Sécuriser votre chaîne d'information dans

Azure

Sécurité Azure Sécurisation des Infrastructure

Sécurisation des Services

Enterprise MobilitySuite

Gestion des Identité dans le Cloud

Défis du Cloud

Ref:http://www.cloudlinktech.com/

choose-your-cloud/amazon-web-

services/

Sécurité de la chaîne d’information

Présentation des Mesures de Sécurité Additionnelles

Sécurité Azure

Sécurité de l’infrastructure

Risques Existants

Sécurisation des Serveurs

Sécurisation des flux

Sécurisation des fichiers

Pause

Enterprise Mobility Suite

Gemalto ADFS MFA

Sécurisation des Services

Présentation des Services

Limites de l’authentification Login/Password

Sécurisation Mobile

Sécurisation PC

Gestion des Identités dans le Cloud

Multiplication de l’identité

Risques encourus

Gestion des identités

Retours d’expérience / Questions/Réponses

Jérôme Soufflot

Présentation

Nis/Gemalto

Bus dev Channel France & UKStéphane Gueukmen

Channel developer

Our purpose

6

7

We are the world leader

in digital security

€2.4bnrevenue 2013

12,000employees worldwide

86%customer satisfaction in annual survey

2bn+end-users benefit from our solutions

110+patents and patent applications in 2013

190 countrieswhere our clients are based

© vNext-2013

8

Certifiée« Microsoft Gold Partner »,

vNext se positionne sur le marché des

nouvelles technologies en proposant des

solutions Microsoft sur les usages,

l’industrialisation et les modes de

distribution de type Cloud (SaaS, PaaS et

IaaS).

En quelques

mots …

9

Service

R&DEdition+ de 65collaborateurs

janvier 2010Création en

5,5 M€En 2013

Qui sommes nous ?

+ 20%

10

AP

APPLICATION

PLATFORM

Des apps mobiles aux

applications d’entreprise

stratégiques, Application

Platform matérialise vos

projets sur mesure

BP

BUSINESS

PRODUCTIVITY

Améliorer l’efficacité

individuelle et collective

au sein des entreprises et

organisations

CI

CORE

INFRASTRUCTURE

Optimiser et sécuriser

la fourniture et la

consommation de

services, du datacenter

au device

Nos offres de service

PM IT

PROJECT

MANAGEMENT

IT STRATEGY

& GOVERNANCE

CMT

CHANGE MANAGEMENT

& TRAINING

Les collaborateurs de Core Infra vous

accompagnent dans la gestion et l'optimisation

des infrastructures on-premise ou sur Azure.

Nous travaillons sur les performances d’accès

aux données, le cycle de vie de parcs

hétérogènes (postes & devices) et les

problématiques de datacenters, de sites distants

et d'utilisation d'Azure.

Pour contrôler les services proposés, nous vous

accompagnons dans la rationalisation des

comptes et des accès avec notamment des

authentifications fortes.

Positionnement

et Expertise

CIAzure &

Hybrid

Monitoring &

Optimisation

Identités :

fédérations

&

Contrôles

Fermes &

Clusters

Déploiements

& Masters

SQL.Services

Sécurité

Azure

Sécurité

Infra

structure

Enterprise

Mobility

Suite

Gemalto

MFA

Sécurité

Services

Gestion

De

L’identité

Microsoft’s CloudDelivering operational excellence in the

cloud Infrastructure

> 2,4 millionsd’emails par jour

> 200 Services Cloud> 1 milliard de clients >20 millions d’entreprises > 90 pays dans le monde

> 5,8 milliardsde requêtes chaque mois dans le

monde

> 250 millions d’utilisateurs

actifs

> 8600 milliardsd’objets stockés sur Windows

Azure

1 entreprise sur 4utilise

> 50 milliardsde minutes de connexion chaque

jour

> 48 millionsd’utilisateurs dans 41 pays

> 50 millions

utilisateurs actifs

> 400 millions de comptes

actifs

15

Datacenter evolution

Server

Capacity

20 year Technology

2.0+ PUE

Colocation

Generation 1

DensityRack

Density & deployment

Minimized resource impact

1.4 – 1.6 PUE

Generation 2

201220091989-2005 2007

Containment

1.2 – 1.5 PUE

Containers, PODs

Scalability & sustainability

Air & water economization

Differentiated SLAs

Generation 3

Modular

1.12 – 1.20 PUE

ITPACs & Colocations

Reduced carbon Right-sized

Faster time-to-market

Outside air cooled

Generation 4

Integrated

1.07 – 1.19 PUE

Integrated system

Resilient software

Common infrastructure

Operational simplicity

Flexible & scalable

Generation 5

Future

Global FOOTPRINT

TOKYO

OSAKA

Datacenters and platform are ISO 27001, EU Safe Harbor, SSAE 16/ISAE 3402 SOC 1, 2, 3 certified

SLA (Service Level Agreement) Mensuel

>99.9%

Virtual Network

>99.9%

SQL Database(as a Service)

>99.9%

Windows Azure Active Directory

>99.95%

Machines Virtuelles Windows et Linux

>99.9%

Stockage

Tous les détails des SLA sont disponibles sur le site produit Microsoft Azure

Vous savez où résident vos données, qui peut y accéder et ce que nous en faisons.

Où sont hébergées les données de nos clients ?

Quel est le niveau de sécurité des centres de données Microsoft ?

À qui appartiennent les données stockées dans le Cloud Microsoft ?

De quelle manière Microsoft utilise les données stockées dans le Cloud ?

Quelles sont les normes et standards auxquels est conforme le Cloud Microsoft ?

Sécurité

Azure

Sécurité

Infra

structure

Enterprise

Mobility

Suite

Gemalto

MFA

Sécurité

Services

Gestion

De

L’identité

Les challenges du Cloud

Les solutions apportées

Hardware Flux Data

VPN

Chiffrement des flux

Sécurisation des

serveurs

Sécurisation des serveurs: Hardening

Sécurisation des serveurs: Monitoring

Reporting Console Azure

Possibilité de créer des alertes personnalisées au

sein du portail Azure

Alertes par serveur

Reporting par mail

Gestion centralisé de toutes les alertes

Reporting System Center Operation

Manager

Management Pack pour System Center Operation

Manager

Monitoring du serveur comme les serveurs On

Premise

Sécurisation des serveurs : protection de l’OS

Antimalware

Antimalware

Real TimeProtection

ScheduledScanning

MalwareRemediation

Engine, Platform, Signature Updates

Active Protection

Samples & TelemetryReporting

Patching

Sécurisation des serveurs : Stockage

Par défaut un disque vhd est sauvegardé 3 fois

Celui-ci peut être sauvegardé localement ou sur plusieurs

plaques géographiques différentes

Azure Disaster Recovery permet de sauvegarder

encore 3 nouvelles fois le vhd

Serveur

d’applications

ou de fichiers

SAS

SSD

Stockage Blob

StorSimple

Cloud Azure

StorSimple

Haute disponibilité

Hardening

Monitoring / reporting

Patching

Antivus / Antimalware

Stockage redondé

Sécurisation des serveurs : Checklist

SÉCURISATION DES

SERVEURS

Sécurisation

des Flux

HTTPS

Chiffrement des flux

1. Le client contacte le serveur en lui

demandant d’établir une communication SSL

2. Le serveur répond en présentant son

certificat SSL

3. Générer et délivrer une clé de cryptage

4. Envoyer et recevoir des données chiffrées

IPSec

• Authentification des extrémités

• Confidentialité des données échangées

• Authenticité des données

• Intégrité des données échangées

• Protection contre les écoutes et analyses de

trafic

• Protection contre le rejeu

Sécurisation des Flux: VPN Site à Site

BackendVNet

Mid-TierVNet

FrontendVNetInternet

Secure

Communication

Microsoft Azure

Contoso US HQ Contoso East Asia

HTTPS

IPSec

Sécurisation des flux: Checklist

VPN site à site

SÉCURISATION DES FLUX

Sécurisation

des Fichiers

Sécurisation des serveurs: BitLocker

Chiffrement des volumes (OS, données, disques externes, clés USB)

Vérification de l’intégrité de Windows au démarrage

Sécurisation de Windows avec la puce TPM et le code PIN

Stratégies de groupe (GPO)

imposer le chiffrement

bloquer les lecteurs non chiffrés

longueur/complexité PIN

Stockage des clés de récupération dans Active Directory ou MBAM

Server

Support de TPM, TPM+PIN, clé USB, TPM+PIN+clé USB, carte à

puce, mot de passe

Sécurisation des Fichiers: RMS

BitLocker

RMS

Sécurisation des fichiers: Checklist

SÉCURISATION DES FICHIERS

Sécurité

Azure

Sécurité

Infra

structure

Enterprise

Mobility

Suite

Gemalto

MFA

Sécurité

Services

Gestion

De

L’identité

L'explosion des appareils

change les standards de

l'informatique d'entreprise.

Équipements

Déployer et gérer des

applications sur des

plateformes hétérogènes

est compliqué.

Applications Données

Accéder les données tout

en maintenant la

conformité et en

réduisant les risques.

Les utilisateurs

souhaitent travailler

n'importe où et avoir

accès à toutes leurs

ressources.

Utilisateurs

Travailler librement …

Gestion de l’identité des utilisateurs

Protection des données

Gestion des périphériques

Gestion des applications mobiles et virtualisation

….un défi pour l’entreprise !

L’ enjeu pour l’identité

AzureSynchronisation

Utilisateurs

Ressources et applicationsGroupes de sécuritésSSO avec Kerberos

UtilisateursExternes/internesPartenaires/clients

Téléphones, Tablettes, PC, Mac, Android, …

Applications, DonnéesFédération, SSO

Fédération /Password Sync

OrdinateursGPO, Configuration Manager

AAD Premium

Intune

RMS

Azure Active Directory

Active Directory

Fournir à l’utilisateur une expérience d’authentification sans effort

Windows Azure Active Directory Premium

Un annuaire à associer facilement aux applications cloud (+2000 applications déjà pré-intégrées)

Un annuaire synchronisé avec l’Active Directory on-premise.

Gestion d’identité incluse avec MIM 2015

Un Hub d’identités sur le cloud

Des services pour gérer l’identité et

l’accès aux applications

Surveiller et protéger les accès

Satisfaire les utilisateurs

Services d’authentification, service de fédération, authentification multi-facteur,

Gestion centralisée pour l'attribution des accès aux applications via des groupes

Des services à venir pour l’ « IAMaaS »

Rapport de sécurité pour suivre les modes d'accès incompatible

Inclus les capacités d'authentification multi-facteurs

Rapport avancé « machine-learning »

Portail d’applications et SSO

self-service pour la gestion des groupes, le changement et la réinitialisation du mot de passe

Administration unifiée des appareils avec

Intune

Mac OS X

PC Windows

(x86/64, Intel SoC),

Windows To Go

Windows Embedded

Windows RT,

Windows Phone 8

iOS, Android

Windows 8.1 (OMA-DM)

51

OU

R2

Windows Intune

Satisfaire

Les utilisateurs

Unifier

Les environnements

Protéger

Les données

Outils de gestion des utilisateurs familier, leader sur le marché, étendus avec un MDM en mode Cloud

Gestion des applications simplifiée, centrée sur l'utilisateur avec configuration du profil

Gestion des paramètres complets cross-plateformes

Expérience homogène de portail d’entreprise quelque soit le périphérique

Inscription simplifiée

Connexion automatique aux applications et données

Suppression sélective des applications et données d’entreprise pour protéger les informations sensibles

Configuration de profil de messagerie et effacement sélectif

Paramètres de configuration de protection des données (iOS 7)

Protection des informations avec Azure RMS

Serveur de fichiers, de

messagerie ou de base

documentaire

Protection par du chiffrement, du control d’accès et des restrictions d’utilisation.

Utilisateur

autorisé

Réseau de l’entreprise

Utilisateur

autorisé

Utilisateurs

non-autorisés

Transfert

impossible

Licenses d’utilisation

Utilisateur

non-autorisé Pas de licence

Service

Azure RMS

Que peut-on protéger avec RMS et comment ?

Documents, mails et librairies Sharepoint

O365

Exchange, Sharepoint et FCI via le connecteur RMS

Tous les types de fichiers via l’application de partage RMS

Action pour protéger

Menu contextuel dans l’explorateur ou Icones de protection dans Office

Envoi à des comptes d’entreprise (interne ou externe)

Envoi à des comptes perso (liveID, googleID, …) promis courant 2014

Action pour consommer

Ouverture directe si on dispose d’une soucription RMS

Inscription à l’offre individuelle gratuite si on ne dispose pas de souscription

SÉCURISATION DES DEVICES

Gestion de l’identité hybride

Gestion des

Périphériques mobiles

Protection

de données

• Gestion et sécurité des Groupes / rapports d’audit• Réinit. mot de passe self service & authentification multi-facteurs• Connexion entre AD et Azure AD, gestion de l’accès aux

applications et SSO

• Protection des informations • Accès conditionnels

• Gestion des paramétrages de périphériques mobiles• Gestion du cycle de vie des applications mobiles

• Effacement de données et retrait du périphérique

Introduction à Enterprise Mobility Suite (EMS)

Les prix Enterprise Agreement (EA) commencent à 3,70€ par utilisateur et par mois*

Lancé le 1er mai 2014, EMS permet aux clients…

Azure Active Directory Premium

Windows Intune

Azure Rights Management Service (RMS)

Sécurité

Azure

Sécurité

Infra

structure

Enterprise

Mobility

Suite

Gemalto

MFA

Sécurité

Services

Gestion

De

L’identité

WHO ARE YOUR TRYING TO PROTECT?

59

Gemalto ADFS 3 MFA Provider overview

One-Time Password (OTP) Two-

factor authentication solution as an

auxiliary authentication in order to

avoid a number of attacks that are

associated with traditional static

passwords:

IDConfirm 1000 Server and IDProve

devices

Trust and Autonomy: consume cloud

services while keeping control of the

employee’s identity.

Security and convenience as strong

authentication unifying login and sign-

in experience around AD FS.

Widest range of form factors

available (hardware, software)

IDConfirm 1000 Authentication

Server (can be deployed on

premises or in the Cloud)

Deployment Architecture overview

ADFSADFS Gemalto

MFA Provider

Active Directory

Enterprise

Enterprise Internal

Apps

SaaS applications running

in Windows Azure, Office

365 and 3rd party providers

User

Windows Server

2012 R2

User

Multiple authentication form factors available

Select Authentication method

Hardware Token

IDProve 300

(A Mobile Token app)

A native Mobile OTP

Application to secure

authentication

operations

OATH time based

One Touch user-

experience for strong

authentication and

activation

state-of-the-art security

SMS OTP

Secondary Authentication: Send Passcode

Use Cases: Mobile IDProve 300 Send OTP LogonOne Touch user-experience for strong authentication

Primary Authentication

Required only for External Users.

For Internal Users Identity is obtained

by performing a Windows logon.

1. User Enter a PIN code

(if required)2. The user accesses the mobile app and selects

“Send Passcode” in order to login to the service.

The app sends the OTP to the service and access

is granted

Use Cases: Mobile IDProve 300 Send Passcode LogonOne Touch user-experience for strong authentication

Gemalto ADFS 3 MFA Values

Recognized Market Leadership

Gemalto is a recognized player in

strong authentication market (Gartner)

Comprehensive Portfolio

of authentication devices

Widest range of form factors available

(hardware, software)

Deployment model flexibility

Gemalto IDConfirm 1000 server can

be deployed on customer premises or

in the Cloud

Trust and Autonomy

Consume cloud services while

keeping control of the employee’s

identity.

Security

We continuously improve security of

our server platform in order to Prevent

the Web Attacks

Penetration tests have been done in

April 2014 by LEXSI external lab and

highlight a very good level of security

Sécurité

Azure

Sécurité

Infra

structure

Enterprise

Mobility

Suite

Gemalto

MFA

Sécurité

Services

Gestion

De

L’identité

Présentation des Services

Présentation des services Azure à sécuriser… :

Office 365

Yammer

Sharepoint

MyApps (2400 applications)

…et leurs modes d’authentification :

Login/Password

MFA

Limites/Risques de l’authentification Actuelle

• Utilisation du Login/Password : Manque de sécurité

• Avantages du Multi-Factor Authentication (MFA) :

- Apporte une sécurité supplémentaire à

l’authentification

- Protection de l'accès avec une notification

d'application mobile, un appel téléphonique

ou un SMS

- Réduction des risques

Sécurisation de l’accès PC

Accès sécurisé depuis un PC vers les divers services Azure

Accès NFC

Puce présente dans le mobile

Carte à Puce NFC

Accès OTP

Application mobile, SMS, appel vocal

SmartCard

Carte à puce

Accès restreint aux PC de confiance

Intune

Certificats , plage d’adresse IP

Sécurisation de l’accès mobile

Accès sécurisé depuis un mobile vers les divers services Azure

Accès OTP

Application mobile, SMS, appel vocal

Accès restreint aux mobiles de confiance

Intune

Certificats Machine

SÉCURISATION DES

SERVICES

Sécurité

Azure

Sécurité

Infra

structure

Enterprise

Mobility

Suite

Gemalto

MFA

Sécurité

Services

Gestion

De

L’identité

AzureAAD Premium

Multiplication de

l’identité

Les Défis

• Multiplication de l’identité

Gestion Isolée

• Multiplication de l’identité

• Gestion Isolée

Administration Basique

• Multiplication de l’identité

• Gestion Isolée

• Administration Basique

Reporting Séparé

• Multiplication de l’identité

• Gestion Isolée

• Administration Basique

• Reporting Séparé

Processus

D’Entrée/Sortie isolé

• Multiplication de l’identité

• Gestion solée

• Administration Basique

• Reporting Séparé

• Processus d’entrée/sortie Isolé

Solutions: Centralisation

Solutions: Gestion de l’Identité

ActiveDirectory

LotusDomino

IDconfirm

SQLServer

Oracle DB

HR SystemFIM

Workflow

Manager

User Enrollment

Approval

User provisioned on all allowed systems Applis Maison

IDENTITÉ DANS LE CLOUD

Pyramide de sécurité appliquée au Cloud

Confid

entialité, D

isponibilité

, Intégrité

Arc

hit

ect

ure

Sé

curi

sée

Sécurité de l infrastructure

Sécurité Physique

Sécurité des applications

Sécurité des Flux et des données

Sécurité des Systèmes

Sécurité des Personnes

Sécurité des opérations

Gouvernance

Fin

Questions /

Réponses