Post on 05-Apr-2020
Mobilité & Cloud Computing : mort de la DMZ ou « repérimétrisation » ?
Stanislas Quastana, CISSP | Architecte Infrastructure
http://blogs.technet.com/stanislas
1969 : naissance d’ARPARNET & 1ère RFC
1969 : naissance d’ARPARNET
4 hosts connectés
Décembre 1970
13 hosts connectés
Septembre 1971
23 hosts connectés Et le 1er e-mail par Ray Tomlinson
Août 1972
Octobre : première publique d’Arpanet
Juin 1974 Arrivée de TCP/IP
62 hosts connectés
111 hosts connectés
Réseau « Intranet » Réseau « Extranet »
Internet
Internet
Le modèle de sécurité réseau « traditionnel »
Réseau Intranet
Internet
DMZ
Réseau Intranet
Internet
DMZ
Conception traditionnelle d’un périmètre réseau
• Segmentation à l’aide de pare-feu ou routeurs filtrants pour contraindre le flux d’information aux frontières
• Règle n°1 des administrateurs réseau: « Moins j’ouvre de ports meilleure est ma sécurité »
• Règle n°2 des administrateurs réseau: « Refuser toute demande d’ouverture de port »
• D’où le développement et l’usage massif du protocole UFBP – Universal Firewall Bypass Protocol = HTTPS
Les entreprises et les SI ne fonctionnent pas isolément
Collaborateurs sédentaires
Partenaires Clients
Fournisseurs Collaborateurs mobiles
Un vrai dilemme sécuritaire !!!
Demande d’accès Ouverture du SI
Augmentation des menaces & risques
“Security should be based on policy not topology”
Bill Gates, RSA Conference 2007
Votre périmètre ne peut plus se limiter au réseau local de votre entreprise
Votre périmètre évolue et s’agrandit
Poste nomade
Internet
Services en ligne
Votre périmètre évolue(ra) à cause
de la mobilité et du Cloud Computing
Mobilité
Mobilité – Quelques chiffres
• 4.6 millions de PC portables vendus en 2009 – Dont 1.1 million de Netbooks (1)
• Couverture Internet Haut débit en France – 18,8 millions d’abonnements ADSL en mars 2010 (2) – 1,26 millions haut ou très haut débit autre qu’ADSL (2) – 100% du territoire en 2012 (Orange)
• Parc actif 3G : 17,617 millions (2)
• Couverture réseau 3G début 2010 – Orange 87%, SFR 81%, Bouygues Telecom 80% – Objectifs avant fin 2011 : 98% pour Orange et SFR (2)
Sources : (1) GfK et le Simavelec (Syndicat des industries de matériels audiovisuels électroniques) (2) ARCEP (Autorité de Régulation des Communications Electroniques et des Postes)
Mobilité : problématiques actuelles
• « Consumérisation » – PC / Netbooks personnels connectés au SI
– SmartPhones personnels connectés au SI (Windows Phone, iPhone…)
– Périphériques personnels utilisés sur le PC d’entreprise
• Perte de contrôle – Des équipements des collaborateurs (PC, stockage…)
– De l’information de l’entreprise
– Sur les systèmes d’exploitation
Besoins liés à la mobilité des collaborateurs de l’entreprise
• Les collaborateurs veulent – Simplement se connecter depuis l’extérieur de
l’entreprise au Système d’Information
• Les responsables du SI doivent – Démocratiser, garantir et simplifier les accès distants
pour les collaborateurs
– Sécuriser les accès distants
– (Mieux )contrôler les équipements connectés
– Sécuriser l’information mobile
Technologies d’accès distants
Réseau applicative
VPN nomade (PPTP, L2TP/IPsec, IPsec)
VPN SSL (encapsulation)
Publication Web (reverse proxy)
Passerelle applicative
Application Web X
Assure une connectivité au SI
X
X
X
X DirectAccess X
Quels solutions chez Microsoft ? Pour assurer une connectivité : Réseau Applicative
Applications Web IIS, Outlook Web Apps, SharePoint…
VPN Nomade Windows Server RRAS Forefront TMG 2010
VPN SSL Windows Server 2008 RRAS (SSTP) Forefront TMG 2010 Forefront UAG 2010
Publication Web Forefront TMG 2010 (basique)
Forefront UAG 2010 (avancée)
Passerelle Applicative Remote Desktop Services Gateway Outlook Anywhere Access
DirectAccess Windows Server 2008 R2 Windows 7 Entreprise Forefront UAG 2010
Comment sécuriser les accès distants ?
• Exiger une authentification forte à 2 voire 3 facteurs – Ce que je sais : mot de passe, code PIN
– Ce que je possède : carte à puce, TPM, jeton, calculette…
– Ce que je suis : reconnaissance biométrique
• Vérifier la conformité du poste client lors de la connexion – Mécanisme d’analyse du poste
– Mise en quarantaine si machine non conforme
• Limiter les accès autorisés – Seules les ressources nécessaires aux utilisateurs sont accessibles
• Journaliser, surveiller et analyser l’activité des utilisateurs connectés
• Un poste bien managé est une source limitée de risques pour votre Système d’Information
• L’utilisation de mécanismes de chiffrement sur l’ensemble des supports de stockage (fixes et amovibles) est simplement obligatoire aujourd’hui en cas de perte ou de vol du matériel
• Ne pas donner les droits d’administration à vos utilisateurs et limiter leurs privilèges sur le système
Comment sécuriser les postes nomades ?
A quoi ressemble un poste nomade bien managé ?
• Il est reconfigurable rapidement y compris en situation de mobilité
• Il implémente des mécanismes limitant l’exécution d’applications non validées par l’IT
• Il est à jour en terme de correctifs de sécurité *systèmes d’applications, navigateur(s), plug-in(s) et applications]
• Il dispose de mécanismes de défenses standards [Antimalware, pare-feu personnel, filtres anti spam, anti-phishing…+ opérationnels
Protection des informations mobiles
• Le chiffrement de la partition contenant le système d’exploitation protège contre les attaques dites « offline »
• Le chiffrement des partitions de données et des supports amovibles protège les informations de l’entreprise et de l’utilisateur
Quels solutions chez Microsoft ? Configuration du poste (y compris en situation mobile)
Stratégies de groupes + DirectAccess Windows Intune
Contrôle des applications exécutées sur le poste
Stratégies de groupes AppLocker (Windows 7 Entreprise & Intégrale)
Gestion des mises à jour Microsoft Update Windows Server Update Service System Center Configuration Manager Windows Intune
Anti logiciels malveillants Security Essential Forefront Client Security, Forefront EndPoint Protection Windows Intune
Anti phishing Internet Explorer 8 ou 9 avec le Filtre SmartScreen
Contrôle du pare-feu Stratégies de groupes Windows Intune
Chiffrement des données Disques fixes : BitLocker (Vista, Windows 7 Entreprise) Supports amovibles : BitLocker To Go (Windows 7 Ent.) Fichiers et répertoires : EFS
Le Cloud est aujourd’hui une réalité
Et si Internet devenait votre réseau ?
Cloud Computing
• Quelques définitions
• Impacts sur un SI : extension du périmètre, administration…
• Impacts sur le travail avec collaborateurs / partenaires / clients
• Quelques exemples de solutions dans le Cloud
• 5 caractéristiques
• 3 modèles de service
• 4 modèles de déploiement
Qu’est-ce que le Cloud Computing ?
L’ensemble des disciplines, technologies et modèles commerciaux utilisés pour délivrer des capacités informatiques (logiciels, plateformes, matériels)
comme un service à la demande
• Libre service à la demande
• Accès réseau, clients variés
• Mise en commun des ressources (pooling)
• « Élasticité » rapide
• Service mesuré et facturation à l’usage
5 Caractéristiques
3 modèles de service
Infrastructure as a Service (IaaS)
Platform as a Service (PaaS)
Software as a Service
(SaaS)
Exemples
Microsoft Online Services, Google Apps, Salesforce.com...
Microsoft Azure, Force.com, Google App Engine…
hébergeurs de systèmes (Hyper-V), Amazon EC2, fournisseurs de machines virtuelles
A construire soi-même
• Cloud privé – Propriété (ou location) de l’entreprise
– Interne ou externe
– L’évolution logique du centre de données virtualisé
• Cloud communautaire – Infrastructure partagée pour une communauté spécifique (un état…)
– Interne ou externe
• Cloud Public – Infrastructure louée à n’importe quelle catégorie d’acheteur
– L’infrastructure est la propriété du fournisseur
• Cloud Hybride – La composition de deux ou plus formes de Clouds qui permettent la portabilité des
données et des applications
– On ne crée pas un Hybrid Cloud juste en fédérant les identités
4 modèles de déploiement
Résumé de la vue du NIST
Le Continuum du Cloud Computing
Vous avez le choix !!!
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
Informatique
interne
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
Hébergeur
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
IaaS public
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
PaaS public
Données
Applications
Machine
Virtuelle
Serveur
Stockage
Réseau
SaaS public
L’entreprise a le contrôle
Partage du contrôle avec le fournisseur
Le fournisseur de service a le contrôle
Qui contrôle quoi ?
OK mais concrètement, j’utilise le Cloud pour quoi ?
Quels usages pour vous ?
• Messagerie électronique • Messagerie instantanée • Voix sur IP • Partage de documents • Portail Web • Gestion de la relation clients (CRM) • Administration de vos postes • Sécurité de vos postes • Applications spécifiques…
Washington Virginie
Irlande
Pays-bas
Singapour
Hong Kong
Quelques exemples avec les solutions
SaaS public
SaaS public
PaaS public
Impacts du Cloud sur votre périmètre
Services en ligne Cloud public
Collaborateurs Partenaires
Fournisseurs Clients
Cloud privé
Quelques problématiques associées au Cloud
• Gérer les identités – Il faut assurer une expérience utilisateur unique que celui-ci utilise le
service en ligne (Online) ou sur site (on-premise) – Il faut éviter une double gestion des identités et continuer à s’appuyer
sur la base des identités de l’entreprise (souvent Active Directory) – Des mécanismes de synchronisation d’annuaire et/ou de fédération
d’identités doivent être mis en œuvre
• Assurer la coexistence entre une application on-premise et sa version online dans le Cloud public (SaaS) – Les utilisateurs des deux versions devant pouvoir interagir – L’administrateur pouvant basculer l’utilisateur de la version sur site à
la version en ligne (et vice versa)
• Garantir la sécurité des données stockées ou échangées dans le Cloud
Exemple de synchronisation d’annuaire avec
Microsoft Online Service
Exemple de coexistence
Exemple d’outil de migration
En synthèse voici votre nouveau périmètre
Services en ligne Cloud public
Cloud privé
Ressources utiles
http://www.microsoft.com/cloud/
Blog de Stanislas http://blogs.technet.com/stanislas