Sophos Central

Sophos Trust Center

Sophos Central est la plateforme de gestion de la cybersécurité pour toutes les solutions de sécurité Next-Gen de Sophos. Cette page détaille les mesures de sécurité garantissant la protection de la plateforme Sophos Central.

Plateforme Sophos Central

Sophos Central est une application Cloud native à haute disponibilité. Elle est hébergée sur des plateformes de Cloud public, telles que Amazon Web Services (AWS) et Microsoft Azure, qui évoluent de façon dynamique pour gérer une charge de travail en constante évolution.

Chaque compte Sophos Central est hébergé dans une région nommée — les utilisateurs choisissent leur région souhaitée lors de la création de leur compte. Toutes les données du client sont verrouillées dans la région choisie et ne peuvent pas être transférées vers une autre. Elles sont répliquées sur plusieurs centres de données (zones de disponibilité) dans chaque région, pour fournir un basculement harmonieux en cas de défaillance au niveau de l’infrastructure.

Sophos Central utilise des bibliothèques logicielles connues, largement utilisées et conformes aux normes de l’industrie pour prévenir les vulnérabilités courantes (par exemple couvertes dans le Top Ten de l’OWASP). Cela nous permet de bénéficier du haut niveau de contrôle auquel ils sont soumis en termes de sécurité et de stabilité.

Architecture de Sophos Central

Sophos Central utilise un ensemble de services globaux pour la gestion des identités et des sessions, ainsi que des services API et produits régionaux entièrement évolutifs. Tous les produits Sophos Next-Gen partagent des informations sur les menaces et les statuts de sécurité dans Sophos Central, améliorant ainsi la protection. Tout est contrôlé depuis une interface web unique pour une gestion quotidienne aisée.

Sécurité physique

Nous utilisons un modèle de responsabilité partagée avec les fournisseurs de Cloud publics qui fournissent l’infrastructure physique de Sophos Central. Ils sont responsables de la sécurité du Cloud, et Sophos est responsable de la sécurité dans le Cloud.

Retrouvez plus de renseignements sur les étapes qu’Amazon prend pour sécuriser son infrastructure et ses services dans leur livre blanc sur la sécurité.

Sécurité du réseau

Réseaux virtuels en mode « auto-scaling »

Sophos Central est divisé en plusieurs réseaux virtuels correspondant aux différentes charges de travail qu’ils exécutent (telles que l’authentification ou la gestion des terminaux). Toutes les charges de travail sont ensuite placées dans des groupes « auto-scaling », derrière un équilibreur de charge. Ceci permet d’affecter des ressources supplémentaires à un groupe donné en cas d’augmentation de sa charge de travail ou du trafic.

Listes de contrôle d’accès réseau

Les groupes de sécurité et les listes de contrôle d’accès au réseau utilisent le principe de moindre privilège. Par défaut, tout service conçu pour être utilisé dans Sophos Central est placé sur un sous-réseau privé qui n’est pas visible en dehors du réseau virtuel. Ces services ne sont pas non plus autorisés à communiquer avec d’autres services, à moins que cela ne soit explicitement nécessaire et que l’accès ait été accordé par l’équipe des services d’infrastructure (CIS) de Sophos Central. Seuls les services destinés à être vus depuis l’extérieur reçoivent une interface publique.

Accès à la base de données

Les bases de données n’ont aucune connexion à Internet et ne sont accessibles qu’au sein du réseau virtuel. Elles sont conservées sur des sous-réseaux privés distincts du reste de l’infrastructure Sophos Central. Les services ayant besoin d’interagir avec une base de données doivent le faire par le biais de la couche d’accès aux données (DAL). Retrouvez plus de renseignements sur la couche d’accès aux données (DAL) à la section Sécurité des données de ce document.

Accès à la maintenance

L’accès à la maintenance de Sophos Central est uniquement disponible via un tunnel VPN provenant d’un réseau spécifique dans l’infrastructure de Sophos. Le tunnel ne peut pas être établi en dehors du réseau de Sophos, même avec des informations d’identification, des clés et des certificats.

Protection contre les attaques DDoS

La prévention contre les attaques par déni de service distribué (DDoS) est effectuée par le biais de technologies de protection DDoS dédiées, l’auto-scaling, la surveillance du système et de la réduction du trafic.

Sécurité des données

Intégrité

Disponibilité

Toutes les données sont stockées dans des clusters de bases de données et au minimum triplées. Avec un facteur de réplication d’au moins trois, la réplication en clusters basée sur les événements garantit que deux instances de base de données dans le cluster peuvent échouer sans conséquence sur la disponibilité des données. Comme le processus de réplication est basé sur les événements plutôt qu’un planning quelconque, toute modification apportée à la base de données est immédiatement transmise à toutes les instances du cluster ce qui permet à l’ensemble des données d’être disponibles sur les toutes les instances de basculement, même en cas de défaillance de l’une d’entre elles.

Durabilité

Chaque instance de base de données possède son propre volume de stockage dont un instantané est capturé toutes les heures. Les instances sont transitoires, seuls les volumes de stockage sont conservés. Cela, en combinaison avec le facteur de réplication de cluster, nous permet de détruire les instances de base de données sans risquer de perte de données. Les vulnérabilités dans les applications de base de données, les systèmes d’exploitation, etc. peuvent être rapidement résolus sans perdre de données.

Chiffrement

Nous utilisons le chiffrement au niveau du volume pour chiffrer toutes les données inactives telles que les volumes de stockage, le stockage d’objets et les disques virtuels de machines virtuelles.

Dans les volumes de stockage, nous chiffrons les données sensibles des clients au niveau du champ de saisie au moyen d’une clé multi-parties par champ. Ces parties sont formées à partir de plusieurs emplacements différents, y compris un système de gestion de clé. Chaque clé est unique à chaque client et à chaque champ de saisie.

Le chiffrement au niveau du transport permet de sécuriser la communication d’administration entre le logiciel client et la plateforme Sophos Central via des certificats et la validation du serveur.

Sophos ne stocke ni n’envoie jamais de mots de passe de comptes Central en texte clair. Lorsqu’un nouvel utilisateur ouvre un compte, celui-ci doit définir un mot de passe dans le cadre du processus d’activation.

Protection contre les menaces

Antimalware

Sophos Central est conçu de manière à ce que toutes les machines soient sans utilisateur, ne nécessitant aucune interaction, ce qui permet de verrouiller et de renforcer leur sécurité. Les machines sont configurées à partir de sources saines, en partie grâce à notre processus de signature de code numérique sécurisé, et n’exécutent que les logiciels prescrits par les développeurs pour créer une configuration de référence de la machine.

Tout comme les instances de serveur de base de données, les machines qui comprennent Sophos Central peuvent être détruites et reconstruites à tout moment sans perte de données.

Correctif

La configuration de référence des machines virtuelles est mise à niveau pour intégrer les dernières bibliothèques et applications logicielles toutes les 3 semaines. Aucune instance de machine virtuelle n’existe plus de 3 semaines. Les anciennes instances sont détruites et les nouvelles instances déployées en fonction de la configuration de référence en vigueur.

Si une vulnérabilité est détectée par le mécanisme de dépendance de vulnérabilités, les tests internes ou externes, le programme « bug bounty » ou d’autres moyens, les correctifs et le redéploiement se font conformément au protocole de réponse aux vulnérabilités.

Contrôle de la sécurité et réponse aux incidents

Le centre opérationnel de sécurité (SOC) global de Sophos surveille toutes les données de journalisation de Sophos Central et de ses services connexes. Sophos Central dispose de fonctions d’investigation approfondies en cas de violation de données pour une réponse ultra rapide aux incidents.

Contrôles client

Authentification multifacteur (MFA)

La MFA est requise pour tous les administrateurs de comptes Sophos Central dans nos tableaux de bord Partenaires et Entreprise multi-tenants, et nous sommes actuellement en train de procéder à l’enrôlement de tous les administrateurs Sophos Central pour les tableaux de bord mono-tenant. L’inscription à la MFA est activée par défaut pour tous les nouveaux comptes Sophos Central. Les options intégrées comprennent actuellement les mots de passe à usage unique (OTP) délivrés par email ou SMS, ainsi que les mots de passe à usage unique basés sur le temps (TOTP) via toute application compatible.

Administration déléguée

Une multitude de rôles administratifs prédéfinis peuvent être assignés aux administrateurs afin de limiter l’accès aux données sensibles du journal et les empêcher d’apporter des modifications aux paramètres et aux configurations.

Télémétrie et collecte de données

Retrouvez toutes les informations utiles sur les données que nous collectons et stockons sur les pages suivantes de notre site Web :

Mise à jour sécurisée

Nous garantissons l’intégrité de nos mises à jour logicielles de plusieurs manières :

  • Nous apposons une signature numérique à tous les fichiers binaires que nous publions.
  • Par défaut, les appareils téléchargent les mises à jour via une session HTTPS sécurisée. Si l’administrateur n’utilise pas déjà la mise à jour HTTPS, il peut l’activer depuis les Paramètres généraux dans Sophos Central.
  • Les appareils reçoivent un manifeste (signé par nous) qui répertorie les composants qu’il doit installer. Les appareils n’installent que les fichiers qui figurent dans la liste et que nous signons.
  • Les appareils ne peuvent pas installer de fichiers que nous n’avons pas approuvés.