OverDrive - Architecture

Description

OverDrive est un système d'hébergement de fichiers basé sur la solution Nextcloud.

Le serveur Nextcloud est configuré et accessible via une interface web sécurisée, permettant aux utilisateurs autorisés de contrôler le stockage, de définir des politiques d'accès aux fichiers ou de mettre en place un traitement automatisé des fichiers, de gérer les utilisateurs, d'activer ou de désactiver des fonctionnalités, etc.

Nextcloud est une application web PHP fonctionnant sur un serveur web Linux. Elle stocke les informations sur le partage de fichiers, les détails sur les utilisateurs, les données et la configuration de l'application ainsi que les informations sur les fichiers dans une base de données PostgreSQL.

OverDrive utilise le service de stockage d'objets (S3) comme stockage principal.

Architecture

Disponibilité

Le produit est actuellement disponible dans toutes nos régions ainsi que dans toutes les zones de disponibilité.

Résilience

OverDrive s'appuie sur le produit d'instance virtuelle Linux de cegedim.cloud.

Versions supportées

cegedim.cloud prend en charge la version 27 de Nextcloud dans ce produit OverDrive.

La mise à jour peut être exécutée par cegedim.cloud : soit sur demande, soit lors d'une mise à jour groupée.

Caractéristiques

Cette section énumère les fonctions / capacités disponibles pour le client et la manière de les demander / de les exécuter :

Libre service

Le client peut effectuer une action de manière autonome

Sur demande

Le client peut demander que l'action soit effectuée par l'équipe de support de cegedim.cloud.

ActionLibre serviceSur demandeCommentaires

Modifier la configuration d'OverDrive

Via les paramètres d'administration

Patchs de sécurité / Mise à jour des versions

La mise à jour est effectuée par cegedim.cloud : soit sur demande, soit lors d'une mise à jour groupée.

Ajouter un produit SSO existant

La mise à jour est effectuée par cegedim.cloud : soit sur demande, soit lors d'une mise à jour groupée.

Ajouter des utilisateurs / Redimensionner le stockage des utilisateurs

Accessible via le compte administrateur, dans les paramètres "Utilisateurs".

Ajouter une nouvelle application

Accessible via le compte administrateur, dans les paramètres "Applications".

(à venir) Élargir la taille d'OverDrive

(à venir) Possible grâce au bouton de redimensionnement sur ITCare.

Dimensionnement

Diagramme XS

Ressource

XS

Dimensionnement supporté de 1 à 49 utilisateurs :

  • 1 Nextcloud Frontend (instance virtuelle Linux - 2/4)

  • Bucket S3 dédié

  • Monitoring 24/7 (En option)

  • Réplication des données activée (reprise après sinistre de l'instance virtuelle)

Configuration et propriétés

Configuration du produit

Gestion locale des journaux

Les journaux sont accessibles avec le compte administrateur (admin_client) via l'interface web, dans la section "Paramètres" > "Journalisation".

Gestion des journaux à distance

Les journaux sont envoyés à cegedim.cloud SIEM pour détecter les problèmes de sécurité et les actions sensibles.

Sécurité

Authentification

Accès au web

Un compte admin_client est provisionné par défaut.

Le client peut accéder à son compte en se connectant à l'URL du drive (se terminant par *.mydrive.cegedim.cloud), en choisissant "Authentification directe", et en utilisant le compte admin_client avec le mot de passe choisi lors du provisionnement.

L'authentification des comptes locaux (par exemple : admin_client) est protégée par TOTP.

Le TOTP peut être configuré lors de la première connexion, après le provisionnement de l'OverDrive par ITCare. Il garantit que seul le client peut se connecter au compte admin_client.

cegedim.cloud a toujours la possibilité d'activer le compte admin pour des raisons de sécurité (" bris-de-glace "). Ce mot de passe ne permet pas d'accéder aux données hébergées sur les serveurs web.

Lorsque cela est nécessaire, ces accès sont protégés par plusieurs mesures de sécurité :

  • Utilisation du TOTP

  • Accès par le bastion, tel que présenté sur les diagrammes

  • Traçabilité complète

Accès au système

L'accès au système est réservé aux administrateurs de cegedim.cloud. Ces accès sont nécessaires pour fournir des services obligatoires à l'application, par exemple:

  • Opérations de monitoring (ex : redémarrage d'un service).

  • Mise à jour de la version

  • Mise à jour de la sécurité

Les serveurs fournissant les services OverDrive sont accessibles par SSH et nécessitent d'être authentifiés par le Bastion de cegedim.cloud. Ces accès sont limités aux administrateurs de cegedim.cloud et entièrement journalisés afin de s'assurer que seules des opérations légitimes sont réalisées.

Autorisations

Rôles

RôlesPermissions

Utilisateurs

Utiliser le produit

Administrateurs

Utiliser le produit et gérer les utilisateurs

Super Admin

Toutes

Réseau

SSL est utilisé lors de la connexion à l'application Nextcloud.

Un profil sécurisé est déployé pour éviter l'utilisation d'un chiffrement obsolète.

Localisation des données

L'infrastructure est située en France et les données sont stockées dans les centres de données de cegedim.cloud.

Les fichiers sont stockés sur la solution de stockage d'objets de cegedim.cloud (compatible S3).

Gestion des mots de passe

Le mot de passe de l'utilisateur final n'est pas stocké dans notre solution de gestion des mots de passe et n'est connu que du client. Ce mot de passe est créé lorsque l'utilisateur final commande son OverDrive sur ITCare.

Le compte admin de cegedim.cloud est désactivé pendant le processus de création de l'OverDrive.

Cette section énumère la gestion des mots de passe :

Mot de passeStocké par Cegedim.cloudStocké par CustomerObligatoireAlgorithme de hachage

Compte admin_client

sha256

N'importe quel autre compte

sha256

Monitoring

Chaque instance OverDrive déployée par l'intermédiaire d'ITCare est monitorée. Un contrôle automatique vérifie la disponibilité du service Nextcloud.

Lorsque le site web du lecteur est indisponible, l'alerte est prise en compte par nos équipes de monitoring qui mettent en place des mesures correctives.

L'option 24/7, disponible dans ITCare, permet d'étendre le monitoring aux heures non ouvrables.

Antivirus

Les serveurs sont protégés par l'antivirus cegedim.cloud (SentinelOne).

Sauvegarde

Les machines virtuelles OverDrive sont toujours sauvegardées par défaut.

Last updated