La sauvegarde de la ressource

1. Toujours exécuter Iptables (pare-feu) sur les machines avec des connexions de réseaux publics.
2. Vérifiez les journaux du système d’exploitation périodiquement ou faites-le vérifier par une application et signaler toute anomalie dans le comportement de l’utilisateur, tels que les connexions hôte source, la bande passante réseau, l’utilisation des ressources, le temps et la fréquence de connexion, etc.
3. Appliquer choix de mots de passe qui contiennent certain nombre de caractères et combinaison de caractères alphanumériques ainsi que les caractères spéciaux.
4. Force de changement de mot de passe une fois par année, même si la plupart des utilisateurs ne veulent pas changer les mots de passe souvent.
5. Inactiver comptes périmés, les comptes inutilisés et les comptes des employés quand ils quittent l’organisation.
6. Mettez l’authentification basée sur l’hôte si possible. Ceci est pratiquement impossible pour les systèmes HPC que les utilisateurs peuvent être sur tous les hôtes à tout moment.
7. Les utilisateurs de conseiller de ne pas stocker des clés privées telles que les clés privées SSH pour les connexions sans mot de passe sur de ressources HPC car les pirates qui ont obtenu des privilèges élevés peuvent l’utiliser pour accéder à d’autres machines.
8. Laisser machines autorisées seulement avec des adresses MAC connues dans un réseau qui émettent des adresses IP DHCP. Ceci est également peu impossible dans le monde d’aujourd’hui où les gens utilisent toutes sortes d’appareils mobiles tels que les téléphones intelligents d’accéder aux ressources.
9. Utiliser des logiciels qui utilisent le chiffrement PKI en se fondant sur les clés publiques et privées telles que la grille-ftp.
10. Autoriser les protocoles ne cryptés tels que ssh, sftp ou https pour accéder au système.
11. Activez des outils tels que SELinux qui permettront de contrôler l’accès par rôles prédéfinis, mais la plupart des centres de CHP ne l’activez pas comme il se décompose le fonctionnement normal des clusters Linux et il devient plus difficile à déboguer lorsque les applications ne fonctionnent pas comme prévu.
12. Lors de l’exécution d’une application basée sur le Web, d’ajouter l’authentification basée sur le campus de Shibboleth. Cela servira au moins comme un filtre anti-spam et peut restreindre déni de service comme les crises.
13. Imposer quota de ressources telles que la capacité de stockage totale ou le temps de calcul lorsque applicable.
14. Problème dispositifs générateurs de mot de passe d’un temps si possible.
15. Ne pas laisser toute recherche de plainte HIPAA sur les clusters HPC avec beaucoup d’utilisateurs. Isoler des recherches de type HIPAA dans les réseaux restreints.
16. Permettre à la recherche avec des données sensibles que dans les réseaux restreints.
17. Empêcher toute appareils portables de va-et-vient entre les réseaux ouverts et réseaux restreints.
18. Réseaux compartimenter de sorte qu’il est facile de mettre en quarantaine la partie compromise du réseau. Ceci est également utile dans zero-day-vulnérabilité parce que les développeurs travaillent toujours sur les correctifs possibles pour corriger ces vulnérabilités.
19. Il est généralement pas nécessaire de mettre à jour l’OS à la dernière, car il faut un certain temps pour la communauté pour tester divers défauts. Mise à niveau du système d’exploitation seulement si nécessaire.
20. Nommer un personnel bien formé avec le système d’exploitation et la connaissance de l’Internet avec la conscience des conditions de la menace et des compétences médico-légales cyber.

Cloud et environnement virtuel
Puisque la technologie de cloud et de la virtualisation est devenu populaire à une époque où il ya une prise de conscience universelle de la cyber-sécurité, les développeurs de cette technologie ont été sous surveillance lourde pour rendre la technologie plus difficile de faire des compromis. Dans l’environnement de cloud privé les propriétaires de ressources ont généralement de privilèges élevés comme mot de passe root et la capacité à ouvrir ou fermer le port au réseau public. Les fournisseurs d’hébergement ne disposent généralement pas beaucoup de contrôle sur les activités de l’hôte virtuel et réseau virtuel, mais ils ont le contrôle sur les machines hébergées et réseau organisé. Les administrateurs de nuages ​​ont des privilèges suffisants même pour examiner les instances virtuelles fonctionnant sur une machine hôte. Dans un environnement de cloud computing à travers le réseautage virtuel et instances virtuelles différents utilisateurs sont dans leur propre réseau isolé et de compromis sur une instance virtuelle est isolé à seulement les ressources appartenant à ce groupe. D’une certaine manière la sécurité est peu mieux dans un environnement de cloud d’un cluster HPC où tous les noeuds ont identiques mise en place. Il est également facile de se défaire d’une image compromise dans un environnement de cloud computing et de construire et déployer un nouveau. Aussi, il ne faut pas pour fournir une connexion Internet à toutes les instances virtuelles dans un environnement de cloud computing privé.

La sécurité dans un environnement de cloud public est moins bien définie par rapport à un environnement de cloud privé en fonction de l’accord de niveau de service (SLA). Les données sont déjà passés à une ressource publique où les employés du fournisseur de services peuvent avoir accès aux données et si les données sont en clair, il ya une possibilité de données se interceptés au cours du processus de transfert. En outre, l’accès aux données ne sont pas garanties tout le temps.

Les pare-feu à la frontière du campus
Une pratique couramment utilisée dans l’environnement de l’université est le filtrage de réseau (pare-feu) à la frontière du campus comme la première ligne de défense commence là. Les administre des réseaux de campus surveillent en permanence un volume élevé et de la circulation à haute fréquence pour abus et bloquent périodiquement le trafic réseau à partir de ces adresses IP jusqu’à ce que l’authenticité du comportement du réseau est étudiée (liste noire / liste blanche). Les administrateurs réseau peuvent également bloquer le trafic spécifique à un certain protocole de communication et les ports si on connaît les vulnérabilités tant que des mesures d’atténuation ont été prises.

Une autre approche communément adoptée est de bloquer tout le trafic entrant à un groupe de ressources ou de dispositifs calcul comme une question de politique et de percer des trous dans le filtre uniquement aux ressources, qui doit à la fois le trafic entrant et sortant. Où sous-réseaux privés possibles sont connectés à Internet en utilisant le réseau de traduction d’adresses (NAT) méthode, qui consiste à réécrire les adresses IP source et de destination lorsque le paquet traverse un pare-feu. Ce processus est appelé mascarade IP utilisée pour cacher tout un sous-réseau privé à partir d’Internet. De cette façon sous-réseau privé peut accéder au réseau public et non l’inverse.

Les systèmes de détection d’intrusion (IDS) la mise en œuvre entraîne également de nombreuses fausses alertes positives parce que les développeurs d’applications ne suivent pas des lignes directrices strictes et un comportement anormal dans une organisation peut être dans les limites acceptables d’une autre organisation. En raison de cette raison, de nombreux centres de CHP ne reposent pas sur IDS.