SOC 2 : la place de Linux Live Patching

Le SOC 2 est partout, et tout le monde l'a ; les clients le demandent ; les entreprises en ont besoin. Mais qu'est-ce que c'est ? Et quelle est la place du live patching du noyau Linux ?

Nous fournissons une description concise de ce qu'est le SOC 2, de ce en quoi il consiste et des raisons pour lesquelles les organisations exploitant des serveurs Linux pourraient y penser.

Une introduction à SOC 2 ®

SOC 2 est une certification des procédures, des systèmes et de la gestion des données élaborée par l AICPA. C'est un signe de bonne gouvernance des données, et un moyen d'obtenir une certification de qualité reconnue. Elle vérifie les contrôles du système et de l'organisation (d'où le terme "SOC") et constitue une déclaration publique d'une entreprise à l'intention de ses clients :

• vos données sont sécurisées (1) et privées (2),
• le traitement du système, il est disponible (3),
• et le système maintient l intégrité (4) et confidentialité (5) de vos données.

Il s'agit des cinq catégories qui organisent un plus grand nombre d'événements. Critères de service de confianceIl s'agit d'un ensemble de principes qui constituent l'épine dorsale d'un rapport d'audit SOC 2. Ces critères guident les auditeurs externes, en les aidant à mesurer l'efficacité des politiques et des systèmes utilisés par une organisation pour atteindre ses objectifs.

Le résultat d'un audit est un rapport qui permet à votre entreprise de se vanter d'être conforme à la norme SOC 2, garantissant aux clients que leurs données sont bien protégées et que les services dont ils ont besoin sont fiables, précis et disponibles. Les audits sont généralement valables un an. Les entreprises qui souhaitent sérieusement se conformer à la norme SOC 2 démontrent leur engagement à long terme en engageant des spécialistes et en mettant en œuvre des modifications de la conception du système, ce qui facilite les audits futurs.

SOC 2 est devenu une voie populaire vers la conformité parce qu'elle est pragmatique : elle est flexible et volontaire ; elle évite les considérations juridiques et les dépenses qui y sont associées ; vous pouvez choisir les parties de l'organisation auxquelles elle s'applique ; vous pouvez choisir les systèmes auxquels elle s'applique. C'est ce dernier aspect qui séduit les organisations proposant des services SaaS, de commerce électronique, d'hébergement Web et d'autres services similaires centrés sur les données et tournés vers le public, en leur offrant un moyen adaptable, évolutif et rentable de se mettre en conformité.

Critères de service de confiance (principes)

Les critères des services fiduciaires sont regroupés en cinq catégories.

• Sécurité: Les informations et les systèmes sont protégés contre tout accès non autorisé qui pourrait menacer la disponibilité, l'intégrité, la confidentialité et le caractère privé des données.
• Disponibilité: Les systèmes et les données sont accessibles et disponibles.
• Intégrité du traitement: Les données sont complètes, exactes et actuelles, et ne peuvent être modifiées que par des processus autorisés.
• Confidentialité: Les données sont protégées contre tout accès non autorisé, et les données confidentielles ont été identifiées.
• Vie privée: Les données personnelles sont acquises, stockées, utilisées et supprimées en accord avec les protocoles locaux. (Distinct de la confidentialité qui traite de toute information sensible, non spécifiquement personnelle).

Non seulement elles décrivent de manière générale les aspects d'un système à inspecter, mais elles aident également l'auditeur et le sujet de l'audit (appelé entité dans la documentation SOC 2) à décider de l'étendue de l'audit.

Chaque critère de service de confiance a un ou plusieurs points d'intérêt qui lui sont attribués. Ceux-ci constituent un aide-mémoire pour le processus d'audit, permettant d'attirer l'attention sur certains aspects des critères et de définir un langage commun pour les évaluer.

Types de rapports SOC 2

Un rapport de type I indique qu'une organisation répond aux critères sélectionnés ; un rapport de type II indique qu'une organisation a été testée et qu'il a été démontré qu'elle répond aux critères sélectionnés. La différence entre les deux est que le rapport de type I indique que vos contrôles et procédures sont en place, tandis que le rapport de type II signifie que ceux-ci ont également été testés et se sont avérés efficaces.

Les avantages d'être conforme à la norme SOC 2

SOC 2 est devenu une marque, une marque que les utilisateurs de services reconnaissent et demandent de plus en plus à leurs prestataires de services. Il s'agit d'un système de certification ouvert et respecté, qui compte de nombreux adeptes en Amérique du Nord. Les grandes entreprises de données l'ont adopté, ce qui en fait la norme de facto en matière de bonnes pratiques et encourage les plus petites à suivre le mouvement et à obtenir la certification.

Même sans la pression des clients ou des pairs, les organisations peuvent bénéficier d'un point de vue indépendant sur leurs opérations, et d'une opportunité de découvrir des oublis dans les politiques et les procédures, ou des défauts dans la conception des architectures de systèmes. Un rapport SOC 2 peut contribuer au processus d'amélioration continue de l'entreprise. processus d'amélioration continueIl sert de référence, de base mesurable à laquelle d'autres entreprises, ou les audits futurs de l'entreprise, peuvent être comparés.

Obtenez un essai GRATUIT de 7 jours avec assistance de KernelCare 

Le rôle des correctifs en direct du noyau Linux

Les serveurs Linux alimentent des parties importantes de l'Internet et sont à la base de nombreuses infrastructures de services en ligne et de centres de données. Dans les grandes entreprises, le nombre d'instances Linux uniques peut atteindre des dizaines de milliers (ou des millions, s'il s'agit d'un grand moteur de recherche). On peut supposer qu'elles n'emploient pas des armées d'administrateurs système pour effectuer des mises à jour manuelles du noyau - elles l'automatisent. Sans l'automatisation des correctifs du noyau Linux, la conformité serait impossible car des centaines de vulnérabilités du noyau Linux apparaissent chaque année.

Il n'est plus acceptable, dans le cadre de la norme SOC 2, de regrouper les correctifs du noyau dans une fenêtre de maintenance commode. De plus, les inspections SOC 2 étant répétées, il n'est pas possible d'effectuer manuellement des tâches supplémentaires d'administration des systèmes. Ainsi, dans presque tous les cas, les systèmes doivent être modifiés pour devenir conformes. La simplicité et l'automatisation doivent être les principes directeurs de ces changements - il n'y a aucun sens à rendre un système déjà complexe encore plus complexe.

La technologie des correctifs en direct fait partie de ce processus de changement, en remplaçant une fonction d'administration système petite mais essentielle, l'installation des correctifs de sécurité du noyau Linux, par une fonction qui l'automatise, éliminant ainsi les interruptions de service normalement associées à cet effort. Pour approfondir le rôle des correctifs en direct du noyau Linux, nous allons organisons un webinaire avec AWS sur ce sujet précis.

Comment le Live Patching s'intègre dans les critères des services de confiance SOC 2

Pour les organisations qui font l'effort d'obtenir une certification SOC 2, l'expérience peut être intimidante et terrifiante, mais aussi libératrice et instructive. Au terme de ce dur labeur, de la documentation des systèmes et des processus opérationnels, du catalogage des serveurs et des entretiens avec le personnel, on comprend mieux comment l'entreprise fonctionne et on a une idée plus claire des systèmes qui la pilotent.

Les tremplins sur la route de la conformité SOC 2 sont les éléments des critères des services de confiance, les points d'intérêt. Parmi eux, deux sont en opposition directe, du point de vue de l'administration des systèmes Linux.

• Les points focaux du CC5.2 visent à vérifier que des contrôles sont en place pour garantir la disponibilité des services.
• Les points d'attention de la CC7.4 sont axés sur la sécurité, vous obligeant à installer les correctifs de sécurité critiques du noyau dès qu'ils sont disponibles.

Toute personne familière avec l'administration de systèmes Linux verra le conflit. Maintenir la conformité d'un noyau Linux en installant les derniers correctifs de sécurité signifie le mettre hors ligne, et le rendre indisponible. Il existe d'autres moyens de maintenir les serveurs conformes sans sacrifier la disponibilité, mais ils nécessitent des serveurs redondants supplémentaires et une planification architecturale, ce qui représente un coût supplémentaire pour de nombreuses entreprises.

Le live patching est la seule solution technologique pour les serveurs Linux qui permette de résoudre cette quadrature du cercle. Elle installe automatiquement les correctifs du noyau Linux, en les maintenant au dernier niveau de sécurité. Elle le fait sans aucun temps d'arrêt - aucun redémarrage n'est nécessaire.

Conclusion

Bien qu'il soit difficile d'atteindre la conformité SOC 2, celle-ci n'apporte que des avantages. Un audit est un processus d'autoréflexion, qui oblige une organisation à examiner la manière dont sa technologie gère les données et à identifier les éventuels points faibles.

Pour être en conformité sur le long terme, pour être en mesure de satisfaire les auditeurs d'une année sur l'autre, une organisation doit chercher des moyens efficaces d'automatiser les tâches nécessitant beaucoup de ressources. L'une des tâches les plus faciles à réaliser avec une infrastructure informatique basée sur Linux est la mise à jour régulière des correctifs du noyau. C'est là qu'intervient KernelCare.