Haut de page>
 

Enterprise Security

 
 
 
 
 
 
 
 
 
 

Datacenter & Perimeter Security

En matière de sécurité réseau, il existe de nombreux concepts complémentaires. Le firewalling est probablement le concept le plus largement adopté.

Ces plateformes peuvent être proposées sous forme :

  • D'équipements physiques dédiés
  • De machines virtuelles
  • De modules matériels ou logiciels embarqués dans d'autres équipements réseau (Ex : Switches modulaires, routeurs, etc.)

D'un point de vue fonctionnel, les équipements limités initatialement au contrôle d'adresses IP et de ports TCP disparaissent au profit de logiques plus modernes, comme par exemple :

  • Les fonctions Unified Threat Management (UTM), soit la consolidation d'un certain nombre de services de sécurité additionnels (Ex : Filtrage Web, antivirus Web et Mail, Network IPS, etc.) sur la même plateforme matérielle ou logicielle
  • Les fonctions de Next Generation Firewalling (NGFW), soit la capacité d'appliquer des règles par utilisateurs ou groupes, par applications, et d'intégrer de l'analyse de contenu (Fonctions UTM)

En termes d'implémentation, différents scénarios peuvent être envisagés suivant les priorités sécuritaires des clients :

  • Perimeter Firewall : Ces équipements sont mis en oeuvre pour sécuriser les communications entrantes ou sortantes sur le réseau, et potentiellement de gérer l'interconnexion avec les sites distants. Les débits attendus excèdent rarement 1 Gbps dans ce sens qu'ils sont liés à celui des providers Internet et WAN.
  • Internal & Datacenter Firewall : Ces équipements sont généralement implémentés au coeur des réseaux et servent de point de contrôle pour l'enforcement de règles de sécurité à l'intérieur du réseau (Ex : Entre les VLANs clients et serveurs). Les débits sont calqués sur les capacités offertes par le coeur de réseau, soit des vitesses de 1 à 10, 20 ou 100 Gbps.
  • Virtualization & Software Defined Security : Ces plateformes logicielles permettent d'intégrer les mêmes logiques sécuritaires au sein d'environnements 100% virtualisés, de gérer de la micro-segmentation avec des règles de sécurité dynamiques entre différentes machines virtuelles

Les autres critères de choix pour les solutions de firewalling sont les suivants :

  • Gestion des VPN site à site en IPSec
  • Routage dynamique et gestion de multiples liens WAN
  • Gestion du NAT
  • Support des instances virtuelles (Création de plusieurs instances virtuelles de firewall sur un même boitier physique)
  • Gestion centralisée des configurations
  • Consolidation des logs et du reporting
 

Remote Access VPN

Avec l'avènement de la mobilité des utilisateurs, de nouvelles méthodes d'accès aux ressources de l'infrastructure ont vu le jour. Désormais, les clients VPN IPSec connectés à des firewalls ont cédé leur place à des solutions SSL VPN beaucoup plus flexibles.

Les méthodes d'accès aux ressources de l'organisation peuvent reposer sur :

  • Un simple navigateur Web (Web VPN) qui présentera toutes les ressources sous forme de raccourcis dans un portail
  • Un client lourd susceptible d'être installé sur tout type d'équipement client
  • Un lanceur d'applications qui monte le tunnel VPN uniquement lorsque certaines applications clients ont besoin d'atteindre un serveur interne

Avec l'évolution récente des navigateurs et des systèmes d'exploitation, certains plugins (Ex : Java, ActiveX), utilisés jusqu'alors pour présenter des applications ou des environnements de travail complets, sont progressivement remplacés par des interfaces en HTML5.

L'objectif premier de ces plateformes consiste à garantir un haut niveau de sécurité pour l'accès aux ressources, tout en offrant la meilleure expérience utilisateur possible pour garantir leur productivité.

Dans ce contexte, d'autres critères peuvent être pris en considération dans le choix des solutions de gestion des accès distants, parmi lesquels :

  • Couverture en termes de plateformes clientes (Systèmes d'exploitation, plateformes mobiles)
  • Intégration complète avec les principales applications du marché
  • Présentation des services de fichiers en mode Web
  • Intégration native avec les environnements VDI
  • Fonctions de reverse-proxy pour l'accès à certaines ressources Web (Ex : Outlook Web App, Sharepoint, ActiveSync, etc.)
  • Support de différentes méthodes d'authentification (Ex : LDAP, NTLM, Kerberos, Radius, Certificats, etc.)
  • Fonctions de SSO application
  • Contrôle granulaire de la poste sécurité des postes initiant la connexion
  • Support optionnel de fonctions de Web Conferencing ou de prise de main à distance


 

Web Security

Pour traiter de la sécurisation des flux Web, il faut dissocier deux familles de technologies, soit les "forward proxies" qui permettent de traiter les flux Web sortants (Accès Internet des utilisateurs) et et les "reverse-proxies" qui se concentrent sur le traitement des flux entrants (Accès aux services Web de l'organisation).

Pour le traitement des flux sortants, les problématiques posées concernent généralement la productivité des utilisateurs, et la protection contre des risques sécuritaires (Ex : Virus, spyware, etc.).

Sur le marché, il existe plusieurs familles de technologies susceptibles de répondre, de manière différente, aux mêmes besoins, soit par exemple :

  • Firewalls UTM ou NextGen
  • Forward proxies sous forme de machines physiques ou virtuelles
  • Services Cloud

Les fonctions attendues sur ce type de plateformes sont généralement les suivants :

  • Support de différentes méthodes d'authentification (Ex : LDAP, NTLM, Kerberos, etc.) et gestion de règles par utilisateurs par groupes
  • Contrôles application granulaires
  • Intégration de filtres d'URL
  • Protection antivirus des feux Web
  • Support des logiques de "sandboxing"
  • Capacité de traiter les flux chiffrés
  • Gestion des exceptions et stratégies de sécurité granulaires
  • Intégration avec des solutions de prévention contre les fuites de données (DLP)
  • Reporting sur l'activité des utilisateurs

Afin de protéger ensuite les services Web d'une organisation, les technologies de "reverse-proxy" ont évolué vers des logiques de Web Application Firewalling (WAF).

Plus clairement, outre le simple fait de couper les sessions, ces solutions intègrent généralement une intelligence supplémentaire, soit des moteurs de règles statiques ou heuristiques, qui permettent de protéger les serveurs et les applications contre l'exploitation de failles de sécurité.

Ces solutions peuvent être indépendantes, ou correspondre à un module d'une solution d'Application Delivery Controller, dans tous les cas, les fonctions communément implémentées sur ce type de plateformes sont les suivantes :

  • Prise en charge des tâches de chiffrement du traffic SSL
  • Fonctions de whitelisting d'applications Web
  • Répartition de charge sur plusieurs serveurs en back-end
  • Support de différentes méthodes d'authentification (Ex : LDAP, Radius, Certificats, etc.) ou de fédération d'identifés (Ex : SAML)
  • Fonctions de SSO application
  • Traitement des flux XML

 

Mail Security

La sécurisation des fonctions de messagerie peut se faire un deux niveaux complémentaires, soit au niveau périmétrique, ou directement sur les serveurs de messagerie.

Les services de filtrage Mail peuvent être assumés par des plateformes physiques, virtuelles ou au moyen de services Cloud externes. En complément, un second niveau de protection antivirus peut être déployé sur la messagerie interne de l'entreprise.

Les fonctions principales de ce type de solutions sont généralement les suivantes :

  • Utilisation de bases de réputation ouvertes ou propriétaires
  • Protection antivirus des flux de messagerie
  • Filtrage antispam
  • Gestion des quarantaines utilisateurs
  • Support des standards DKIM et SenderID
  • Fonctions de chiffrement des mails de personne à personne ou de serveur à serveur
  • Intégration avec des solutions de prévention contre les fuites de données (DLP)

 

End-Point Security

Une majorité des risques sécuritaires pèsent généralement sur les endpoints, qu'il s'agisse des serveurs ou des postes de travail, c'est la raison pour laquelle il est indispensable de mettre en oeuvre des stratégies de sécurité adéquates pour protéger ces systèmes.

Les fonctions principales de ce type de solutions sont généralement les suivantes :

  • Protection antimalware basée sur des signatures fixes et heuristiques
  • Fonctions de Host Firewall et de Host IPS
  • Gestion des configurations sécurité (Baselining, hardening)
  • Contrôle avancé des périphériques
  • Analyse proactive des failles de sécurité
  • Gestion des correctifs de sécurité
  • Intégration avec des solutions de contrôle d'accès réseau
  • Intégration de fonctions de prévention contre les fuites de données (Host DLP)

 

Virtualization Security

Dans le contexte de la virtualisation croissante des infrastructures, qu'il s'agisse autant des environnements serveurs que des postes de travail, les technologies de sécurité traditionnelles, reposant essentiellement sur des technologies d'agents, ne sont plus adéquates pour répondre à l'évolution des menaces.

En effet, le maintien des technologies traditionnelles sur des infrastructures consolidées en termes de computing et de stockage peut impliquer des risques de saturation des ressources lors de l'exécution de certaines tâches (Ex : Analyse antivirus, mise à jour de signatures, etc.).

De plus, les concepts de sécurité réseau classiques ne permettent pas d'assurer une protection pour toutes les communications inter-VMs, dans ce sens que ces flux ne ressortent pas de l'infrastructure virtualisée.

C'est la raison pour laquelle de nouvelles solutions technologiques, intégrées au sein des hyperviseurs, ont vu le jour. Elles permettent par exemple de réaliser une analyse antivirus, ou un filtrage des communications réseaux sans le déploiement du moindre agent, en s'appuyant sur les API de la solution de virtualisation pour router tout ou partie des flux (Ex : Opérations de lecture / écriture, communications réseau) sur une ou plusieurs machines virtuelles hébergeant l'intégralité des fonctions sécuritaires de l'infrastructure.

 

Certificate Management

Les architectures PKI sont de plus en plus utilisées au sein de toutes les organisations. En effet, les usages possibles des certificats sont nombreux, dans ce sens qu'ils peuvent être utilisés pour authentifier tous types de communications ou signer tous types de transactions.

Les certificats disposes de multiples avantages, ils peuvent être déployés simplement et de manière transparente, ils disposent d'une durée de vie et peuvent être révoqués à tout moment. C'est la raison pour laquelle ils sont communément utilisés pour l'authentification des accès Wireless LAN ou VPN, des communications entre des routeurs, pour l'accès à des serveurs Web, etc.

Les architectures PKI reposent sur trois composants majeurs, soit :

  • Root CA : Service en charge de stocker les clés privées
  • Issuing CA : Service en charge de délivrer les certificats
  • Policy CA : Service d'administration de l'environnement PKI

 

Strong / Mobile Authentication

L'un des concepts de base de l'authentification forte repose sur l'utilisation combinée de deux à trois facteurs d'authentification, soit :

  • Quelque chose que l'on possède (Ex : Un token matériel ou logiciel, un téléphone, etc.)
  • Quelque chose que l'on sait (Ex : Un PIN ou un mot de passe)
  • Quelque chose que l'on est (Ex : Biométrie)

Les méthodes d'authentification utilisées peuvent reposer à choix sur le temps (Time based), ou sur des événement ou sur une séquence (Event based).

Dans tous les cas, dans le contexte de la mobilité grandissante des utilisateurs, les types d'authentifiants évoluent également, avec une variété de formats différents, soit par exemple :

  • Les tokens matériels (Hardware Tokens) au format "porte clef" (Keyfob) ou carte de crédit
  • Les tokens logiciels exécutés depuis un poste de travail ou un équipement mobile (Soft Tokens)
  • L'envoi de jetons d'authentification (OTP) par SMS ou par mail avec une authentification en challenge/response (On-Demand Authentication)