Conformité avec le niveau de classification IRAP « Protected » de la couche infra à la couche d'application SAP sur Azure

Publié le 22 août, 2019

Senior Cloud Solution Architect

Cette publication a été co-écrite par Rohit Kumar Cherukuri, Pankaj Badaya et Vineet Bulbule de Cloud4C

Les organisations gouvernementales australiennes sont à la recherche de fournisseurs de services cloud managés capables d'assurer le déploiement d'un environnement PaaS (Platform-as-a-Service) adapté au traitement, au stockage et à la transmission des données AU-PROTECTED du secteur public, et conforme aux objectifs du manuel ISM (Information Security Manual) du gouvernement australien établi par l'Australian Signals Directorate (ASD).

L'un des plus grands organismes fédéraux australiens en charge de l'amélioration et de la gestion des finances publiques souhaitait mettre en œuvre l'Information Security Registered Assessors Program (IRAP), un programme essentiel à la protection des informations sensibles et aux contrôles de sécurité relatifs à la transmission, au stockage et à la récupération.

Le programme IRAP a été élaboré par l'Australian Signals Directorate dans le but de fournir au gouvernement des services d'évaluation de qualité supérieure en matière de sécurité des technologies de l'information et de la communication (TIC).

L'Australian Signals Directorate encourage les professionnels des TIC dûment qualifiés à fournir des services de sécurité pertinents afin de sécuriser les informations et systèmes associés du gouvernement australien et de l'ensemble du secteur.

Cloud4C a relevé ce défi pour permettre à ce client fédéral d'utiliser des plateformes de livraison cloud. Cloud4C a analysé et évalué les exigences de conformité strictes du programme IRAP.

Après avoir établi les bases internes, Cloud4C a divisé l'ensemble de l'évaluation en trois catégories distinctes : les services physiques, les services d'infrastructure et les services managés. Le programme IRAP impose des contrôles de sécurité très stricts dans ces trois domaines.

Cloud4C a vite compris que pour relever le défi que représentait cette évaluation, les responsabilités allaient devoir être partagées en concluant des partenariats. En avril 2018, l'Australian Cyber ​​Security Center (ACSC) a annoncé la certification d'Azure et Office 365 au niveau de classification PROTECTED. Microsoft est devenu le premier et le seul fournisseur de cloud public à atteindre ce niveau de certification. Cloud4C s'est associé à Microsoft pour déployer les applications SAP et la base de données SAP HANA sur Azure, et a su tirer parti de tous les avantages d'une infrastructure conforme au programme IRAP pour garantir une intégration transparente des outils et technologies sur Azure, qu'ils soient natifs ou issus du marché.

Cloud4C a identifié le centre de données Azure adéquat dans les régions Australie Centre et Australie Centre 2, après une évaluation IRAP très rigoureuse de la sécurité physique et du placement des équipements d'information et de communication.

Cette conformité d'Azure en matière d'infrastructure et de récupération d'urgence a permis à Cloud4C de prendre une longueur d'avance en tant que fournisseur de services managés et de se concentrer sur la majorité des contrôles restants qui concernaient uniquement le fournisseur de services cloud.

L'évaluation IRAP de Cloud4C portait sur 412 risques élevés et 19 des aspects de sécurité les plus critiques répartis en 22 grandes catégories, après élimination des contrôles traités par la récupération d'urgence Azure.

Vue d'ensemble de la solution

La mission consistait à configurer et à gérer le paysage SAP sur Azure avec des services managés jusqu'à la couche SAP de base tout en respectant les normes liées au niveau de classification IRAP « Protected » pour le traitement, le stockage et la récupération des informations classifiées. Sachant que la mission reposait sur le modèle PaaS, la matrice de responsabilités s'étendait jusqu'à la couche SAP de base. Les services d'application managés n'entraient pas dans le cadre de la mission.

PaaS (Platform-as-a-service) avec contrat de niveau de service unique et niveau de classification IRAP « Protected »

La solution proposée comprenait diverses solutions SAP, notamment SAP ERP, SAP BW, SAP CRM, SAP GRC, SAP IDM, SAP Portal, SAP Solution Manager, Web Dispatcher et Cloud Connector, avec une combinaison de bases de données comprenant SAP HANA, SAP MaxDB et d'anciennes bases de données Sybase. Le centre de données Australie Centre, site de récupération d'urgence principal, et le centre de données Australie Centre 2, site de récupération d'urgence secondaire, ont été identifiés comme les sites physiques de récupération d'urgence pour la mise en place d'un environnement conforme au niveau de classification IRAP « Protected ». L'architecture proposée englobait des références SKU de machines virtuelles certifiées pour les charges de travail SAP, une configuration optimisée du stockage et des disques, des références SKU de réseau appropriées dotées d'une protection adéquate, un mécanisme permettant d'atteindre une haute disponibilité, des fonctionnalités de récupération d'urgence, de sauvegarde et de surveillance, une combinaison adéquate d'outils de sécurité natifs et externes, et surtout, des processus et des directives concernant la livraison des services.

Les services Azure suivants ont été pris en compte dans l'architecture proposée :

  • Groupes à haute disponibilité Azure
  • Azure Active Directory
  • Azure Privileged Identity Management
  • Azure Multi-Factor Authentication
  • Passerelle Azure ExpressRoute
  • Passerelle d'application Azure avec pare-feu d'applications web
  • Azure Load Balancer
  • Azure Monitor
  • Azure Resource Manager
  • Azure Security Center
  • Stockage et chiffrement de disque Azure
  • Protection DDoS Azure
  • Machines virtuelles Azure (Machines virtuelles certifiées pour les applications SAP et la base de données SAP HANA)
  • Réseau virtuel Azure
  • Azure Network Watcher
  • Groupes de sécurité réseau

Processus d'évaluation et de mise en conformité avec le programme IRAP

Cloud4C a étudié les procédures d'accréditation avec le soutien de l'expert IRAP, qui a l'aidé à appréhender et implémenter la sécurité du gouvernement australien, et à analyser la faisabilité technique du portage des applications SAP et de la base de données SAP HANA vers la configuration IRAP « Protected » sur le cloud protégé Azure.

L'expert IRAP a évalué l'implémentation, la pertinence et l'efficacité des contrôles de sécurité du système. Cet objectif a été atteint en deux étapes d'évaluation de la sécurité, comme l'exige le manuel ISM (Information Security Manual) du gouvernement australien :

  • Étape 1 : l'évaluation de la sécurité identifie les lacunes que le propriétaire du système corrige ou atténue
  • Étape 2 : l'évaluation de la sécurité évalue la conformité résiduelle

L'évaluation de Cloud4C a été un succès. Tous les points de contrôle du manuel ISM ont été validés, garantissant un environnement zéro risque et une protection optimale des systèmes d'information critiques avec le soutien de Microsoft.

L'équipe Microsoft a fourni des conseils sur les meilleures pratiques à adopter pour tirer parti des outils natifs d'Azure et se mettre en conformité. L'équipe ingénierie et architecture de solutions Microsoft a participé aux discussions de conception et apporté une base de connaissances existante sur les outils de sécurité natifs d'Azure, les scénarios d'intégration pour les outils de sécurité tiers et les optimisations possibles de l'architecture.

Au cours de l'évaluation, Cloud4C et l'expert IRAP ont réalisé ce qui suit :

  • Conception de l'architecture système intégrant l'ensemble des composantes et parties prenantes impliquées dans la communication globale
  • Mise en conformité de la sécurité avec la stratégie de sécurité du gouvernement australien
  • Identification des installations physiques (les centres de données Azure Australie Centre et Australie Centre 2) certifiées par le programme IRAP
  • Mise en œuvre des contrôles de sécurité du manuel ISM
  • Élaboration des stratégies d'atténuation à appliquer en cas de non-conformité
  • Identification des risques pour le système et élaboration de la stratégie d'atténuation

Espace réservé

Étapes à suivre pour assurer l'automatisation et l'amélioration des processus

  • Déploiement rapide à l'aide de modèles Azure Resource Manager (ARM) associés à des outils. Cela a permis le déploiement de vastes paysages comprenant plus de 100 machines virtuelles et 10 solutions SAP en moins d'un mois.
  • Automatisation des processus à l'aide d'outils RPA (Robotic Process Automation). Cela a permis d'identifier l'étape business-as-usual au sein de l'écosystème SAP déployé pour l'environnement IRAP et d'améliorer le processus afin de perturber le moins possible les processus métier réels, en plus de l'automatisation qui prend en charge le niveau d'infrastructure garantissant la disponibilité des applications.

Apprentissages et solutions correspondantes mises en œuvre au cours du processus

  • Les régions Azure Centre et Azure Centre 2 ont été connectées l'une à l'autre via des liaisons en fibres optiques pour offrir une latence inférieure à 1 ms, avec réplication des applications SAP et de la base de données SAP HANA en mode synchrone, et l'objectif zéro point de récupération (RPO) a été atteint.
  • Les services Azure Active Directory Domain Services n'étaient pas disponibles dans la région Australie Centre. Par conséquent, la région Azure Sud-Est a été mise à profit pour assurer une livraison transparente.
  • Azure Site Recovery a été utilisé avec succès pour la réplication d'une base de données SAP Max DB.
  • Le trafic Azure ExpressRoute n'était pas chiffré par défaut. Une appliance réseau virtuelle fournie par un partenaire de sécurité de Microsoft a donc été utilisée pour le chiffrer.

Le respect du programme IRAP exige que les qualifications définies par l'Australian Signals Directorate soient remplies, en suivant les phases d'évaluation. Cloud4C offrait les avantages suivants :

  • Réduction des délais de mise sur le marché - Cloud4C a achevé le processus d'évaluation en 9 mois, contre 1 à 2 ans pour le secteur.
  • L'expérience et les connaissances de Cloud4C en matière de livraison aux clients de solutions adaptées à de multiples régions et à des secteurs d'activité spécifiques ont permis de mapper les bons contrôles avec des outils de sécurité Azure natifs et externes.

Le partenariat avec Microsoft a permis à Cloud4C de franchir une nouvelle étape et de tirer parti de toutes les fonctionnalités de sécurité proposées par Azure Hyperscaler afin de respecter les exigences réglementaires et géographiques les plus strictes.

Cloud4C a gagné en maturité en termes d'utilisation des nombreuses solutions de sécurité facilement disponibles auprès d'Azure Native, ainsi que de la Place de marché Azure, afin de réduire les délais de mise sur le marché. Cloud4C a su tirer le meilleur parti du portefeuille Azure pour sécuriser l'infrastructure de ses clients et encourager une culture de la sécurité en leur apportant son soutien en tant que fournisseur de services managés Azure Expert. Le portefeuille de solutions de sécurité Azure s'est développé, de même que l'utilisation de ces solutions par Cloud4C.

Cloud4C et Microsoft ont l'intention de hisser leur partenariat vers de nouveaux sommets pour offrir une expérience cloud inégalée aux clients du marché dans divers secteurs géographiques et divers secteurs d'activité.

En savoir plus