
Dans les bâtiments, la connectivité est redondante, avec au moins le double de la capacité minimale requise.
Les data centers sont occupés 24 heures sur 24 et 7 jours sur 7 par du personnel qualifié, qui assure une surveillance constante de l'infrastructure et des services et intervient en temps utile en cas de besoin.
L'entreprise a souscrit des contrats d'assurance pour couvrir les risques qui ne sont pas atténués par les mesures de sécurité restantes.
Procédures opérationnelles et techniques de sécurité pour la gestion des équipements.
Les procédures prescrivant le comportement opérationnel sont documentées, disponibles et connues du personnel concerné.
Les serveurs hébergeant des composants de services critiques pour la sécurité font l'objet d'interventions systémiques visant à réduire la surface d'attaque, telles que la suppression des logiciels inutiles, la désactivation des services/protocoles inutiles, l'installation des correctifs de sécurité recommandés par le fournisseur, l'application de politiques de complexité des mots de passe, l'activation des journaux de sécurité, etc.
Les données entrantes sont analysées en détectant le trafic anormal et en bloquant les paquets potentiellement malveillants lorsque cela est possible.
Les journaux des serveurs d'infrastructure sont collectés et stockés pour l'accès privilégié aux systèmes, conformément aux exigences légales. Ces journaux sont périodiquement vérifiés par l'équipe de sécurité dans le cadre d'audits internes. Les journaux d'application des opérations effectuées dans le cadre de l'utilisation des services sont mis à la disposition des clients.
De même, le travail des administrateurs de système est soumis, au moins une fois par an, à une vérification par les responsables du traitement, afin de contrôler le respect des mesures organisationnelles, techniques et de sécurité concernant le traitement des données à caractère personnel, telles que prévues par la réglementation en vigueur.
Les systèmes critiques sont contrôlés par un système de surveillance permanent. Le système a la capacité de générer des « alertes », sous forme de messages électroniques ou de SMS, pour informer le personnel en temps utile d'un incident ou d'une perturbation potentiels, afin que les mesures correctives nécessaires puissent être mises en œuvre le plus rapidement possible.
Les composants fonctionnels de la prestation de services d'Aruba, la gestion des utilisateurs et les autres composants architecturaux du service suivent les procédures de sauvegarde définies au niveau de l'entreprise, vérifiées et testées périodiquement.
Tous les équipements du réseau Aruba sont contrôlés, surveillés et protégés par des systèmes EDR. La technologie EDR (Endpoint Detection and Response) permet de surveiller de manière proactive et en temps réel les menaces connues et inconnues qui affectent tous les terminaux et serveurs de l'entreprise. Une équipe spécialisée, disponible 24 heures sur 24 et 7 jours sur 7, analyse les événements anormaux et prend les mesures qui s'imposent.
Le périmètre Aruba est régulièrement scanné par des outils automatisés et des professionnels qualifiés afin d'identifier toute vulnérabilité potentielle. Toute criticité identifiée est immédiatement signalée au groupe compétent, ce qui déclenche un cycle de résolution du problème qui peut se terminer par une nouvelle version ou une atténuation (par ex. un correctif virtuel). Pour vérifier son efficacité, une nouvelle analyse est finalement effectuée pour s'assurer de la résolution de la vulnérabilité.
Afin d'assurer la bonne prestation du service, les ressources et les capacités disponibles sont contrôlées et analysées, et des mesures appropriées sont prises pour en optimiser l'utilisation et assurer une prestation de service normale.
Les niveaux de connectivité, l'occupation des ressources, l'espace disque et le dimensionnement de l'infrastructure sont contrôlés à l'aide d'outils spécifiques par le groupe d'opérateurs appartenant à la salle de contrôle, 24 heures sur 24 et 7 jours sur 7, dont la tâche s'étend également à la surveillance de tout événement anormal.
Les outils de surveillance permettent de mettre en place des contrôles spécifiques pour chaque service, de détecter les anomalies et d'anticiper les changements nécessaires.
Les changements rendus nécessaires par les activités de suivi et de gestion des capacités sont gérés de manière contrôlée afin que leurs résultats puissent être vérifiés et qu'un registre des activités menées soit conservé.
Les systèmes sont périodiquement mis à jour et corrigés à l'aide d'outils et selon des procédures internes qui incluent des tests d'abord dans des environnements de développement. Une fois cette phase terminée, l'application est exécutée dans l'environnement de production.
Le système NTP est utilisé pour synchroniser les horloges et maintenir la cohérence des événements. La source faisant autorité en matière de synchronisation des horloges est l'INRiM (http://www.inrim.it). Le fuseau horaire de tous les systèmes utilisés est le CEST, à l'exception du Royaume-Uni où l'on utilise le GMT. Toutes les machines virtuelles fournies ont un fuseau horaire basé sur le CEST et utilisent l'hôte sur lequel elles résident comme source de synchronisation de l'horloge.
Aruba garantit un système multi-tenant qui permet de séparer les instances individuelles des clients de celles du fournisseur de services Cloud.
Le panneau Cloud public a été expressément développé par Aruba en mode multi-tenant conformément aux directives de programmation sécurisée et ne permet que l'accès et la gestion de sa propre infrastructure Cloud. En outre, pour les services PRO, VPS et Virtual Private Cloud, et chaque fois qu'un logiciel externe est utilisé, la multi-location est directement garantie par les systèmes de virtualisation utilisés.
Lors de la résiliation du service ou de l'épuisement du crédit, tel que défini dans le contrat, Aruba doit supprimer et retirer de façon permanente les données des services Cloud, tel que décrit dans la page dédiée à ce qui se passe lorsque le crédit est épuisé. La suppression, en fonction du service, peut se faire via des API, des panneaux techniques, des scripts ou des logiciels spécifiques.
Aruba gère avec un processus prédéfini la suppression périodique des fichiers temporaires de ses systèmes Cloud.
Firewall, IPS et VPN
Les portails web exposés pour les services sont protégés par le pare-feu du data center du service Cloud et par IPS.
En ce qui concerne les services informatiques, toutes les machines virtuelles fournies par Aruba sont modélisées et mises à disposition sous forme d'images. Ces images sont produites et testées par les techniciens d'Aruba. En particulier, après l'installation du système d'exploitation et la configuration initiale, le système de pare-feu est activé en accordant les privilèges les plus bas possibles et en ouvrant uniquement les ports nécessaires.
L'accès à distance au réseau de l'entreprise (LAN) n'est autorisé qu'au personnel autorisé qui en a besoin. L'accès à distance est possible exclusivement via un VPN qui garantit la confidentialité des communications, une authentification forte du serveur et une authentification forte (à deux facteurs) de l'utilisateur.
Gestion des modifications apportées aux logiciels applicatifs
Les modifications apportées au logiciel d'application sont soumises à une évaluation et à une approbation avant d'être mises en œuvre ; elles sont ensuite soumises à des tests avant d'être mises en production, afin de vérifier la bonne mise en œuvre des nouvelles fonctionnalités et l'absence de régressions. De plus, tous les logiciels développés sont gérés par un système de gestion de versions.
Politiques d'évaluation, de gestion et de sécurité dans les relations avec les fournisseurs.
La politique de l'entreprise en matière de relations avec les fournisseurs stipule que les aspects suivants doivent toujours être pris en compte pour la définition et la gestion adéquates d'une nouvelle relation d'approvisionnement, avec une attention particulière pour la sécurité des informations :
En outre, les fournitures externes nécessaires au développement, à la maintenance et à la prestation de services font l'objet d'audits afin de réduire le risque d'incidents de sécurité dus à du matériel non conforme ou à des actions inappropriées de la part des fournisseurs. Tous les prestataires de services professionnels sont tenus de signer un accord de confidentialité (NDA).
Les modèles contractuels utilisés par Aruba pour la fourniture du service prévoient la possibilité pour Aruba d'utiliser des tiers pour la réalisation de ses activités. Cette coopération repose sur l'engagement contractuel pris par Aruba vis-à-vis de tout sous-traitant de vérifier que celui-ci, en fonction du type de service fourni, est en mesure de respecter les mêmes exigences et niveaux de sécurité que ceux auxquels Aruba s'engage. Aruba tient à jour une liste des sous-traitants de services, disponible sur demande des clients. En outre, en cas de nouveaux sous-traitants, Aruba s'engage à informer ses clients suffisamment à l'avance pour permettre une opposition ou un retrait de la part des clients eux-mêmes.
Approche structurée et programmatique de la gestion des incidents de sécurité des informations
Le système de gestion de la sécurité des informations d'Aruba se caractérise par une approche structurée et programmatique de la gestion des événements et/ou incidents liés à la sécurité des informations qui peuvent survenir dans le cadre des activités des sociétés du groupe, et se fonde sur les lignes directrices ISO 27035 relatives au flux de gestion des incidents liés à la sécurité des informations.
Ce processus est mis en œuvre au moyen d'un plan spécial qui régit les mesures opérationnelles à mettre en œuvre en cas d'incidents liés à la sécurité des informations.
Un flux de gestion des incidents a été défini et les responsabilités associées à sa mise en œuvre ont été identifiées, à la fois en termes de gestion et de résolution des incidents, et en termes de soutien stratégique pour l'adoption en temps utile des décisions nécessaires pour faire face aux incidents de sécurité majeurs (par exemple, incidents majeurs, incidents inconnus, violations de données).
Les délais et les procédures de préparation et d'envoi des rapports sur les incidents de sécurité de l'information aux autorités, aux clients et à des tiers ont également été définis.
Mise en œuvre des contrôles de la certification ISO 27001 afin d'atténuer les risques et de garantir la continuité et la sécurité des activités.
Aruba a formalisé un plan de continuité des activités, une politique et des plans spécifiques de continuité des activités pour les data centers concernant les services essentiels à leur fonctionnement, tels que l'électricité, la climatisation et la connectivité.
Les data centers sont certifiés ISO 27001 et les principales mesures visant à garantir la sécurité physique et la continuité des activités des installations y sont mises en œuvre.
En particulier, les data centers IT1, IT3 DCA et DCB d'Aruba sont conformes au niveau le plus élevé (Rating 4) parmi ceux prévus par la norme ANSI TIA 942-B-2017. Ce résultat, qui indique la capacité à éviter les interruptions de service même en présence de défaillances graves (tolérance aux pannes), a été obtenu grâce à une série de mesures de conception et de construction qui ont touché tous les aspects du data center : choix du site, aspects architecturaux, sécurité physique, systèmes de prévention des incendies, système électrique, système mécanique et réseau de données.
Un data center Rating 4 (anciennement Tier 4) dispose de composants redondants toujours actifs, ainsi que de plusieurs circuits d'alimentation et de refroidissement pour le matériel.
Enfin, les data centers sont structurés de manière à résister à une défaillance en tout point du système sans causer de temps d'arrêt et sont protégés contre les événements physiques, y compris les catastrophes naturelles (incendie, inondation, tremblement de terre, etc.). Les data centers IT3 DCA et DCB d'Aruba sont certifiés ISO/IEC 22237, une norme de référence internationale pour l'ensemble du cycle de vie des data centers, de la conception stratégique à la mise en œuvre et à la mise en service, conformément aux normes ANSI/TIA 942 (norme américaine) et EN 50600 (norme européenne).
L'environnement Cloud consiste en une infrastructure multi data centers, dont les services sont interconnectés par un réseau IPSEC sécurisé à large bande passante.
La structure étant conçue pour être multi data centers, elle est nativement préparée à la reprise après sinistre, car tous les data centers sont logiquement indépendants les uns des autres.
Les machines virtualisées des clients ne sont pas soumises à une reprise après sinistre géographique, car les clients disposent de tous les outils nécessaires pour adapter leurs propres systèmes et procédures de reprise après sinistre.
Conformité au RGPD : conformité réglementaire et audits réguliers pour garantir la sécurité des données.
Tous les services sont fournis en pleine conformité avec la législation en vigueur sur la protection des données personnelles conformément au règlement de l'UE 2016/679 (RGPD), au décret législatif 196/2003, tel qu'indiqué par le décret législatif 101/2018, et aux mesures de l'Autorité de protection des données personnelles.
Les événements de traçage, en particulier ceux qui pourraient indiquer une menace pour la sécurité, sont analysés périodiquement.
La personne chargée des vérifications et des inspections (audit) veille à ce que des vérifications de la conformité du service Cloud aux dispositions du présent document et aux normes en vigueur soient effectuées au moins une fois par an.
Nous offrons à nos clients des outils et des fonctionnalités pour les aider à perfectionner leurs opérations de sécurité dans le Cloud, comme le prévoit le modèle de responsabilité partagée.
Description et lieux de fourniture du service, avec un modèle de responsabilité partagée.
La description générale du service Aruba est disponible dans la base de connaissances (KB), sur la page dédiée à la description générale du service, ainsi que le tableau des lieux de fourniture de services et au tableau du modèle de responsabilité partagée entre Aruba en tant que fournisseur de services Cloud et ses clients.
Formation continue du personnel avec des ressources éducatives et de la documentation sur les services et les API d'Aruba.
Aruba met à disposition une Base de connaissances contenant des informations sur les services Aruba. Elle contient des informations sur les services, des guides, des tutoriels, de la documentation sur l'interface de programmation d'applications (API), un glossaire et un journal des modifications des services.
Affectation, suppression et classification des actifs conformément aux lignes directrices d'Aruba.
Dans le cadre de la logique de responsabilité partagée, Aruba a identifié pour chaque service les attributions de propriété concernant, respectivement, l'infrastructure, les licences, les adresses IP, les logiciels fournis par Aruba, les logiciels, les données et le contenu saisi par le client.
Les informations sur la propriété des actifs des services sont mises à la disposition des clients au sein de la base de connaissances publique dans la page dédiée.
Grâce à la technique d'effacement de disque dans l'environnement Aruba Cloud, pour les services Cloud VPS, Cloud Server et Virtual Private Cloud, le client a la possibilité de supprimer définitivement les données contenues sur sa machine et de les rendre impossibles à récupérer. La page dédiée de la base de connaissances indique les étapes opérationnelles.
Les services d'Aruba permettent aux clients de nommer et de classer les actifs qu'ils contrôlent. Les guides publiés dans la base de connaissances fournissent des indications détaillées sur la manière d'effectuer ces opérations et sur les contraintes qu'elles impliquent.
Gestion autonome de l'accès des utilisateurs et des autorisations administratives pour un contrôle personnalisé.
Le client se voit garantir à tout moment la possibilité d'enregistrer, de modifier, de suspendre, de réactiver et de supprimer son profil d'utilisateur, ainsi que de gérer ses aspects commerciaux (crédits, seuils, profils associés, etc.).
Au niveau des autorisations, chaque client peut gérer administrativement ses actifs en définissant des niveaux de sécurité et en gérant les privilèges d'accès. En particulier, les clients ont la possibilité, en fonction du service, de :
Les autorisations sont organisées en mode hiérarchique.
Conseils sur l'adoption de contrôles cryptographiques fondés sur les risques et description du service de chiffrement avancé des données de Cloud Backup.
Nous suggérons aux clients d'adopter une approche basée sur le risque et de mettre en œuvre des contrôles cryptographiques supplémentaires dans leurs domaines de responsabilité (voir Modèle de responsabilité partagée) au cas où les données traitées dans le cadre du service Aruba seraient particulièrement sensibles.
Le service offre la possibilité de crypter les données sauvegardées, avant même leur transfert, à l'aide d'un mot de passe complexe (norme AES-256).
Systèmes de sauvegarde et de journalisation, gestion de la capacité, multi-tenance et synchronisation.
Sauvegarde
Les services Cloud d'Aruba permettent aux clients de créer et de configurer leurs propres sauvegardes automatisées via les solutions Cloud Backup et Bare Metal Backup, en choisissant leurs propres politiques en termes de chiffrement, de périodicité, de type (complet ou incrémentiel) et d'autres exigences spécifiques.
L'option Disaster Recovery as a Service (DRaaS) permet également de tester les procédures de basculement sans interruption.
Toutes les procédures de gestion des sauvegardes et des restaurations sont exécutées indépendamment par les utilisateurs et sont décrites dans la base de connaissances (KB) du service dans la page dédiée, où sont également décrites les différentes méthodes qui peuvent être utilisées pour sauvegarder ses données.
Aruba n'effectue aucune sauvegarde de données autre que celles définies individuellement par les utilisateurs.
Aruba fournit aux clients les journaux d'application qu'ils produisent lorsqu'ils utilisent les services.
En ce qui concerne la gestion des capacités, Aruba permet au client de contrôler en permanence la consommation des ressources économiques et techniques dont il dispose, tout en permettant des prévisions.
De plus, dans la phase d'acquisition des services, des cas sont décrits où il y a des limites à l'extensibilité des ressources.
Lorsque l'on estime que la synchronisation des horloges peut poser des difficultés au client, des informations détaillées sont fournies dans la base de connaissances publique (par exemple, dans la page dédiée aux tâches planifiées) ou dans les panneaux de gestion.
La multi-tenance est garantie :
La multi-tenance est garantie :
il s'agit de ressources dédiées au tenant unique. La multi-tenance est garantie par le panneau Cloud public multi-tenant spécialement développé par Aruba et par des API publiques authentifiées. Ces solutions ne permettent que l'accès et la gouvernance de sa propre infrastructure Cloud.
La multi-tenance est garantie :
La multi-tenance est garantie :
La multi-tenance est garantie :
La multi-tenance est garantie :
la multi-tenance est garantie par le panneau Cloud public expressément développé en mode multi-tenant par Aruba et l'API publique authentifiée. Ces solutions ne permettent que l'accès et la gouvernance de sa propre infrastructure Cloud.
La multi-tenance est garantie :
La multi-tenance et la ségrégation sont assurées par diverses mesures :
la multi-tenance est garantie par le panneau Cloud public expressément développé en mode multi-tenant par Aruba et l'API publique authentifiée. Ces solutions ne permettent que l'accès et la gouvernance de sa propre infrastructure Cloud.
La multi-tenance est assurée par deux modes :
la multi-tenance est garantie par le panneau Cloud public expressément développé en mode multi-tenant par Aruba et l'API publique authentifiée. Ces solutions ne permettent que l'accès et la gouvernance de sa propre infrastructure Cloud.
Firewall, Virtual Switch et gestion des données géographiques pour la sécurité et la conformité des communications.
Le client est l'administrateur de son propre serveur et a donc la possibilité de modifier les paramètres du pare-feu. Les guides et tutoriels de la base de connaissances fournissent des informations sur la manière de séparer et de protéger la sécurité du réseau et de configurer un pare-feu sur votre Aruba Cloud.
Le client a la possibilité d'acheter le service Virtual Switch, qui consiste en la mise à disposition d'un VLAN dédié non partagé avec d'autres clients sur lequel le client peut interconnecter ses machines pour une ségrégation maximale et la possibilité de créer indépendamment des réseaux privés dédiés non partagés par d'autres clients pour configurer sa propre architecture (Virtual Private Cloud).
Sur demande, les réseaux publics peuvent également être dédiés et ne pas être partagés avec d'autres clients.
Les services Aruba peuvent être activés sur la base d'un data center ou sur une base régionale (coïncidant avec un pays).
Le client a la possibilité d'indiquer le(s) centre(s) de données dans le(s)quel(s) ses services seront activés et ses données transférées ; pour les services sur une base régionale, le client a la possibilité de sélectionner le pays dans lequel le service sera activé.
Aruba ne déplace en aucun cas des systèmes ou du contenu en dehors des emplacements géographiques (DC ou régions) configurés par ses clients.
Changelog pour les versions, correctifs, corrections et mises à jour des services offerts aux clients.
Aruba fournit à ses clients un journal des modifications pour communiquer les versions, les correctifs, les corrections et les mises à jour des services proposés.
Le service DRaaS d'Aruba Cloud : continuité des activités grâce à la réplication et à la récupération rapide des infrastructures informatiques
Aruba propose un service de reprise après sinistre (Disaster Recovery as a Service) conçu pour garantir la continuité des activités des entreprises. Ce service permet de répliquer et de restaurer rapidement l'accès et la fonctionnalité de l'infrastructure informatique à la suite d'une interruption due à une cyberattaque, à une défaillance ou à un événement désastreux.
Grâce à un panneau web en libre-service, sur une connexion sécurisée, le client peut créer de manière autonome des directives et des politiques de reprise après sinistre, en sélectionnant la source (site primaire) et la destination (site secondaire) à choisir parmi ses propres infrastructures virtuelles VMware sur site et/ou les data centers Aruba activés pour le service Virtual Private Cloud.
Aspects de sécurité de notre Cloud Computing - Norme ISO 27001:2017
