Rechercher

16.4. Considérations relatives à la reprise après sinistre

download PDF

Cette section décrit plusieurs situations de catastrophes potentielles et les procédures à suivre pour chacune d'entre elles. D'autres situations seront ajoutées au fur et à mesure qu'elles seront découvertes ou présumées possibles.

16.4.1. Perte d'une machine cliente

La perte d'un nœud de cluster qui utilise le serveur Tang pour déchiffrer sa partition de disque est not un désastre. Que la machine ait été volée, qu'elle ait subi une panne matérielle ou qu'elle ait connu un autre scénario de perte n'a pas d'importance : les disques sont cryptés et considérés comme irrécupérables.

Toutefois, en cas de vol, il serait prudent de procéder à une rotation préventive des clés du serveur Tang et de recomposer les clés de tous les nœuds restants afin de s'assurer que les disques restent irrécupérables, même dans le cas où les voleurs parviendraient à accéder aux serveurs Tang.

Pour sortir de cette situation, il faut réinstaller ou remplacer le nœud.

16.4.2. Planification en cas de perte de connectivité du réseau client

La perte de connectivité réseau d'un nœud individuel l'empêchera de démarrer sans surveillance.

Si vous prévoyez des travaux susceptibles d'entraîner une perte de connectivité réseau, vous pouvez révéler la phrase d'authentification pour qu'un technicien sur place l'utilise manuellement, puis faire pivoter les clés par la suite pour l'invalider :

Procédure

  1. Avant que le réseau ne devienne indisponible, affichez le mot de passe utilisé dans le premier slot -s 1 de l'appareil /dev/vda2 à l'aide de cette commande :

    $ sudo clevis luks pass -d /dev/vda2 -s 1
  2. Invalidez cette valeur et régénérez une nouvelle phrase d'authentification aléatoire au démarrage à l'aide de cette commande :

    $ sudo clevis luks regen -d /dev/vda2 -s 1

16.4.3. Perte inattendue de la connectivité du réseau

Si l'interruption du réseau est inattendue et qu'un nœud redémarre, envisagez les scénarios suivants :

  • Si des nœuds sont encore en ligne, veillez à ce qu'ils ne redémarrent pas tant que la connectivité réseau n'est pas rétablie. Cela ne s'applique pas aux clusters à un seul nœud.
  • Le nœud restera hors ligne jusqu'à ce que la connectivité réseau soit rétablie ou qu'une phrase de passe préétablie soit saisie manuellement dans la console. Dans des circonstances exceptionnelles, les administrateurs de réseau peuvent être en mesure de reconfigurer des segments de réseau pour rétablir l'accès, mais cela va à l'encontre de l'intention de l'EDNB, qui veut que l'absence d'accès au réseau signifie l'absence de capacité à démarrer.
  • On peut raisonnablement s'attendre à ce que l'absence d'accès au réseau au niveau du nœud ait une incidence sur la capacité de ce nœud à fonctionner ainsi que sur sa capacité à démarrer. Même si le nœud pouvait démarrer par une intervention manuelle, l'absence d'accès au réseau le rendrait inutilisable.

16.4.4. Rétablissement manuel de la connectivité réseau

Le technicien sur site dispose également d'un processus quelque peu complexe et manuel pour la récupération du réseau.

Procédure

  1. Le technicien sur place extrait l'en-tête Clevis des disques durs. En fonction du verrouillage du BIOS, cela peut impliquer de retirer les disques et de les installer dans une machine de laboratoire.
  2. Le technicien sur place transmet les en-têtes Clevis à un collègue disposant d'un accès légitime au réseau Tang, qui procède alors au décryptage.
  3. En raison de la nécessité d'un accès limité au réseau Tang, le technicien ne devrait pas pouvoir accéder à ce réseau par le biais d'un VPN ou d'une autre connectivité à distance. De même, le technicien ne peut pas connecter le serveur distant à ce réseau afin de décrypter automatiquement les disques.
  4. Le technicien réinstalle le disque et saisit manuellement la phrase de passe en texte clair fournie par son collègue.
  5. La machine démarre avec succès même sans accès direct aux serveurs Tang. Notez que la transmission du matériel de clé du site d'installation vers un autre site avec accès au réseau doit être effectuée avec précaution.
  6. Lorsque la connectivité du réseau est rétablie, le technicien fait tourner les clés de chiffrement.

16.4.5. Rétablissement d'urgence de la connectivité du réseau

Si vous ne parvenez pas à rétablir manuellement la connectivité réseau, envisagez les étapes suivantes. Sachez que ces étapes sont déconseillées si d'autres méthodes de rétablissement de la connectivité réseau sont disponibles.

  • Cette méthode ne doit être effectuée que par un technicien de confiance.
  • Le fait d'emmener les clés du serveur Tang sur le site distant est considéré comme une violation des clés et tous les serveurs doivent être recodés et recryptés.
  • Cette méthode ne doit être utilisée que dans des cas extrêmes, ou comme méthode de récupération pour démontrer sa viabilité.
  • Une solution tout aussi extrême, mais théoriquement possible, consiste à alimenter le serveur en question à l'aide d'un système d'alimentation sans coupure (UPS), à le transporter vers un lieu disposant d'une connectivité réseau pour démarrer et décrypter les disques, puis à le restaurer à son emplacement d'origine sur batterie pour qu'il puisse continuer à fonctionner.
  • Si vous souhaitez utiliser une phrase de passe manuelle de sauvegarde, vous devez la créer avant que la situation d'échec ne se produise.
  • Tout comme les scénarios d'attaque deviennent plus complexes avec TPM et Tang par rapport à une installation Tang autonome, les processus de reprise après sinistre sont également plus complexes si l'on utilise la même méthode.

16.4.6. Perte d'un segment de réseau

La perte d'un segment de réseau, rendant un serveur Tang temporairement indisponible, a les conséquences suivantes :

  • Les nœuds OpenShift Container Platform continuent de démarrer normalement, à condition que d'autres serveurs soient disponibles.
  • Les nouveaux nœuds ne peuvent pas établir leurs clés de chiffrement tant que le segment de réseau n'est pas restauré. Dans ce cas, assurez la connectivité avec les sites géographiques distants à des fins de haute disponibilité et de redondance. En effet, lorsque vous installez un nouveau nœud ou que vous remettez une clé dans un nœud existant, tous les serveurs Tang auxquels vous faites référence dans cette opération doivent être disponibles.

Un modèle hybride pour un réseau très diversifié, tel que cinq régions géographiques dans lesquelles chaque client est connecté aux trois clients les plus proches, mérite d'être étudié.

Dans ce scénario, les nouveaux clients peuvent établir leurs clés de chiffrement avec le sous-ensemble de serveurs qui sont joignables. Par exemple, dans l'ensemble de serveurs tang1, tang2 et tang3, si tang2 devient inaccessible, les clients peuvent encore établir leurs clés de chiffrement avec tang1 et tang3, et ultérieurement les rétablir avec l'ensemble complet. Cela peut nécessiter une intervention manuelle ou une automatisation plus complexe.

16.4.7. Perte d'un serveur Tang

La perte d'un serveur Tang individuel au sein d'un ensemble équilibré de serveurs disposant de clés identiques est totalement transparente pour les clients.

La défaillance temporaire de tous les serveurs Tang associés à la même URL, c'est-à-dire l'ensemble des serveurs à charge équilibrée, peut être considérée comme la perte d'un segment de réseau. Les clients existants ont la possibilité de décrypter leurs partitions de disque tant qu'un autre serveur Tang préconfiguré est disponible. Les nouveaux clients ne peuvent pas s'inscrire tant qu'au moins un de ces serveurs n'est pas remis en ligne.

Vous pouvez atténuer la perte physique d'un serveur Tang en réinstallant le serveur ou en le restaurant à partir de sauvegardes. Veillez à ce que les processus de sauvegarde et de restauration du matériel clé soient protégés de manière adéquate contre tout accès non autorisé.

16.4.8. Recomposition des clés compromises

Si les clés sont potentiellement exposées à des tiers non autorisés, par exemple en cas de vol physique d'un serveur Tang ou des données associées, procédez immédiatement à une rotation des clés.

Procédure

  1. Recomposer les clés de tout serveur Tang contenant le matériel concerné.
  2. Recomposer la clé de tous les clients utilisant le serveur Tang.
  3. Détruire le support original de la clé.
  4. Examinez minutieusement tout incident entraînant une exposition involontaire de la clé de chiffrement principale. Si possible, mettez les nœuds compromis hors ligne et recryptez leurs disques.
Astuce

Le reformatage et la réinstallation sur le même matériel physique, bien que lents, sont faciles à automatiser et à tester.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.