IBM Guide de sécurité - IBM Storage Insights - Guide de sécurité
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
IBM IBM Storage Insights Guide de sécurité SC43-4574-06
Important Avant d'utiliser le présent document et le produit associé, prenez connaissance des informations générales figurant à la section «Remarques», à la page 45. Septième édition - février 2019 La présente édition s'applique à la version en cours de IBM Storage Insights (numéro de produit 5725-U02), ainsi qu'à toutes les versions ultérieures, sauf indication contraire dans les nouvelles éditions. Réf. US : SC27-8774-06 LE PRESENT DOCUMENT EST LIVRE EN L'ETAT SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE. IBM DECLINE NOTAMMENT TOUTE RESPONSABILITE RELATIVE A CES INFORMATIONS EN CAS DE CONTREFACON AINSI QU'EN CAS DE DEFAUT D'APTITUDE A L'EXECUTION D'UN TRAVAIL DONNE. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. Les informations qui y sont fournies sont susceptibles d'être modifiées avant que les produits décrits ne deviennent eux-mêmes disponibles. En outre, il peut contenir des informations ou des références concernant certains produits, logiciels ou services non annoncés dans ce pays. Cela ne signifie cependant pas qu'ils y seront annoncés. Pour plus de détails, pour toute demande d'ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-vous aux documents d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial. Vous pouvez également consulter les serveurs Internet suivants : v http://www.fr.ibm.com (serveur IBM en France) v http://www.ibm.com/ca/fr (serveur IBM au Canada) v http://www.ibm.com (serveur IBM aux Etats-Unis) Compagnie IBM France Direction Qualité 17, avenue de l'Europe 92275 Bois-Colombes Cedex © Copyright IBM France 2019. Tous droits réservés. © Copyright IBM Corporation 2019.
Table des matières
Avis aux lecteurs canadiens . . . . . . v Métadonnées des volumes de blocs . . . . . . 20
Métadonnées des pools de blocs . . . . . . . 21
A propos de ce guide . . . . . . . . vii Métadonnées des groupes d'E-S, des noeuds et des
ports . . . . . . . . . . . . . . . . 21
A qui s'adresse ce manuel ? . . . . . . . . . vii
Métadonnées des disques et disques gérés . . . . 22
Métadonnées relatives aux boîtiers . . . . . . 23
Chapitre 1. Récapitulatif . . . . . . . . 1 Métadonnées des systèmes de stockage de fichiers 23
Métadonnées des systèmes de fichiers . . . . . 24
Chapitre 2. Qu'est-ce que le collecteur Métadonnées des ensembles de fichiers . . . . . 24
de données ? . . . . . . . . . . . . 3 Métadonnées des partages de fichiers. . . . . . 24
Métadonnées des pools de systèmes de fichiers . . 25
Chapitre 3. Comment les métadonnées Métadonnées des disques NSD (Network Shared
Disk) . . . . . . . . . . . . . . . . 25
sont-elles protégées ? . . . . . . . . 7 Métadonnées des noeuds de fichiers . . . . . . 25
Métadonnées des systèmes de stockage d'objets . . 26
Chapitre 4. Quels sont les types de Métadonnées des groupes . . . . . . . . . 27
métadonnées collectées ? . . . . . . 11 Métadonnées des serveurs . . . . . . . . . 29
Chapitre 5. Combien de temps les Chapitre 8. Métadonnées de
métadonnées sont-elles conservées ? . 13 performances . . . . . . . . . . . . 31
Métadonnées de performances pour les systèmes de
Chapitre 6. Qui peut accéder aux stockage qui exécutent IBM Spectrum Virtualize . . 31
Métadonnées de performances pour DS8000 . . . 35
métadonnées ? . . . . . . . . . . . 15
Métadonnées de performances pour les systèmes
Contrôles d'accès aux métadonnées et autorisations 15
XIV, IBM Spectrum Accelerate, IBM FlashSystem
Accès aux métadonnées pour la résolution des
A9000 et IBM FlashSystem A9000R . . . . . . 38
problèmes . . . . . . . . . . . . . . . 16
Métadonnées de performances pour IBM Spectrum
Accès au support IBM pour le traitement de vos
Scale. . . . . . . . . . . . . . . . . 39
tickets . . . . . . . . . . . . . . . . 16
Métadonnées de performances pour les systèmes de
Accès aux métadonnées pour l'amélioration de la
stockage EMC VMAX et VNX . . . . . . . . 40
qualité . . . . . . . . . . . . . . . . 16
Sauvegarde et restauration des données . . . . . 17
Demande de suppression des informations Remarques . . . . . . . . . . . . . 45
personnelles . . . . . . . . . . . . . . 17 Politique de confidentialité . . . . . . . . . 47
Marques . . . . . . . . . . . . . . . 48
Chapitre 7. Métadonnées d'actifs, de
capacité et de configuration . . . . . 19 Index . . . . . . . . . . . . . . . 49
Métadonnées des systèmes de stockage par blocs . . 19
© Copyright IBM Corp. 2019 iiiiv IBM Storage Insights - Guide de sécurité
Avis aux lecteurs canadiens
Le présent document a été traduit en France. Voici les principales différences et
particularités dont vous devez tenir compte.
Illustrations
Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir des
données propres à la France.
Terminologie
La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous au
tableau ci-dessous, au besoin.
IBM France IBM Canada
ingénieur commercial représentant
agence commerciale succursale
ingénieur technico-commercial informaticien
inspecteur technicien du matériel
Claviers
Les lettres sont disposées différemment : le clavier français est de type AZERTY, et
le clavier français-canadien de type QWERTY.
OS/2 et Windows - Paramètres canadiens
Au Canada, on utilise :
v les pages de codes 850 (multilingue) et 863 (français-canadien),
v le code pays 002,
v le code clavier CF.
Nomenclature
Les touches présentées dans le tableau d'équivalence suivant sont libellées
différemment selon qu'il s'agit du clavier de la France, du clavier du Canada ou du
clavier des États-Unis. Reportez-vous à ce tableau pour faire correspondre les
touches françaises figurant dans le présent document aux touches de votre clavier.
© Copyright IBM Corp. 2019 vBrevets
Il est possible qu'IBM détienne des brevets ou qu'elle ait déposé des demandes de
brevets portant sur certains sujets abordés dans ce document. Le fait qu'IBM vous
fournisse le présent document ne signifie pas qu'elle vous accorde un permis
d'utilisation de ces brevets. Vous pouvez envoyer, par écrit, vos demandes de
renseignements relatives aux permis d'utilisation au directeur général des relations
commerciales d'IBM, 3600 Steeles Avenue East, Markham, Ontario, L3R 9Z7.
Assistance téléphonique
Si vous avez besoin d'assistance ou si vous voulez commander du matériel, des
logiciels et des publications IBM, contactez IBM direct au 1 800 465-1234.
vi IBM Storage Insights - Guide de sécuritéA propos de ce guide
Dans IBM® Storage Insights Pro et IBM Storage Insights, la détection et la
résolution des problèmes dans un environnement de stockage n'a jamais été aussi
facile. Des capacités de gestion cognitive du stockage combinées à un support IBM
simplifié mais néanmoins robuste vous permettent de passer moins de temps à
traiter les problèmes de stockage pour en consacrer plus à la planification de vos
futurs besoins de stockage.
A qui s'adresse ce manuel ?
Cette publication s'adresse aux administrateurs ou aux professionnels des
technologies de l'information qui déploient IBM Storage Insights Pro ou IBM
Storage Insights et souhaitent en savoir plus sur la sécurité et la collecte de
données.
Les administrateurs doivent maîtriser les sujets suivants :
v Les procédures générales d'installation de logiciels sous Microsoft Windows, AIX
et Linux.
v Les concepts relatifs au réseau de stockage SAN
v Les concepts relatifs aux ressources de stockage et à la gestion
© Copyright IBM Corp. 2019 viiviii IBM Storage Insights - Guide de sécurité
Chapitre 1. Récapitulatif
Discussion sur les préoccupations que peuvent avoir les clients sur le fait qu'un
collecteur de données soit déployé sur site alors que le traitement et le stockage
des métadonnées se déroulent hors site.
IBM Storage Insights Pro et IBM Storage Insights sont des offres cloud qui utilisent
une application légère, le collecteur de données, pour recueillir et envoyer des
métadonnées d'actifs, de configuration, de capacité et de performances et les
envoyer à un centre de données IBM Cloud, où elles sont analysées et présentées
dans l'interface graphique.
Important : Les politiques de sécurité utilisées pour la collecte, l'envoi, l'accès, la
protection et le stockage des métadonnées sont identiques entre IBM Storage
Insights Pro et IBM Storage Insights.
Les principales différences entre ces deux offres cloud résident dans les
fonctionnalités exclusives qu'IBM Storage Insights Pro fournit à ses abonnés, telles
que l'analyse pour planification de la capacité, l'analyse pour récupération d'espace
de stockage et l'analyse de la hiérarchisation, ainsi que dans l'accès aux
métadonnées présentées dans l'interface graphique des deux offres. Dans IBM
Storage Insights Pro, les abonnés ont accès à toutes les métadonnées dans
l'interface graphique, tandis que dans IBM Storage Insights, les utilisateurs ont
accès aux métadonnées clés de capacité et de performances dans l'interface
graphique. Le support IBM a quant à lui accès en lecture seule au jeu de
métadonnées dont il a besoin pour identifier et résoudre les problèmes qui lui sont
soumis au travers de tickets.
Afin de lever les préoccupations des clients en matière de sécurité, nous
répondrons aux questions suivantes :
v Qu'est-ce que le collecteur de données ?
v Comment les métadonnées sont-elles protégées ?
v Quels sont les types de métadonnées collectées ?
v Combien de temps les métadonnées sont-elles conservées ?
v Qui peut accéder aux métadonnées collectées ?
Les listes des métadonnées d'actifs, de capacité et de configuration et des
métadonnées de performances collectées et stockées pour les systèmes de stockage
sont également fournies.
Informations juridiques et de sécurité supplémentaires : pour un récapitulatif
complémentaire des informations juridiques et de sécurité, voir le rapport de
compatibilité officiel d'compatibility report for IBM Storage Insights.
Référence associée:
Chapitre 7, «Métadonnées d'actifs, de capacité et de configuration», à la page 19
Le collecteur de données collecte et stocke des métadonnées relatives aux actifs, à
la capacité et à la configuration des systèmes de stockage par blocs, de fichiers et
d'objets, ainsi que leurs ressources. La liste des systèmes de stockage pris en charge
est fournie.
© Copyright IBM Corp. 2019 1Chapitre 8, «Métadonnées de performances», à la page 31
Le collecteur de données collecte et stocke des métadonnées de performances sur
les systèmes de stockage par blocs IBM et non-IBM, ainsi que des métadonnées de
performances des noeuds et systèmes de fichiers sur les systèmes de stockage IBM
Spectrum Scale.
2 IBM Storage Insights - Guide de sécuritéChapitre 2. Qu'est-ce que le collecteur de données ?
Le collecteur de données est l'application qui recueille et livre les métadonnées qui
sont ensuite analysées et présentées dans l'interface graphique.
Le collecteur de données est une simple application installée sur un serveur dans
votre centre de données. Il envoie les métadonnées recueillies sur vos systèmes de
stockage, telles que les métadonnées d'actifs, de configuration, de capacité et de
performances, de votre centre de données à votre instance d'IBM Storage Insights
Pro ou d'IBM Storage Insights, laquelle se trouve dans un centre de données IBM
Cloud.
Important : Les métadonnées sortantes qui sont envoyées par le collecteur de
données à une seule et unique adresse, qui n'est autre que le nom d'hôte IBM et le
port de votre instance. Cela signifie que lorsque vous configurez votre pare-feu
pour permettre l'envoi des métadonnées, vous ouvrez un unique chemin menant à
un point d'extrémité clairement défini et sûr.
Vous pouvez installer le collecteur de données en l'espace de quelques minutes et,
dès lors que vous y ajoutez les systèmes de stockage que vous comptez surveiller,
© Copyright IBM Corp. 2019 3vous obtenez les informations de capacité et de performances dont vous avez
besoin pour surveiller votre centre de données. Comme les métadonnées dont le
support IBM a besoin pour examiner et résoudre les tickets sont également
collectées, lorsque vous créez ou mettez à jour un ticket, vous pouvez télécharger
automatiquement les journaux des systèmes concernés. Le support IBM peut ainsi
accéder aux métadonnées et les examiner pour résoudre votre problème.
Données d'identification pour la connexion aux systèmes de stockage : Pour
ajouter et collecter des métadonnées provenant des systèmes de stockage que vous
souhaitez surveiller, vous devez fournir les données d'identification de ces
derniers. Selon le type du système de stockage que vous ajoutez pour surveillance,
vous pouvez indiquer le nom et le mot de passe d'un utilisateur disposant de
privilèges pour la collecte des métadonnées, ou d'un utilisateur et d'une clé SSH.
Les données d'identification qui sont fournies sont chiffrées avant d'être stockées
dans la base de données pour l'instance, et la base de données est également
chiffrée. En outre, la plupart des systèmes de stockage prennent en charge la
création d'utilisateurs avec des rôles en lecture seule, qui ne peuvent pas apporter
de modifications à la configuration du système de stockage.
Systèmes d'exploitation pris en charge : Les collecteurs de données peuvent être
installés sur les serveurs fonctionnant avec un système d'exploitation AIX, Linux
ou Windows. Le serveur sur lequel vous installez le collecteur de données doit
disposer au minimum d'1 Go de RAM et d'1 Go d'espace disque libre.
Certification de sécurité : IBM Storage Insights, sur la base d'audits réguliers,
possède la certification ISO/IEC 27001 Information Security Management.
Caractéristiques de sécurité clés
Pour garantir que les métadonnées sont collectées en toute sécurité, le collecteur de
données offre les caractéristiques suivantes :
Sécurité intégrée
La communication avec d'autres entités, notamment les systèmes de
stockage dans le centre de données local et le service IBM Storage Insights
dans le centre de données IBM Cloud, est initiée exclusivement par le
collecteur de données. Celui-ci ne fournit pas d'API distantes susceptibles
d'être utilisées pour interagir avec le collecteur de données.
Communication unidirectionnelle
L'envoi des données par le collecteur de données s'effectue de votre réseau
à votre instance d'IBM Storage Insights Pro ou d'IBM Storage Insights. La
communication est donc exclusivement sortante ; le collecteur de données
ne peut pas recevoir de données d'Internet ni d'autres entités dans votre
réseau. Voici comment fonctionne la communication unidirectionnelle :
1. Le collecteur de données envoie une demande de travail.
2. IBM Storage Insights répond avec une demande de collecte de données.
3. Le collecteur de données communique avec la ressource de stockage ou
lance une collecte de journaux.
Transmission sécurisée
Toutes les communications établies entre le collecteur de données et IBM
Storage Insights Pro ou IBM Storage Insights dans le centre de données
IBM Cloud utilisent un chiffrement HTTPS.
La communication initiée par le collecteur de données avec le serveur sur
lequel il est installé, et la communication entre le serveur et l'interface
4 IBM Storage Insights - Guide de sécuritégraphique IBM Storage Insights Pro ou IBM Storage Insights font appel
aux connexions HTTPS. Ces connexions sont signées par DigiCert Inc., qui
utilise le protocole TLS 1.2 avec des clés 128 bits.
Conseil : Comme des connexions HTTPS sont utilisées, le collecteur de
données peut être installé sur tout ordinateur ayant accès à l'internet sur
une connexion TCP sortante vers le port 443. Le port 443 est le port
standard pour les connexions HTTPS.
Chapitre 2. Qu'est-ce que le collecteur de données ? 56 IBM Storage Insights - Guide de sécurité
Chapitre 3. Comment les métadonnées sont-elles protégées ?
Une protection de bout en bout est fournie pour les métadonnées collectées, livrées
et stockées pour votre instance d'IBM Storage Insights Pro ou d'IBM Storage
Insights dans le centre de données IBM Cloud.
Collecte, livraison et stockage de métadonnées dans le cloud
Pour transformer les métadonnées en perspectives et les présenter dans IBM
Storage Insights Pro ou IBM Storage Insights, le collecteur de données les transfère
par packages à un centre de données IBM Cloud, où elles sont analysées et
stockées.
Pour que le package de métadonnées soit protégé pendant son trajet jusqu'au
cloud, le collecteur de données utilise le protocole HTTPS. Le package de
métadonnées est chiffré et envoyé à travers un canal sécurisé au centre de données
IBM Cloud.
A la passerelle, ou proxy inverse, des instructions sont reçues pour que le package
de métadonnées soit livré à votre instance d'IBM Storage Insights Pro ou d'IBM
Storage Insights.
Lorsque le package est livré, les métadonnées qu'il contient sont déchiffrées,
analysées et stockées.
De votre centre de données à l'internet
Des connexions HTTPS sont utilisées pour compresser et chiffrer les métadonnées
collectées sur vos systèmes de stockage et les envoyer au centre de données IBM
Cloud.
© Copyright IBM Corp. 2019 7Dans le cadre du processus d'intégration, il vous est fourni un nom d'hôte et un
numéro de port pour votre instance d'IBM Storage Insights Pro ou d'IBM Storage
Insights. Un certificat SSL (Secure Sockets Layer) est utilisé pour sécuriser la
communication sortante entre le collecteur de données et IBM Storage Insights Pro
ou IBM Storage Insights. Le certificat et les connexions HTTPS sont signés par
DigiCert, qui utilise TLS 1.2 avec des clés 128 bits.
Pour permettre l'envoi des métadonnées, votre pare-feu doit être configuré pour
autoriser les communications TCP sortantes sur le port HTTPS 443 vers l'adresse
de votre instance.
Au centre de données IBM Cloud
IBM Storage Insights Pro et IBM Storage Insights sont hébergés dans des centres de
données IBM Cloud, conformes aux standards de sécurité les plus stricts sur les
plans physique, technique et organisationnel.
Sécurité des clés
Chaque instance d'IBM Storage Insights utilise un magasin de clés local qui
est dédié à ses instance et mot de passe protégés. Le mot de passe du
magasin de clés est généré de manière aléatoire lorsque l'instance est créée.
Le certificat contenu dans le magasin de clés est unique à chaque instance
et le mot de passe du magasin de clés est chiffré. (Le chiffrement n'inclut
pas le chiffrement matériel.) Le mot de passe principal reste chiffré dans la
configuration de charge utile du service, dans un emplacement sécurisé
d'IBM Cloud.
Il n'y a qu'une seule clé de client externe, qui est la clé publique certifiée
par DigiCert. Dans le cadre de l'établissement de liaison TLS et de
l'échange de certificat, le client (navigateur Web) utilise le certificat signé
pour vérifier qu'il communique avec la passerelle IBM Storage Insights Pro
ou IBM Storage Insights dans IBM Cloud et que les communications ne
sont pas altérées. Pour le trafic interne, chaque instance du client d'IBM
Storage Insights Pro ou d'IBM Storage Insights dispose d'une clé unique,
qui est protégée par un mot de passe chiffré unique et qui est auto-signée
par IBM pour valider la communication entre le client et l'instance du
client.
Rotation des clés : Une nouvelle clé principale est créée et ajoutée au
magasin de clés lorsque l'instance est créée et lorsqu'elle est mise à niveau.
Les instances sont mises à niveau au moins tous les trois mois, impliquant
ainsi une rotation implicite des clés de 90 jours minimum. La clé publique
qui est certifiée par DigiCert est mise à jour tous les 2 ans.
Cela entraîne une confidentialité et un chiffrement de bout en bout pour
chaque instance d'IBM Storage Insights Pro et d'IBM Storage Insights.
Protection physique
Les centres de données sont rigoureusement contrôlés et leur sécurité sur
site est assurée 24 heures sur 24. L'accès aux salles des serveurs est limité
au personnel accrédité et les contrôles de sécurité sont vérifiés par des
sociétés d'audit externes.
Pour plus d'informations, voir https://www.ibm.com/cloud-computing/
bluemix/data-centers et https://www.ibm.com/cloud/security.
8 IBM Storage Insights - Guide de sécuritéSécurité technique
Chaque instance d'IBM Storage Insights Pro ou d'IBM Storage Insights est
isolée des autres aux niveaux calcul et stockage.
Remarque : Des disques de réseau de stockage SAN dédiés sont utilisés
pour chaque instance.
Chacune dispose aussi de sa propre base de données, qui sert
exclusivement à stocker ses propres données. La base de données est
chiffrée séparément au moyen du chiffrement natif IBM DB2 avec un
algorithme d'encodage fort appelé AES 256 bits. Un certificat SSL est
utilisé. Pour la base de données DB2 chiffrée et ses copies de sauvegarde
chiffrées qui sont stockées dans IBM Cloud, le certificat est auto-signé par
IBM.
Voir https://www.ibm.com/support/knowledgecenter/SSEPGG_10.5.0/
com.ibm.db2.luw.admin.sec.doc/doc/c0061758.html.
Les logiciels et services de sécurité suivants sont utilisés au quotidien :
v Mantes Endpoint Protection pour la protection contre les logiciels
malveillants
v IBM Bigfix® pour la conformité aux réglementations sur la sécurité
v IBM Security QRadar SIEM pour le stockage et la surveillance des
journaux système et d'application
Sécurité organisationnelle
L'accès à l'infrastructure et aux instances d'IBM Storage Insights Pro et
d'IBM Storage Insights est contrôlé :
v Par une politique limitant l'accès aux seuls membres de l'équipe DevOps
et des équipes d'infrastructure de service cloud ayant la qualité
d'utilisateurs privilégiés
v Par l'exécution régulière d'analyses de l'état de santé des systèmes et de
leur vulnérabilité au niveau du code source et sur les instances en cours
d'exécution
v Par l'exécution de tests de pénétration réguliers effectués par des sociétés
extérieures.
GDPR : IBM Storage Insights peut vous aider à remplir les exigences imposées par
la norme européenne de protection générale des données (GDPR).
Chapitre 3. Comment les métadonnées sont-elles protégées ? 910 IBM Storage Insights - Guide de sécurité
Chapitre 4. Quels sont les types de métadonnées collectées ?
Des métadonnées d'actifs, de capacité, de configuration et de performances sont
collectées et stockées pour les systèmes de stockage surveillés. Des données de
diagnostic sont également collectées dans des packages de journaux et ajoutées aux
tickets de demande de service.
Seules sont collectées les métadonnées portant sur la configuration et les opérations
des ressources de stockage. Les données proprement dites stockées sur les
systèmes de stockage ou leurs ressources ne sont jamais collectées.
Les métadonnées collectées sont utilisées :
v Pour mettre en place et améliorer les services
v Pour analyser et fournir des perspectives sur l'utilisation du stockage et ses
performances
v Pour générer des graphiques et présenter les données dans l'interface graphique
v Pour transférer automatiquement les journaux lorsque des tickets de demande
de service sont créés ou mis à jour
v Pour permettre au support IBM de mener l'enquête et de résoudre les problèmes
que vous pourriez rencontrer
Les types de métadonnées collectées et stockées sont les suivants :
Métadonnées d'actifs
Nom, modèle, microprogramme et type du système de stockage.
Métadonnées de configuration
Nom et nombre des ressources associées au système de stockage, telles que
le nombre de disques, de pools et de volumes.
Métadonnées de capacité
Valeurs d'utilisation du stockage, telles que la capacité de volume totale,
l'espace de volume non affecté, la capacité de pool, l'espace de pool utilisé
et la capacité de disque brute.
Métadonnées de performances
Métriques de performances telles que les débits de données en lecture et en
écriture, les débits d'E-S et les temps de réponse.
Métadonnées relationnelles
Dans IBM Storage Insights Pro, les métadonnées sont collectées pour
représenter les groupes généraux, les applications et les départements (ou
services) qui sont créés pour refléter l'utilisation et les performances du
stockage.
Métadonnées de serveur
Dans IBM Storage Insights Pro, métadonnées d'actifs et de capacité
collectées sur les serveurs ajoutés en vue d'être surveillés.
Métadonnées du collecteur de données
Pour surveiller les performances du collecteur de données et résoudre les
problèmes liés au recueil de données, le nom du serveur qui héberge le
collecteur de données, son statut et la date de sa dernière exécution sont
collectées.
© Copyright IBM Corp. 2019 11Pour recueillir les métadonnées sur les systèmes de stockage surveillés, le
collecteur de métadonnées doit s'y connecter. Les informations (identifiants et mots
de passe) qu'il utilise à cet effet sont elles aussi collectées et stockées. Elles sont
stockées dans la base de données qui a été créée pour votre instance d'IBM Storage
Insights et les mots de passe sont préalablement chiffrés.
Ticket de support IBM et packages de journaux de diagnostic
Lorsque le collecteur de données d'IBM Storage Insights collecte un package de
journaux de diagnostic depuis votre système de stockage, il le transmet au support
IBM via le protocole HTTPS.
Lorsque des utilisateurs créent des tickets dans IBM Storage Insights, ils
fournissent un nom, une adresse électronique et un numéro de téléphone de sorte
que le support IBM puisse les contacter. IBM Storage Insights collecte et télécharge
les données de diagnostic pour les systèmes de stockage par blocs IBM dans le
référentiel IBM Enhanced Customer Data Repository (ECuRep).
Qu'est-ce que le référentiel ECuRep ? : ECuRep est une solution stratégique
mondiale de support technique après-vente IBM destinée à la transmission, le
stockage et l'analyse des données de diagnostic client.
Si un système de stockage par blocs IBM est configuré en vue de l'utilisation de
Blue Diamond Enhanced Secure Support, IBM Storage Insights collecte et
télécharge les données de diagnostic qui sont recueillies pour le système de
stockage dans l'environnement Blue Diamond.
Qu'est-ce que Blue Diamond ? : Blue Diamond Enhanced Secure Support est une
amélioration du support logiciel et matériel IBM standard distant. Il ajoute des
couches supplémentaires de sécurité et vous permet d'utiliser un portail sécurisé
dédié pour télécharger des données de diagnostic sur le support IBM®.
12 IBM Storage Insights - Guide de sécuritéChapitre 5. Combien de temps les métadonnées sont-elles
conservées ?
Des informations sur les périodes de conservation sont fournies pour les
métadonnées qui sont collectées afin de mettre à disposition des services de
stockage et de les améliorer.
Lorsque vous ajoutez des systèmes de stockage, les métadonnées collectées portent
sur les actifs, la configuration, la capacité et les performances. Elles sont collectées
et conservées pour fournir des services d'analyse et de surveillance proposés par
IBM Storage Insights et les améliorer. Par exemple, les métadonnées sont analysées
pour présenter des métriques de performance et de capacité clés et pour détecter et
examiner les tendances des performances et de la capacité. Elles sont également
utilisées pour afficher les gains de capacité, prévoir les manques de capacité, et
fournir des recommandations de récupération et de hiérarchisation.
A mesure que les métadonnées sont collectées, leur niveau d'agrégation change.
Ainsi, pour les métadonnées d'actifs, de configuration et de capacité, sur une
période de 24 mois, en fonction de l'âge des métadonnées, les niveaux d'agrégation
passent de quotidien à hebdomadaire, puis d'hebdomadaire à mensuel. Pour les
métadonnées de performances, sur une période de 52 semaines, les niveaux
d'agrégation passent de l'échantillon (pas d'agrégation) à horaire (Toutes les
heures), puis à quotidien (Tous les jours), là encore en fonction de l'âge des
métadonnées. Cela revient à dire que la finesse de représentation des métadonnées
diminue au fil du temps : plus les métadonnées sont anciennes, moins elles sont
détaillées.
Le tableau suivant indique les niveaux d'agrégation par lesquels passent les
métadonnées d'actifs, de configuration et de capacité au fur et à mesure de leur
ancienneté :
Tableau 1. Métadonnées d'actifs, de configuration et de capacité
Niveau d'agrégation Age des métadonnées
Quotidien 12 semaines
Hebdomadaire 24 semaines
Mensuel 24 mois
Le tableau suivant indique les niveaux d'agrégation par lesquels passent les
métadonnées de performances au fur et à mesure de leur ancienneté :
Tableau 2. Métadonnées de performances
Niveau d'agrégation Age des métadonnées
Échantillon 2 semaines
Horaire 4 semaines
Quotidien 52 semaines
A compter de leur date de collecte, les métadonnées sont conservées jusqu'à
24 mois.
© Copyright IBM Corp. 2019 13Remarque : Si vous vous abonnez à IBM Storage Insights Pro puis annulez votre
abonnement, vous pouvez tout de même utiliser IBM Storage Insights. Les
métadonnées d'IBM Storage Insights Pro sont conservées.
Combien de temps les packages de données de diagnostic
sont-ils conservés ?
Généralement, les données de diagnostic sont automatiquement supprimées d'IBM
Enhanced Customer Data Repository (ECuRep) 30 jours après la clôture du ticket.
Pour des informations sur la conservation des données dans ECuRep, voir les
conditions d'utilisation IBM pour l'échange de données de diagnostic avec IBM.
Blue Diamond Enhanced Secure Support utilise un portail dédié sécurisé pour les
packages de données de diagnostic. Pour plus d'informations sur les données de
diagnostic et Blue Diamond, contactez l'équipe Blue Diamond depuis la page
d'enregistrement Blue Diamond.
Tâches associées:
«Demande de suppression des informations personnelles», à la page 17
Pour supprimer les informations personnelles minimales qui ont été stockées afin
de vous permettre de bénéficier de services de surveillance et de support pour vos
systèmes de stockage, vous pouvez soumettre une demande au support IBM.
14 IBM Storage Insights - Guide de sécuritéChapitre 6. Qui peut accéder aux métadonnées ?
Informations sur l'accès aux métadonnées collectées et stockées.
L'accès aux métadonnées collectées et stockées pour votre instance d'IBM Storage
Insights Pro ou d'IBM Storage Insights est limité :
v Aux équipes DevOps et d'infrastructure de service cloud chargées de la
maintenance et de l'opération au jour le jour de votre instance
v Au support IBM pour l'examen et la fermeture des tickets de demande de
service et pour le téléchargement de journaux de support permettant le
traitement des problèmes
Remarque : Le support IBM a un accès en lecture seule aux métadonnées
collectées sur les systèmes de stockage par blocs et leurs ressources internes.
Pour accéder aux métadonnées du réseau IBM Cloud et garantir une connexion
sécurisée, les équipes DevOps et d'infrastructure cloud utilisent une connexion par
réseau privé virtuel (VPN). L'accès aux instances n'est autorisé qu'à partir des
postes de travail des utilisateurs privilégiés, postes qui doivent répondre aux
contrôles de sécurité stricts mis en place par les politiques de sécurité IBM sur les
serveurs de production.
L'accès aux métadonnées pour les équipes DevOps et d'infrastructure de service
cloud est limité :
v A l'infrastructure du service cloud
v Au système d'exploitation
v Aux services complémentaires tels que les agents
v Aux composants middleware
Contrôles d'accès aux métadonnées et autorisations
Des contrôles d'accès et des vérifications d'autorisations sont mis en place pour les
composants et les services de l'infrastructure SaaS.
Un processus d'approbation est utilisé pour autoriser l'accès aux éléments et
services suivants de l'infrastructure :
v Le réseau
v Le système d'exploitation
v Les composants middleware
v L'application
v Les services administratifs
Les processus suivants sont mis en place pour la gestion des changements dans
l'environnement de production :
v Les changements opérés dans l'environnement de production doivent être
consignés et approuvés par le comité d'approbation des changements
v Toutes les activités de support doivent être tracées dans le portail du support
IBM pour les services cloud
© Copyright IBM Corp. 2019 15v Toutes les activités d'exploitation et de maintenance doivent être tracées par le
système d'attribution de tickets interne
Accès aux métadonnées pour la résolution des problèmes
Pour que les problèmes puissent être examinés et résolus, il faut pouvoir accéder
aux métadonnées et aux instances d'IBM Storage Insights Pro ou d'IBM Storage
Insights.
Les enquêtes menées par le support IBM pour trouver la cause des problèmes
peuvent nécessiter un accès aux métadonnées collectées et stockées ou un accès
aux éléments de l'infrastructure, voire aux deux. Par exemple, l'équipe DevOps ou
le support IBM peuvent avoir besoin de placer des instances de l'application sous
surveillance afin de déterminer la cause des interruptions de service ou pour
rechercher la cause des interruptions dans la collecte des données. Pour résoudre
de tels problèmes, il peut être nécessaire :
v Pour analyser la configuration de l'instance
v Pour analyser les fichiers journaux
v Pour analyser les métadonnées qui ont été collectées
Pour examiner en profondeur certains problèmes, il peut être également nécessaire
d'empaqueter les métadonnées et de transférer le package à un système IBM
sécurisé afin que l'équipe de développement puisse compléter l'investigation.
Accès au support IBM pour le traitement de vos tickets
Pour pouvoir examiner les tickets matériels et logiciels ouverts par les utilisateurs,
le support IBM dispose d'un accès en lecture seule aux métadonnées d'actifs, de
configuration, de capacité et de performances qui sont collectées pour le système
de stockage IBM et ses ressources de stockage internes.
Il se peut que les métadonnées ne fournissent pas suffisamment d'informations
pour permettre de fermer le ticket ; dans ce cas, le support IBM peut avoir besoin
de collecter un package de journaux depuis votre stockage. Ainsi, il pourra joindre
le package de journaux à un ticket ouvert et soumettre le package de journaux
dans le référentiel IBM Enhanced Customer Data Repository (ECuRep). Selon les
exigences de gouvernance des données d'un client, le package des données de
diagnostic peut être téléchargé dans l'environnement Blue Diamond Enhanced
Secure Support plutôt que dans le référentiel ECuRep.
Conseil : Le support IBM peut collecter à distance le package de journaux depuis
votre stockage, mais vous contactera d'abord pour vous demander l'autorisation de
le faire. Pour gagner du temps lorsque le support IBM® travaille sur votre ticket,
vous pouvez l'autoriser à collecter et télécharger des packages de journaux sans
vous contacter au préalable. Vous pouvez définir cette autorisation pour chaque
système de stockage. Pour ce faire, cliquez sur Configuration > Paramètres, puis
sur Editer les autorisations du support pour les journaux.
Accès aux métadonnées pour l'amélioration de la qualité
Des métadonnées anonymisées sont utilisées pour améliorer la qualité de service et
étendre l'offre produit.
16 IBM Storage Insights - Guide de sécuritéUn sous-ensemble des métadonnées de toutes les instances est agrégé et condensé
en vue d'une analyse plus approfondie. Les données utilisées sont anonymisées :
v Elles n'incluent pas de métadonnées spécifiques à une instance
v Elles n'incluent pas de métadonnées spécifiques à un client, telles que des
adresses IP
Par exemple, les métadonnées agrégées contiennent des statistiques telles que le
nombre de types différents de systèmes de stockage ou le nombre de niveaux
différents de microprogramme observé sur les systèmes de stockage surveillés. Les
métadonnées agrégées peuvent contenir des métriques d'utilisation, mais jamais les
noms, les numéros de série ou les adresses IP des systèmes de stockage.
Sauvegarde et restauration des données
Des sauvegardes régulières des données sont effectuées automatiquement pour
permettre la restauration des instances.
Des sauvegardes quotidiennes sont effectuées, ce qui signifie que l'objectif de point
de reprise (RPO) est d'une journée et que l'objectif de temps de reprise (RTO) est
compris entre 1,5 et 2 jours.
Les sauvegardes sont stockées à la fois localement, dans le même centre de
données, et à distance. La dernière copie de sauvegarde de l'instance est stockée
dans un centre de données distant, alors que les cinq sauvegardes précédentes sont
stockées dans le centre de données local.
Demande de suppression des informations personnelles
Pour supprimer les informations personnelles minimales qui ont été stockées afin
de vous permettre de bénéficier de services de surveillance et de support pour vos
systèmes de stockage, vous pouvez soumettre une demande au support IBM.
Si vous annulez votre abonnement à IBM Storage Insights Pro ou décidez d'arrêter
de surveiller votre environnement de stockage avec IBM Storage Insights, vous
pouvez demander la suppression des informations personnelles minimales.
1. Accédez à la page Support IBM.
2. Connectez-vous.
3. Cliquez sur Go to my cases.
4. Créez un cas et demandez la suppression de vos informations personnelles.
Chapitre 6. Qui peut accéder aux métadonnées ? 1718 IBM Storage Insights - Guide de sécurité
Chapitre 7. Métadonnées d'actifs, de capacité et de
configuration
Le collecteur de données collecte et stocke des métadonnées relatives aux actifs, à
la capacité et à la configuration des systèmes de stockage par blocs, de fichiers et
d'objets, ainsi que leurs ressources. La liste des systèmes de stockage pris en charge
est fournie.
Des métadonnées relatives aux actifs, à la capacité et à la configuration sont
collectées et stockées pour les systèmes de stockage par blocs IBM et non-IBM
suivants lorsqu'ils sont ajoutés à la surveillance.
Tableau 3. Métadonnées d'actifs, de capacité et de configuration par système de stockage
Système de stockage IBM Storage Insights Pro IBM Storage Insights
DS8000 Oui Oui
EMC VMAX Oui Non
EMC VNX Oui Non
FlashSystem 840 Oui Oui
FlashSystem 900 Oui Oui
FlashSystem 9100 Oui Oui
FlashSystem A9000 Oui Oui
FlashSystem A9000R Oui Oui
FlashSystem V840 Oui Oui
FlashSystem V9000 Oui Oui
IBM Spectrum Accelerate Oui Oui
SAN Volume Controller Oui Oui
Storwize V3500 Oui Oui
Storwize V3700 Oui Oui
Storwize V5000 Oui Oui
Storwize V7000 Oui Oui
Storwize V7000 Unified Oui Oui
XIV Oui Oui
Dans IBM Storage Insights Pro, des métadonnées relatives aux actifs, à la capacité
et à la configuration sont collectées pour les systèmes suivants de stockage de
fichiers, d'objets et définis par logiciel lorsqu'ils sont ajoutés à la surveillance :
v EMC VNX
v EMC VNXe
v IBM Cloud Object Storage
v IBM SONAS
v IBM Spectrum Scale
v Storwize V7000 Unified
Métadonnées des systèmes de stockage par blocs
Consultez la liste des métadonnées relatives aux actifs, à la configuration et à la
capacité des systèmes de stockage par blocs.
© Copyright IBM Corp. 2019 19Selon le type de système de stockage et les fonctionnalités qu'il prend en charge,
tout ou partie des métadonnées suivantes sont collectées et stockées :
Tableau 4. Métadonnées d'actifs, de capacité et de configuration des systèmes de stockage
Nom de la donnée Nom de la donnée
Espace de volume affecté (Gio) Ports
Espace disponible dans le pool (Gio) Capacité du disque brute (Gio)
Compressé Mémoire cache de lecture (Gio)
Gains de compression (%) Relations distantes
Balises personnalisées 1, 2 et 3 Numéro de série
Gains liés au dédoublonnage (%) Manque (%)
Collecte de données Fuseau horaire
Gains totaux liés à la réduction de données
(%)
Disques Capacité totale du volume (Gio)
Capacité réelle (%) Turbo Performance
Microprogramme Type
FlashCopy Espace de volume non alloué (Gio)
Adresse IP Espace de pool utilisé (Gio)
Emplacement Espace utilisé (Gio)
Disques gérés Miroirs VDisk
Modèle Fournisseur
Nom Allocation virtuelle (%)
Allocation physique (%) Volumes
Capacité du pool (Gio) Mémoire cache d'écriture (Gio)
Pools
Métadonnées des volumes de blocs
Consultez la liste des métadonnées relatives aux actifs, à la capacité et à la
configuration des volumes.
Selon le type de système de stockage et les fonctionnalités qu'il prend en charge,
tout ou partie des métadonnées suivantes sont collectées et stockées à propos des
volumes de stockage par blocs.
Tableau 5. Métadonnées d'actifs, de capacité et de configuration des volumes
Nom de la donnée Nom de la donnée
Espace alloué (Gio) Noeud
Extension automatique Pool
Capacité (Gio) Niveau RAID
Gains de compression (%) Manque (%)
Copies Capacité d'unités SSD (Gio)
ID copie Système de stockage
Relation de copie Outil de virtualisation de stockage
Easy Tier Allocation dynamique
Capacité d'unité de disque dur d'entreprise Distribution des niveaux (%)
(Gio)
Etat d'écriture rapide Espace non alloué (Gio)
Formaté ID unique
Granularité (kio) Espace inutilisé (Gio)
Hôtes Espace alloué utilisé (%)
Groupe d'E-S Espace utilisé (Gio)
ID Allocation virtuelle (%)
Dernière collecte des données Type de disque d'outil de virtualisation
Rôle de miroir Disque de l'outil de virtualisation
20 IBM Storage Insights - Guide de sécuritéTableau 5. Métadonnées d'actifs, de capacité et de configuration des volumes (suite)
Nom de la donnée Nom de la donnée
Nom Niveau d'avertissement (%)
Capacité d'unité de disque dur quasi en ligne Espace écrit (Gio)
(Gio)
Allocation physique (%)
Métadonnées des pools de blocs
Consultez la liste des métadonnées relatives aux actifs, à la capacité et à la
configuration des pools de stockage par blocs.
Selon le type de système de stockage et les fonctionnalités qu'il prend en charge,
tout ou partie des métadonnées suivantes sont collectées et stockées à propos des
pools de stockage :
Tableau 6. Métadonnées d'actifs, de capacité et de configuration des pools
Nom de la donnée Nom de la donnée
Activité Capacité d'unité de disque dur quasi en ligne
(Gio)
Espace alloué (Gio) Nom du propriétaire
Espace de volume affecté (Gio) Allocation physique (%)
Espace disponible dans le pool (Gio) Niveau RAID
Espace disponible du référentiel (Gio) Groupe de rangs
Espace logiciel disponible (Gio) Capacité du référentiel (Gio)
Type de disque de stockage de back-end Manque (%)
Disques de stockage de back-end Espace logiciel (Gio)
Niveau RAID du stockage de back-end Unité SSD
Type de système de stockage de back-end Espace disponible sur les unités SSD (Gio)
Capacité (Gio) Capacité d'unités SSD (Gio)
Gains de compression (%) Système de stockage
Balises personnalisées 1, 2 et 3 Niveau
Gains liés au dédoublonnage (%) Distribution des niveaux (%)
Easy Tier Capacité totale du volume (Gio)
Chiffrement Gains totaux liés à la réduction de données
(%)
Groupe de chiffrement Espace de volume non allouable (Gio)
Espace disponible sur les unités de disque Espace de volume non alloué (Gio)
dur d'entreprise (Gio)
Capacité d'unité de disque dur d'entreprise Espace de volume non alloué (Gio)
(Gio)
Taille d'extension (Mio) Espace inutilisé (Gio)
Format Espace utilisé (Gio)
Dernière collecte des données Allocation virtuelle (%)
LSS ou LCU Volumes
Disques gérés Capacité nulle
Nom
Espace disponible sur les unités de disque
dur quasi en ligne (Gio)
Métadonnées des groupes d'E-S, des noeuds et des ports
Consultez les listes de métadonnées relatives aux actifs, à la capacité et à la
configuration des groupes d'E-S, des noeuds et des ports.
Chapitre 7. Métadonnées d'actifs, de capacité et de configuration 21Selon le type de système de stockage et les fonctionnalités qu'il prend en charge,
tout ou partie des métadonnées suivantes sont collectées et stockées à propos des
groupes d'E-S, des noeuds et des ports :
Tableau 7. Métadonnées d'actifs, de capacité et de configuration des groupes d'E-S
Nom de la donnée Nom de la donnée
Compression Mémoire totale pour la copie distante (Mio)
Boîtier Mémoire FlashCopy utilisée (Mio)
Nom Mémoire utilisée pour la mise en miroir (Mio)
Noeuds Mémoire utilisée pour la copie distante (Mio)
Mémoire FlashCopy totale (Mio) Volumes
Mémoire totale pour la mise
en miroir (Mio)
Tableau 8. Métadonnées d'actifs, de capacité et de configuration des noeuds
Nom de la donnée Nom de la donnée
Compression Modèle
Noeud de configuration Nom
Boîtiers Nom du panneau
Ports FC Numéro de série
Groupe d'E-S Noeuds de secours
Adresse IP WWN
Tableau 9. Métadonnées d'actifs, de capacité et de configuration des ports
Nom de la donnée Nom de la donnée
Nom WWPN
Vitesse (gigabits par seconde)
Métadonnées des disques et disques gérés
Consultez les listes de métadonnées relatives aux actifs, à la capacité et à la
configuration des disques et des disques gérés.
Selon le type de système de stockage et les fonctionnalités qu'il prend en charge,
tout ou partie des métadonnées suivantes sont collectées et stockées à propos des
disques et des disques gérés :
Tableau 10. Métadonnées d'actifs, de capacité et de configuration des disques
Nom de la donnée Nom de la donnée
Capacité (Go) Numéro de série
Capacité (Gio) Emplacement
Classe Unité de secours
Microprogramme Vitesse (RPM)
Matériel Statut
Modèle Fournisseur
Nom
Tableau 11. Métadonnées d'actifs, de capacité et de configuration des disques gérés
(MDisks)
Nom de la donnée Nom de la donnée
Quorum actif Mode
Espace disponible (Gio) Nom
Système de stockage de back-end Pool
Capacité (Gio) Niveau RAID
Classe Système de stockage
Easy Tier Volumes
22 IBM Storage Insights - Guide de sécuritéVous pouvez aussi lire
