Upload
nis
View
195
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Gemalto est au cœur de l’évolution du monde numérique. Chaque jour, des entreprises et des gouvernements du monde entier placent en nous leur confiance pour les aider à offrir à leurs utilisateurs des services où facilité d’usage rime avec sécurité. Dans le contexte précis de la sécurisation de l’identité et des accès, nous avons le plaisir de vous inviter à un événement que nous organisons avec Microsoft, VNext et NIS sur le sujet de sécurisation des accès aux services de Cloud Computing. Lors de différents ateliers nous vous ferons découvrir nos solutions pour sécuriser les accès aux services cloud de votre entreprise pour vos employés en mobilité.
Citation preview
Sécuriser votre chaîne d'information dans
Azure
Sécurité Azure Sécurisation des Infrastructure
Sécurisation des Services
Enterprise MobilitySuite
Gestion des Identité dans le Cloud
Défis du Cloud
Ref:http://www.cloudlinktech.com/
choose-your-cloud/amazon-web-
services/
Sécurité de la chaîne d’information
Présentation des Mesures de Sécurité Additionnelles
Sécurité Azure
Sécurité de l’infrastructure
Risques Existants
Sécurisation des Serveurs
Sécurisation des flux
Sécurisation des fichiers
Pause
Enterprise Mobility Suite
Gemalto ADFS MFA
Sécurisation des Services
Présentation des Services
Limites de l’authentification Login/Password
Sécurisation Mobile
Sécurisation PC
Gestion des Identités dans le Cloud
Multiplication de l’identité
Risques encourus
Gestion des identités
Retours d’expérience / Questions/Réponses
Jérôme Soufflot
Présentation
Nis/Gemalto
Bus dev Channel France & UKStéphane Gueukmen
Channel developer
Our purpose
6
7
We are the world leader
in digital security
€2.4bnrevenue 2013
12,000employees worldwide
86%customer satisfaction in annual survey
2bn+end-users benefit from our solutions
110+patents and patent applications in 2013
190 countrieswhere our clients are based
© vNext-2013
8
Certifiée« Microsoft Gold Partner »,
vNext se positionne sur le marché des
nouvelles technologies en proposant des
solutions Microsoft sur les usages,
l’industrialisation et les modes de
distribution de type Cloud (SaaS, PaaS et
IaaS).
En quelques
mots …
9
Service
R&DEdition+ de 65collaborateurs
janvier 2010Création en
5,5 M€En 2013
Qui sommes nous ?
+ 20%
10
AP
APPLICATION
PLATFORM
Des apps mobiles aux
applications d’entreprise
stratégiques, Application
Platform matérialise vos
projets sur mesure
BP
BUSINESS
PRODUCTIVITY
Améliorer l’efficacité
individuelle et collective
au sein des entreprises et
organisations
CI
CORE
INFRASTRUCTURE
Optimiser et sécuriser
la fourniture et la
consommation de
services, du datacenter
au device
Nos offres de service
PM IT
PROJECT
MANAGEMENT
IT STRATEGY
& GOVERNANCE
CMT
CHANGE MANAGEMENT
& TRAINING
Les collaborateurs de Core Infra vous
accompagnent dans la gestion et l'optimisation
des infrastructures on-premise ou sur Azure.
Nous travaillons sur les performances d’accès
aux données, le cycle de vie de parcs
hétérogènes (postes & devices) et les
problématiques de datacenters, de sites distants
et d'utilisation d'Azure.
Pour contrôler les services proposés, nous vous
accompagnons dans la rationalisation des
comptes et des accès avec notamment des
authentifications fortes.
Positionnement
et Expertise
CIAzure &
Hybrid
Monitoring &
Optimisation
Identités :
fédérations
&
Contrôles
Fermes &
Clusters
Déploiements
& Masters
SQL.Services
Sécurité
Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
Microsoft’s CloudDelivering operational excellence in the
cloud Infrastructure
> 2,4 millionsd’emails par jour
> 200 Services Cloud> 1 milliard de clients >20 millions d’entreprises > 90 pays dans le monde
> 5,8 milliardsde requêtes chaque mois dans le
monde
> 250 millions d’utilisateurs
actifs
> 8600 milliardsd’objets stockés sur Windows
Azure
1 entreprise sur 4utilise
> 50 milliardsde minutes de connexion chaque
jour
> 48 millionsd’utilisateurs dans 41 pays
> 50 millions
utilisateurs actifs
> 400 millions de comptes
actifs
15
Datacenter evolution
Server
Capacity
20 year Technology
2.0+ PUE
Colocation
Generation 1
DensityRack
Density & deployment
Minimized resource impact
1.4 – 1.6 PUE
Generation 2
201220091989-2005 2007
Containment
1.2 – 1.5 PUE
Containers, PODs
Scalability & sustainability
Air & water economization
Differentiated SLAs
Generation 3
Modular
1.12 – 1.20 PUE
ITPACs & Colocations
Reduced carbon Right-sized
Faster time-to-market
Outside air cooled
Generation 4
Integrated
1.07 – 1.19 PUE
Integrated system
Resilient software
Common infrastructure
Operational simplicity
Flexible & scalable
Generation 5
Future
Global FOOTPRINT
TOKYO
OSAKA
Datacenters and platform are ISO 27001, EU Safe Harbor, SSAE 16/ISAE 3402 SOC 1, 2, 3 certified
SLA (Service Level Agreement) Mensuel
>99.9%
Virtual Network
>99.9%
SQL Database(as a Service)
>99.9%
Windows Azure Active Directory
>99.95%
Machines Virtuelles Windows et Linux
>99.9%
Stockage
Tous les détails des SLA sont disponibles sur le site produit Microsoft Azure
Vous savez où résident vos données, qui peut y accéder et ce que nous en faisons.
Où sont hébergées les données de nos clients ?
Quel est le niveau de sécurité des centres de données Microsoft ?
À qui appartiennent les données stockées dans le Cloud Microsoft ?
De quelle manière Microsoft utilise les données stockées dans le Cloud ?
Quelles sont les normes et standards auxquels est conforme le Cloud Microsoft ?
Sécurité
Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
Les challenges du Cloud
Les solutions apportées
Hardware Flux Data
VPN
Chiffrement des flux
Sécurisation des
serveurs
Sécurisation des serveurs: Hardening
Sécurisation des serveurs: Monitoring
Reporting Console Azure
Possibilité de créer des alertes personnalisées au
sein du portail Azure
Alertes par serveur
Reporting par mail
Gestion centralisé de toutes les alertes
Reporting System Center Operation
Manager
Management Pack pour System Center Operation
Manager
Monitoring du serveur comme les serveurs On
Premise
Sécurisation des serveurs : protection de l’OS
Antimalware
Antimalware
Real TimeProtection
ScheduledScanning
MalwareRemediation
Engine, Platform, Signature Updates
Active Protection
Samples & TelemetryReporting
Patching
Sécurisation des serveurs : Stockage
Par défaut un disque vhd est sauvegardé 3 fois
Celui-ci peut être sauvegardé localement ou sur plusieurs
plaques géographiques différentes
Azure Disaster Recovery permet de sauvegarder
encore 3 nouvelles fois le vhd
Serveur
d’applications
ou de fichiers
SAS
SSD
Stockage Blob
StorSimple
Cloud Azure
StorSimple
Haute disponibilité
Hardening
Monitoring / reporting
Patching
Antivus / Antimalware
Stockage redondé
Sécurisation des serveurs : Checklist
SÉCURISATION DES
SERVEURS
Sécurisation
des Flux
HTTPS
Chiffrement des flux
1. Le client contacte le serveur en lui
demandant d’établir une communication SSL
2. Le serveur répond en présentant son
certificat SSL
3. Générer et délivrer une clé de cryptage
4. Envoyer et recevoir des données chiffrées
IPSec
• Authentification des extrémités
• Confidentialité des données échangées
• Authenticité des données
• Intégrité des données échangées
• Protection contre les écoutes et analyses de
trafic
• Protection contre le rejeu
Sécurisation des Flux: VPN Site à Site
BackendVNet
Mid-TierVNet
FrontendVNetInternet
Secure
Communication
Microsoft Azure
Contoso US HQ Contoso East Asia
HTTPS
IPSec
Sécurisation des flux: Checklist
VPN site à site
SÉCURISATION DES FLUX
Sécurisation
des Fichiers
Sécurisation des serveurs: BitLocker
Chiffrement des volumes (OS, données, disques externes, clés USB)
Vérification de l’intégrité de Windows au démarrage
Sécurisation de Windows avec la puce TPM et le code PIN
Stratégies de groupe (GPO)
imposer le chiffrement
bloquer les lecteurs non chiffrés
longueur/complexité PIN
Stockage des clés de récupération dans Active Directory ou MBAM
Server
Support de TPM, TPM+PIN, clé USB, TPM+PIN+clé USB, carte à
puce, mot de passe
Sécurisation des Fichiers: RMS
BitLocker
RMS
Sécurisation des fichiers: Checklist
SÉCURISATION DES FICHIERS
Sécurité
Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
L'explosion des appareils
change les standards de
l'informatique d'entreprise.
Équipements
Déployer et gérer des
applications sur des
plateformes hétérogènes
est compliqué.
Applications Données
Accéder les données tout
en maintenant la
conformité et en
réduisant les risques.
Les utilisateurs
souhaitent travailler
n'importe où et avoir
accès à toutes leurs
ressources.
Utilisateurs
Travailler librement …
Gestion de l’identité des utilisateurs
Protection des données
Gestion des périphériques
Gestion des applications mobiles et virtualisation
….un défi pour l’entreprise !
L’ enjeu pour l’identité
AzureSynchronisation
Utilisateurs
Ressources et applicationsGroupes de sécuritésSSO avec Kerberos
UtilisateursExternes/internesPartenaires/clients
Téléphones, Tablettes, PC, Mac, Android, …
Applications, DonnéesFédération, SSO
Fédération /Password Sync
OrdinateursGPO, Configuration Manager
AAD Premium
Intune
RMS
Azure Active Directory
Active Directory
Fournir à l’utilisateur une expérience d’authentification sans effort
Windows Azure Active Directory Premium
Un annuaire à associer facilement aux applications cloud (+2000 applications déjà pré-intégrées)
Un annuaire synchronisé avec l’Active Directory on-premise.
Gestion d’identité incluse avec MIM 2015
Un Hub d’identités sur le cloud
Des services pour gérer l’identité et
l’accès aux applications
Surveiller et protéger les accès
Satisfaire les utilisateurs
Services d’authentification, service de fédération, authentification multi-facteur,
Gestion centralisée pour l'attribution des accès aux applications via des groupes
Des services à venir pour l’ « IAMaaS »
Rapport de sécurité pour suivre les modes d'accès incompatible
Inclus les capacités d'authentification multi-facteurs
Rapport avancé « machine-learning »
Portail d’applications et SSO
self-service pour la gestion des groupes, le changement et la réinitialisation du mot de passe
Administration unifiée des appareils avec
Intune
Mac OS X
PC Windows
(x86/64, Intel SoC),
Windows To Go
Windows Embedded
Windows RT,
Windows Phone 8
iOS, Android
Windows 8.1 (OMA-DM)
51
OU
R2
Windows Intune
Satisfaire
Les utilisateurs
Unifier
Les environnements
Protéger
Les données
Outils de gestion des utilisateurs familier, leader sur le marché, étendus avec un MDM en mode Cloud
Gestion des applications simplifiée, centrée sur l'utilisateur avec configuration du profil
Gestion des paramètres complets cross-plateformes
Expérience homogène de portail d’entreprise quelque soit le périphérique
Inscription simplifiée
Connexion automatique aux applications et données
Suppression sélective des applications et données d’entreprise pour protéger les informations sensibles
Configuration de profil de messagerie et effacement sélectif
Paramètres de configuration de protection des données (iOS 7)
Protection des informations avec Azure RMS
Serveur de fichiers, de
messagerie ou de base
documentaire
Protection par du chiffrement, du control d’accès et des restrictions d’utilisation.
Utilisateur
autorisé
Réseau de l’entreprise
Utilisateur
autorisé
Utilisateurs
non-autorisés
Transfert
impossible
Licenses d’utilisation
Utilisateur
non-autorisé Pas de licence
Service
Azure RMS
Que peut-on protéger avec RMS et comment ?
Documents, mails et librairies Sharepoint
O365
Exchange, Sharepoint et FCI via le connecteur RMS
Tous les types de fichiers via l’application de partage RMS
Action pour protéger
Menu contextuel dans l’explorateur ou Icones de protection dans Office
Envoi à des comptes d’entreprise (interne ou externe)
Envoi à des comptes perso (liveID, googleID, …) promis courant 2014
Action pour consommer
Ouverture directe si on dispose d’une soucription RMS
Inscription à l’offre individuelle gratuite si on ne dispose pas de souscription
SÉCURISATION DES DEVICES
Gestion de l’identité hybride
Gestion des
Périphériques mobiles
Protection
de données
• Gestion et sécurité des Groupes / rapports d’audit• Réinit. mot de passe self service & authentification multi-facteurs• Connexion entre AD et Azure AD, gestion de l’accès aux
applications et SSO
• Protection des informations • Accès conditionnels
• Gestion des paramétrages de périphériques mobiles• Gestion du cycle de vie des applications mobiles
• Effacement de données et retrait du périphérique
Introduction à Enterprise Mobility Suite (EMS)
Les prix Enterprise Agreement (EA) commencent à 3,70€ par utilisateur et par mois*
Lancé le 1er mai 2014, EMS permet aux clients…
Azure Active Directory Premium
Windows Intune
Azure Rights Management Service (RMS)
Sécurité
Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
WHO ARE YOUR TRYING TO PROTECT?
59
Gemalto ADFS 3 MFA Provider overview
One-Time Password (OTP) Two-
factor authentication solution as an
auxiliary authentication in order to
avoid a number of attacks that are
associated with traditional static
passwords:
IDConfirm 1000 Server and IDProve
devices
Trust and Autonomy: consume cloud
services while keeping control of the
employee’s identity.
Security and convenience as strong
authentication unifying login and sign-
in experience around AD FS.
Widest range of form factors
available (hardware, software)
IDConfirm 1000 Authentication
Server (can be deployed on
premises or in the Cloud)
Deployment Architecture overview
ADFSADFS Gemalto
MFA Provider
Active Directory
Enterprise
Enterprise Internal
Apps
SaaS applications running
in Windows Azure, Office
365 and 3rd party providers
User
Windows Server
2012 R2
User
Multiple authentication form factors available
Select Authentication method
Hardware Token
IDProve 300
(A Mobile Token app)
A native Mobile OTP
Application to secure
authentication
operations
OATH time based
One Touch user-
experience for strong
authentication and
activation
state-of-the-art security
SMS OTP
Secondary Authentication: Send Passcode
Use Cases: Mobile IDProve 300 Send OTP LogonOne Touch user-experience for strong authentication
Primary Authentication
Required only for External Users.
For Internal Users Identity is obtained
by performing a Windows logon.
1. User Enter a PIN code
(if required)2. The user accesses the mobile app and selects
“Send Passcode” in order to login to the service.
The app sends the OTP to the service and access
is granted
Use Cases: Mobile IDProve 300 Send Passcode LogonOne Touch user-experience for strong authentication
Gemalto ADFS 3 MFA Values
Recognized Market Leadership
Gemalto is a recognized player in
strong authentication market (Gartner)
Comprehensive Portfolio
of authentication devices
Widest range of form factors available
(hardware, software)
Deployment model flexibility
Gemalto IDConfirm 1000 server can
be deployed on customer premises or
in the Cloud
Trust and Autonomy
Consume cloud services while
keeping control of the employee’s
identity.
Security
We continuously improve security of
our server platform in order to Prevent
the Web Attacks
Penetration tests have been done in
April 2014 by LEXSI external lab and
highlight a very good level of security
Sécurité
Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
Présentation des Services
Présentation des services Azure à sécuriser… :
Office 365
Yammer
Sharepoint
MyApps (2400 applications)
…et leurs modes d’authentification :
Login/Password
MFA
Limites/Risques de l’authentification Actuelle
• Utilisation du Login/Password : Manque de sécurité
• Avantages du Multi-Factor Authentication (MFA) :
- Apporte une sécurité supplémentaire à
l’authentification
- Protection de l'accès avec une notification
d'application mobile, un appel téléphonique
ou un SMS
- Réduction des risques
Sécurisation de l’accès PC
Accès sécurisé depuis un PC vers les divers services Azure
Accès NFC
Puce présente dans le mobile
Carte à Puce NFC
Accès OTP
Application mobile, SMS, appel vocal
SmartCard
Carte à puce
Accès restreint aux PC de confiance
Intune
Certificats , plage d’adresse IP
Sécurisation de l’accès mobile
Accès sécurisé depuis un mobile vers les divers services Azure
Accès OTP
Application mobile, SMS, appel vocal
Accès restreint aux mobiles de confiance
Intune
Certificats Machine
SÉCURISATION DES
SERVICES
Sécurité
Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
AzureAAD Premium
Multiplication de
l’identité
Les Défis
• Multiplication de l’identité
Gestion Isolée
• Multiplication de l’identité
• Gestion Isolée
Administration Basique
• Multiplication de l’identité
• Gestion Isolée
• Administration Basique
Reporting Séparé
• Multiplication de l’identité
• Gestion Isolée
• Administration Basique
• Reporting Séparé
Processus
D’Entrée/Sortie isolé
• Multiplication de l’identité
• Gestion solée
• Administration Basique
• Reporting Séparé
• Processus d’entrée/sortie Isolé
Solutions: Centralisation
Solutions: Gestion de l’Identité
ActiveDirectory
LotusDomino
IDconfirm
SQLServer
Oracle DB
HR SystemFIM
Workflow
Manager
User Enrollment
Approval
User provisioned on all allowed systems Applis Maison
IDENTITÉ DANS LE CLOUD
Pyramide de sécurité appliquée au Cloud
Confid
entialité, D
isponibilité
, Intégrité
Arc
hit
ect
ure
Sé
curi
sée
Sécurité de l infrastructure
Sécurité Physique
Sécurité des applications
Sécurité des Flux et des données
Sécurité des Systèmes
Sécurité des Personnes
Sécurité des opérations
Gouvernance
Fin
Questions /
Réponses