PSSI - FunWarry/Projet-ESEO-css-datacenter GitHub Wiki
Politique de Sécurité des Systèmes d’Information (PSSI)
Projet : Datacenter sécurisé - ESEO Teaching Cloud
1. Objectif
Définir les règles et bonnes pratiques pour sécuriser le datacenter développé dans le cadre du projet S8 CSS. Ce datacenter intègre un pare-feu OPNsense, des ACLs, et un système de supervision basé sur les agents Wazuh.
2. Périmètre
Cette politique couvre :
- Les équipements du datacenter (serveurs, routeurs, switches, firewall).
- L’ensemble des 6 VLANs définis dans l’architecture.
- Les services hébergés (LAMP, DNS, supervision, etc.).
- Tous les utilisateurs du réseau, y compris les étudiants.
- Les solutions logicielles et matériels imposées par le cahier des charges.
3. Architecture réseau
| VLAN | Nom | Description | Accès étudiant |
|---|---|---|---|
| 10 | Admin | Administration du réseau et des services | ❌ |
| 20 | Web | Services web (ex : LAMP) | ✅ |
| 30 | Base de données | Serveurs BDD (MariaDB) | ❌ |
| 40 | Sauvegarde | Sauvegardes et restauration | ❌ |
| 50 | Supervision | Serveur de supervision (Zabbix, Wazuh) | ❌ |
| 60 | DNS | DNS | ❌ |
4. Sécurité réseau
4.1 Cloisonnement VLAN
- Chaque VLAN est isolé via des VLANs configurés sur le switch.
- Le routage inter-VLAN est activé uniquement sur le routeur Cisco, avec filtrage via ACLs.
- Seul le VLAN 20 (Web) est accessible aux étudiants.
4.2 Pare-feu OPNsense
- Déployé entre le réseau interne et l’extérieur.
- Applique la politique : "tout est interdit sauf ce qui est explicitement autorisé".
- Gère le NAT, le PAT et le filtrage des flux internes/externes.
- Interface d’administration accessible uniquement en interne.
4.3 ACLs
- ACLs sur le routeur Cisco pour contrôler le trafic entre VLANs.
- Le VLAN 20 peut accéder aux services définis.
- Les autres VLANs ne sont accessibles qu’aux administrateurs.
5. Supervision - Wazuh
- Agents Wazuh installés sur tous les serveurs pour :
- Analyse des logs.
- Détection d’intrusion.
- Contrôle de l’intégrité des fichiers.
- Les agents remontent leurs données vers un serveur Wazuh dans le VLAN 50.
- Les communications sont sécurisées via TLS.
6. Authentification et Accès
- Accès distant aux équipements via SSH restreint aux VLANs autorisés.
- Authentification forte (MFA) à mettre en place pour les accès sensibles.
- Les étudiants se connectent uniquement via le VLAN 20 à des services web contrôlés.
7. Sauvegarde et disponibilité
- Les sauvegardes sont stockées dans un VLAN dédié (40).
- Plan de reprise d’activité (PRA).
- Accès au serveur de backup limité aux machines autorisées.
8. Mises à jour et correctifs
- Les serveurs et outils de sécurité doivent être maintenus à jour.
- Plan de gestion des vulnérabilités avec priorisation des CVEs critiques.
9. Gestion des incidents
- Les alertes générées par Wazuh doivent être traitées dans un délai court.
- Des logs centralisés permettent l’analyse post-incident.
- Un journal d’incidents est tenu dans le wiki du projet.
10. Audit et conformité
- Des contrôles périodiques doivent être réalisés (audit interne).
- Le bon fonctionnement des ACLs, règles OPNsense et agents Wazuh est vérifié avant chaque présentation.
- Tous les choix de sécurité sont documentés dans le dépôt Gitea.