Guides et articles

Principaux éléments de sécurité des produits KVM IP

Systèmes à haut risque

La sécurité est une des plus grandes préoccupations dans les secteurs à haut risque, où les travailleurs surveillent et analysent des données en temps réel, et prennent des décisions cruciales. Ici et dans de nombreux autres secteurs, des extendeurs KVM IP sont installés pour sécuriser le matériel informatique dans les salles de serveurs et permettre aux utilisateurs de les contrôler à distance, afin d’éviter toute altération du matériel ou interruption de service. Cependant, avec la menace croissante de cyberattaques, il devient impératif d’installer des extendeurs KVM IP offrant une sécurité accrue, conformément aux exigences de votre entreprise en matière de sécurité informatique.

Principes de sécurité de l’information (Triade CID)

Information Security Principles Triad Diagram

Les principes de sécurité de l'information poussent les entreprises à élaborer des politiques, des procédures et des processus visant à préserver la confidentialité, l’intégrité et la disponibilité des informations commerciales.

  • Confidentialité  - Protéger la confidentialité des informations — s’assurer que seuls les utilisateurs disposant des autorisations requises peuvent accéder ou utiliser les informations.

  • Intégrité - Empêcher un tiers de modifier ou de détruire les informations.

  • Disponibilité  - Garantir que l’information est accessible à l’utilisateur au besoin et que l’ensemble du réseau continue de fonctionner même en cas de défaillance d’un élément.

Fonctions de sécurité importantes

La sécurité IP existe depuis plusieurs dizaines d’années. Les données et le téléphone sur IP ont connu au fil du temps de constantes améliorations en matière de sécurité, au bénéfice des installations KVM IP. Les solutions d’extendeurs et de commutateurs KVM IP transmettent les signaux audio, vidéo et de contrôle d’un système informatique vers un poste utilisateur distant grâce à une infrastructure de réseau standard. Il convient donc de choisir une solution dotée d’une sécurité accrue pour aider à protéger la confidentialité, l’intégrité et la disponibilité des systèmes qui font partie du réseau KVM.

Technologies de cryptage

Le cryptage est un processus par lequel l’extendeur KVM IP code les signaux A/V et USB pour empêcher tout accès non autorisé et protéger la confidentialité des signaux lors de leur transmission. La protection conférée par un cryptage en paquets des signaux vidéo, audio et USB est considérée comme supérieure à celle d’une transmission vidéo traditionnelle quand quelqu’un essaie de les pirater ou de les espionner. Les extendeurs KVM IP pouvant crypter transmettent en toute sécurité les signaux audio, vidéo et USB sur un réseau IP. Ils maintiennent également l’intégrité des données transmises en empêchant un tiers d’en modifier le contenu.

La norme de cryptage AES (Advanced Encryption Standard) est une des normes de cryptage de données les plus sûres. Elle a été créée en 2001 par l’Institut national des normes et de la technologie (NIST, National Institute of Standards and Technology), qui est une branche du gouvernement américain. Certains extendeurs KVM IP utilisent la norme AES pour le cryptage des données et des mots de passe.

Les normes AES 128 bits et AES 256 bits utilisent un algorithme de cryptage symétrique dans lequel une seule clé est utilisée pour crypter et décrypter les données. Dans une installation KVM, il est important de protéger non seulement les signaux audio et vidéo, mais aussi les signaux USB en cryptant les signaux émis lors de la saisie de mots de passe afin de sauvegarder les informations confidentielles.

Canaux de communication et de contrôle

Les extendeurs KVM IP communiquent entre eux et échangent des commandes, par exemple, lorsque le récepteur doit commuter et se connecter à un autre émetteur (système source). Ces commandes entre dispositifs KVM doivent être transmises sur un canal de communication sécurisé, utilisant par exemple le protocole de transfert hypertexte sécurisé (HTTPS), pour empêcher tout piratage du réseau KVM, que ce soit en détournant les signaux ou en interrompant le fonctionnement.

HTTPS utilise le protocole TLS (Transport Layer Security) qui est un protocole standard utilisé pour la communication sécurisée sur un réseau. Il s’agit d’une version améliorée du protocole SSL (Secure Socket Layer). TLS utilise un cryptage asymétrique (public et privé) pour protéger les informations transmises et des certificats numériques pour valider l’identité des dispositifs émetteurs et récepteurs. Un canal de communication et de contrôle sécurisé au sein du réseau KVM est essentiel pour maintenir la confidentialité et l’intégrité des signaux A/V, USB et de contrôle. La protection de cette couche de commande et de contrôle peut être renforcée par des autorisations et des mots de passe.

HTTPS runs over a Transport Layer Security (TLS) connection
Permissions and passwords for IP KVM Security

Autorisations et mots de passe

Différents niveaux de sécurité peuvent être définis en configurant des autorisations et des mots de passe pour les utilisateurs. Les autorisations utilisateur permettent de définir les systèmes sources auxquels un utilisateur peut se connecter, et à partir de quelle station distante il peut accéder aux systèmes..

Des utilisateurs locaux ou des utilisateurs d’un domaine peuvent être créés à partir d’Active Directory Microsoft ou d’autres serveurs de domaine. Chaque utilisateur devra ensuite se connecter au récepteur pour consulter la liste des émetteurs ou des systèmes sources auxquels il peut se connecter. Les professionnels de l’informatique recommandent également d’utiliser des mots de passe sécuritaires et de les changer régulièrement. L’ouverture de session à plusieurs niveaux ajoute une autre couche de sécurité : l’utilisateur doit se connecter au récepteur KVM et au système source

Contrôle d’accès par port

Un autre type d’authentification est possible grâce à la norme IEEE 802.1x, un contrôle d’accès au réseau par port pour les appareils câblés et sans fil. La norme IEEE 802.1x empêche les appareils malveillants de communiquer sur un réseau protégé et d’en perturber le fonctionnement. Le commutateur de réseau bloque le trafic à destination et en provenance de tout nouvel appareil qui souhaite accéder au réseau jusqu’à ce qu’il soit authentifié par un serveur central, généralement un serveur RADIUS (Remote Authentication Dial In User Service). Il vérifie l’identité du nouveau dispositif en lui accordant, ou pas, l’autorisation de rejoindre le réseau.

Port-based authentication for IP KVM Security
USB device authorization preventing viruses

Autorisation donnée aux dispositifs USB

Les virus peuvent pénétrer dans un système par le biais de périphériques de stockage USB ou de clés USB infectées. Le fait de bloquer le fonctionnement d’appareils USB 2.0 avec un récepteur KVM IP permet de prévenir de telles intrusions. Pour ce faire, les extendeurs KVM IP peuvent se connecter uniquement à des périphériques USB HID tels que les claviers ou les souris, et toute connexion à un dispositif USB 2.0 est bloquée. Si vous devez utiliser un périphérique USB 2.0, certains extendeurs KVM IP donnent le choix aux administrateurs d’autoriser la connexion à un dispositif USB 2.0 tout en protégeant le système contre les attaques.

Segmentation du réseau

Un réseau est composé de différents types de dispositifs, notamment des ordinateurs, des serveurs, des émetteurs et des récepteurs KVM IP. Chaque appareil a une fonction différente et transmet ou traite différentes informations. L’infrastructure du réseau relie tous ces dispositifs ou nœuds entre eux. Si un nœud est infecté, l’attaque peut facilement s’étendre à l’ensemble du réseau.

La segmentation divise le réseau par fonction — chaque fonction ayant des exigences de sécurité différentes. La segmentation par fonction empêche un pirate de se déplacer librement dans le réseau et de propager l’attaque. Les réseaux peuvent être segmentés par fonction ou par type de trafic grâce à la création de réseaux locaux virtuels (VLAN) et de pare-feu. Par exemple, les signaux KVM peuvent se trouver sur un VLAN distinct de celui des données. Un contrôle de sécurité plus strict est obtenu en séparant physiquement les réseaux et en ayant une infrastructure complètement séparée pour chaque fonction. Cela signifie qu’il faut disposer d’un ensemble distinct de serveurs, de commutateurs et de routeurs pour le réseau KVM.

Network segmentation for server security concept

Dans les secteurs à haut risque, tels que les secteurs militaires, financiers, énergétiques et les services publics, l’utilisation des réseaux hertziens est une pratique courante pour que le réseau KVM ne soit pas connecté à l’Internet public ou à des réseaux locaux non sécurisés. L’utilisation de câbles en fibre optique pour votre réseau le sécurise également davantage. Les câbles en fibre optique sont plus sécuritaires que les câbles CAT5 et couvrent de plus longues distances, ce qui minimise les jonctions et les points d’attaque potentiels.

Virtual Private Network (VPN)

VPN Security concept

A Virtual Private Network (VPN) is a network technology that creates a protected network connection when using public networks, such as the Internet. VPNs route internet traffic through a VPN tunnel, an encrypted connection between your device and an outside network location. Encryption makes it more difficult for third parties to track or intercept your online activities, even on public networks. A secure encrypted VPN connection is crucial for individuals who remotely access company systems or servers to minimize the risk of data leakage or unauthorized access to data.

Multi-Factor Authentication (MFA)

An additional level of security can be provided through Multifactor Authentication (MFA). MFA is an authentication method that requires users to provide two or more verification factors to identify a user and gain access to access a resource via VPN. Through its strong identity security, MFA prevents potential attackers from accessing online resources even if the username and password are obtained by other means. As a second layer of authentication, digital certificates are used to identify devices and provide enhanced privacy protection.

Alignement sur les politiques de sécurité informatique

Si la principale clé de sécurisation d’un réseau est l’expertise et les efforts mis lors de la création du réseau, les extendeurs KVM IP dotés d’un système de sécurité accru permettent de répondre aux exigences de votre entreprise en matière de sécurité informatique. Une solution d’extension et de commutation KVM IP est tout aussi sécuritaire, voire plus, que les solutions traditionnelles de commutation KVM matricielle. Si les opérations bancaires peuvent être effectuées sur IP, pourquoi la transmission des données de votre ordinateur de bureau ne pourrait pas l’être ?

Extendeurs KVM IP Matrox sécurisés

Matrox® propose des solutions KVM IP sécurisées et performantes qui s’intègrent parfaitement à votre infrastructure informatique existante. Le Matrox® Extio 3 est le premier extendeur KVM IP au monde capable de transmettre un signal vidéo 4Kp60 4:4:4 ou quatre signaux 1080p60 4:4:4, les signaux USB 2.0 du clavier et de la souris et le signal audio à des débits binaires exceptionnellement faibles sur un réseau Gigabit Ethernet standard. Idéal pour de nombreuses solutions d’extension et de commutation sécurisées, l’extendeur KVM IP Matrox Extio 3 offre de nombreux avantages en termes de facilité d’intégration, de partage d’informations, de prise de décision et de collaboration intuitive.

 

Fonctions importantes Extio 3 Extendeurs KVM IP
Cryptage A/V
Cryptage USB
Communication sécurisée
Environnement protégé par mot de passe
Authentification des utilisateurs
Prise en charge d’Active Directory
Autorisation des dispositifs USB HID uniquement
Autorisation possible des dispositifs USB 2.0
Multi-factor authentication
IPsec VPN client
Contrôle d’accès par port
Digital certificates