OverDrive - Architecture
Description
OverDrive est un système d'hébergement de fichiers basé sur la solution Nextcloud.
Le serveur Nextcloud est configuré et accessible via une interface web sécurisée, permettant aux utilisateurs autorisés de contrôler le stockage, de définir des politiques d'accès aux fichiers ou de mettre en place un traitement automatisé des fichiers, de gérer les utilisateurs, d'activer ou de désactiver des fonctionnalités, etc.
Nextcloud est une application web PHP fonctionnant sur un serveur web Linux. Elle stocke les informations sur le partage de fichiers, les détails sur les utilisateurs, les données et la configuration de l'application ainsi que les informations sur les fichiers dans une base de données PostgreSQL.
OverDrive utilise le service de stockage d'objets (S3) comme stockage principal.
Architecture
Disponibilité
Le produit est actuellement disponible dans toutes nos régions ainsi que dans toutes les zones de disponibilité.
Résilience
OverDrive s'appuie sur le produit d'instance virtuelle Linux de cegedim.cloud.
Versions supportées
cegedim.cloud prend en charge la version 27 de Nextcloud dans ce produit OverDrive.
La mise à jour peut être exécutée par cegedim.cloud : soit sur demande, soit lors d'une mise à jour groupée.
Caractéristiques
Cette section énumère les fonctions / capacités disponibles pour le client et la manière de les demander / de les exécuter :
Libre service | Le client peut effectuer une action de manière autonome |
Sur demande | Le client peut demander que l'action soit effectuée par l'équipe de support de cegedim.cloud. |
| Action | Libre service | Sur demande | Commentaires |
|---|---|---|---|
Modifier la configuration d'OverDrive | ✅ | Via les paramètres d'administration | |
Patchs de sécurité / Mise à jour des versions | ✅ | La mise à jour est effectuée par cegedim.cloud : soit sur demande, soit lors d'une mise à jour groupée. | |
Ajouter un produit SSO existant | ✅ | La mise à jour est effectuée par cegedim.cloud : soit sur demande, soit lors d'une mise à jour groupée. | |
Ajouter des utilisateurs / Redimensionner le stockage des utilisateurs | ✅ | Accessible via le compte administrateur, dans les paramètres "Utilisateurs". | |
Ajouter une nouvelle application | ✅ | Accessible via le compte administrateur, dans les paramètres "Applications". | |
(à venir) Élargir la taille d'OverDrive | ✅ | (à venir) Possible grâce au bouton de redimensionnement sur ITCare. |
Dimensionnement
Diagramme XS
Ressource
XS
Dimensionnement supporté de 1 à 49 utilisateurs :
1 Nextcloud Frontend (instance virtuelle Linux - 2/4)
Bucket S3 dédié
Monitoring 24/7 (En option)
Réplication des données activée (reprise après sinistre de l'instance virtuelle)
Configuration et propriétés
Configuration du produit
Gestion locale des journaux
Les journaux sont accessibles avec le compte administrateur (admin_client) via l'interface web, dans la section "Paramètres" > "Journalisation".
Gestion des journaux à distance
Les journaux sont envoyés à cegedim.cloud SIEM pour détecter les problèmes de sécurité et les actions sensibles.
Sécurité
Authentification
Accès au web
Un compte admin_client est provisionné par défaut.
Le client peut accéder à son compte en se connectant à l'URL du drive (se terminant par *.mydrive.cegedim.cloud), en choisissant "Authentification directe", et en utilisant le compte admin_client avec le mot de passe choisi lors du provisionnement.
L'authentification des comptes locaux (par exemple : admin_client) est protégée par TOTP.
Le TOTP peut être configuré lors de la première connexion, après le provisionnement de l'OverDrive par ITCare. Il garantit que seul le client peut se connecter au compte admin_client.
cegedim.cloud a toujours la possibilité d'activer le compte admin pour des raisons de sécurité (" bris-de-glace "). Ce mot de passe ne permet pas d'accéder aux données hébergées sur les serveurs web.
Lorsque cela est nécessaire, ces accès sont protégés par plusieurs mesures de sécurité :
Utilisation du TOTP
Accès par le bastion, tel que présenté sur les diagrammes
Traçabilité complète
Accès au système
L'accès au système est réservé aux administrateurs de cegedim.cloud. Ces accès sont nécessaires pour fournir des services obligatoires à l'application, par exemple:
Opérations de monitoring (ex : redémarrage d'un service).
Mise à jour de la version
Mise à jour de la sécurité
Les serveurs fournissant les services OverDrive sont accessibles par SSH et nécessitent d'être authentifiés par le Bastion de cegedim.cloud. Ces accès sont limités aux administrateurs de cegedim.cloud et entièrement journalisés afin de s'assurer que seules des opérations légitimes sont réalisées.
Autorisations
Rôles
| Rôles | Permissions |
|---|---|
Utilisateurs | Utiliser le produit |
Administrateurs | Utiliser le produit et gérer les utilisateurs |
Super Admin | Toutes |
Réseau
SSL est utilisé lors de la connexion à l'application Nextcloud.
Un profil sécurisé est déployé pour éviter l'utilisation d'un chiffrement obsolète.
Localisation des données
L'infrastructure est située en France et les données sont stockées dans les centres de données de cegedim.cloud.
Les fichiers sont stockés sur la solution de stockage d'objets de cegedim.cloud (compatible S3).
Gestion des mots de passe
Le mot de passe de l'utilisateur final n'est pas stocké dans notre solution de gestion des mots de passe et n'est connu que du client. Ce mot de passe est créé lorsque l'utilisateur final commande son OverDrive sur ITCare.
Le compte admin de cegedim.cloud est désactivé pendant le processus de création de l'OverDrive.
Cette section énumère la gestion des mots de passe :
| Mot de passe | Stocké par Cegedim.cloud | Stocké par Customer | Obligatoire | Algorithme de hachage |
|---|---|---|---|---|
Compte admin_client | sha256 | |||
N'importe quel autre compte | sha256 |
Monitoring
Chaque instance OverDrive déployée par l'intermédiaire d'ITCare est monitorée. Un contrôle automatique vérifie la disponibilité du service Nextcloud.
Lorsque le site web du lecteur est indisponible, l'alerte est prise en compte par nos équipes de monitoring qui mettent en place des mesures correctives.
L'option 24/7, disponible dans ITCare, permet d'étendre le monitoring aux heures non ouvrables.
Antivirus
Les serveurs sont protégés par l'antivirus cegedim.cloud (SentinelOne).
Sauvegarde
Les machines virtuelles OverDrive sont toujours sauvegardées par défaut.
Dernière mise à jour
