Transformer le hotspot pour employés itinérants en cohérence

Livre blanc IT@Intel
Département informatique d'Intel
Employee Hotspot
Mars 2014
Transformer le hotspot pour employés itinérants en
cohérence avec la consumérisation de l'informatique
Présentation générale
Le réseau Wi-Fi Employee
Hotspot, qui était à l'origine
un simple avantage pour les
employés, a créé une valeur
considérable pour l'entreprise,
a renforcé la productivité
et a réduit les coûts.
Sanjay Rungta
Ingénieur principal senior, département
informatique d'Intel
Manish Dave
Ingénieur, département informatique d'Intel
Roy Beiser
Spécialiste réseau, département
informatique d'Intel
La consumérisation de l’informatique et l’impératif d’élargissement de l’accès au
réseau représentent pour l’équipe informatique d’Intel un enjeu en perpétuelle
évolution. L’adoption croissante des appareils personnels (BYOD) impose des défis
supplémentaires alors que le choix des usagers s’étend et que les attentes sont de
plus en plus élevées en termes d’accès réseau.
En 2005, le département informatique
d'Intel a implémenté le réseau Wi-Fi* avec
accès Internet pour invité, permettant aux
prestataires et aux visiteurs des campus
d'Intel d'accéder à Internet avec leur propre
appareil pour des raisons professionnelles. Fin
2007, l'industrie mobile a été révolutionnée
avec les premiers smartphones tactiles, et
dès 2009 les smartphones étaient utilisés
de façon routinière par les employés, même
s'ils ne pouvaient pas se connecter au réseau
Wi-Fi de l'entreprise. En 2010, le département
informatique d'Intel a mis en place un service
de hotspot pour les employés mobiles afin de
permettre aux appareils personnels d'accéder
à Internet. Mais ce qui a débuté comme un
simple avantage pour les employés s'est
révélé particulièrement utile pour l'entreprise
en renforçant la productivité des employés.
Nous prévoyons plusieurs appareils
par employé à l'avenir et des progrès
technologiques nécessitant davantage de
bande passante et d'options de connectivité.
Afin de conserver une longueur d'avance,
nous avons revu toute l'architecture du
service Employee Hotspot au moyen
d'un réseau superposé, plus facile et
économique à déployer. Ce nouveau
réseau superposé utilise des technologies
virtuelles de routage et de transfert,
capables d'exploiter notre infrastructure
réseau existante sans composant matériel
supplémentaire. Cette approche bénéficie
notamment des points forts suivants :
• Sécurité et évolutivité améliorées.
L'ajout de fonctionnalités, telles que des
passerelles de couche Application, des proxy
Cloud et de la sécurité mobile, nous permet
de détecter et répondre plus rapidement à
des menaces tout en renforçant l'évolutivité
pour les usages particulièrement exigeants.
• Confort d'utilisation amélioré. La mise
en œuvre d'un système de gestion
de compte de hotspot permet aux
employés d'ajouter et de supprimer des
appareils facilement, et de mettre à
jour les mots de passe rapidement.
• Productivité améliorée. L'ajout de
nouvelles fonctionnalités de sécurité
réseau nous permet de donner accès
à des applications professionnelles,
telles que les outils de collaboration.
• Coûts réduits. L'exploitation de
l'infrastructure réseau en place avec
le nouveau réseau superposé évite
d'avoir à utiliser des routeurs dédiés.
Alors que notre stratégie évolue afin
de prendre en compte les réalités de la
consumérisation de l'informatique, nous
prévoyons de déterminer si d'autres services
du réseau de l'entreprise et Employee Hotspot
peuvent être migrés vers un réseau superposé
convergé afin de réduire encore plus les coûts
d'infrastructure. Nous examinerons également
les opportunités qui offriront davantage
d'accès aux applications professionnelles
et aux données, afin d'augmenter aussi
bien la productivité des employés que les
possibilités d'amélioration générale de la
sécurité et de la souplesse d'utilisation.
Livre blanc IT@Intel Transformer le hotspot pour employés itinérants en cohérence avec la consumérisation de l'informatique
Sommaire
INTRODUCTION
Présentation générale......................... 1
La consumérisation de l'informatique
et le besoin de l'entreprise d'élargir
l'accès au réseau représentent pour
l'équipe informatique d'Intel un enjeu
en perpétuelle évolution. Auparavant,
nous gérions la demande avec l'accès
Internet invité (GIA), permettant
aux prestataires et aux visiteurs de
disposer d'un accès Web pendant leur
présence sur site. Nous avons ensuite
ajouté un réseau Wi-Fi* de hotspot
afin de permettre aux employés de se
connecter à Internet avec leurs appareils
personnels. L'adoption croissante des
appareils personnels (BYOD) impose
des défis supplémentaires alors que
le choix des usagers s'étend et que
les attentes sont de plus en plus
élevées en termes d'accès réseau.
Introduction............................................ 2
Accès Internet invité ........................ 2
Réseau Wi-Fi Employee
Hotspot 1.0....................................... 2
Modèles d'utilisation émergents..... 4
Alignement de notre réseau
Wi-Fi Employee Hotspot sur
les tendances BYOD. . ........................... 5
Réseau Wi-Fi Employee
Hotspot 2.0....................................... 5
Conclusion. . ............................................. 6
Informations complémentaires......... 7
Contributeurs......................................... 7
Acronymes ............................................. 7
Ce qui au départ constituait un avantage
pour les employés (en donnant le choix
à l'utilisateur lors de l'accès aux données
et aux services), s'est finalement révélé
très intéressant pour l'entreprise, puisque
cela a entraîné des économies et un
accroissement de la productivité.
Accès Internet invité
IT@INTEL
Le programme IT@Intel connecte
les professionnels des systèmes
d'information du monde entier à leurs
homologues chez Intel, ce qui leur permet
de partager l'expérience acquise, les
méthodes et les stratégies. Notre objectif
est simple : partager les meilleures
pratiques informatiques d'Intel qui créent
de la valeur et transforment les systèmes
d'information en avantage concurrentiel.
Rendez-vous dès aujourd'hui sur notre
site www.intel.com/IT ou contactez votre
représentant Intel local si vous souhaitez
en savoir plus.
2 www.intel.com/IT
Le lancement de la technologie de
processeur Intel® Centrino® en 2003 a
rendu possible la mobilité du fait d'un
accès réseau omniprésent. Cela a aussi eu
pour conséquence d'élever la demande en
matière de connectivité sur les appareils
personnels utilisés à des fins professionnelles.
Intel a reçu plus de 30 000 prestataires
nécessitant un accès réseau et Internet
pour leur activité professionnelle. Nous
avons considéré qu'il était essentiel
d'accorder un accès sécurisé aux ressources
en ligne pour favoriser la productivité.
En réponse à ce besoin professionnel clé,
nous avons conçu l'Accès Internet invité
(GIA) en 2005. À l'époque, l'architecture de
sécurité protégeant le réseau contre les
activités malveillantes ne permettait pas de
ménager un accès aux appareils inconnus
et non enregistrés. Voici quelques-unes des
solutions que nous avons apportées :
• Responsabilité juridique. Tous
les visiteurs doivent accepter les
conditions et règles d'utilisation
acceptable avant d'obtenir un accès.
• Authentification et provisionnement
du compte. Un nouveau service
central permet aux sponsors de créer
des comptes temporaires à expiration
automatique pour les visiteurs.
• Contrôles d'accès. Les visiteurs ont accès
au réseau, et par conséquent à Internet et
au VPN de leur site, mais pas à l'intranet
d'Intel. La conformité aux règles en vigueur,
notamment les fichiers DAT des antivirus
et des niveaux de correctifs, est également
évaluée pendant la procédure d'accès.
Au cours des 24 mois qui ont suivi le
déploiement, l'accès GIA a été activé
principalement pour les prestataires chargés
des opérations de fabrication. Au cours de
ce processus, plusieurs techniciens externes
ont dû se rendre sur un site Intel et rester en
liaison constante avec les équipes d'ingénierie
chargées de la certification de l'outillage.
Avant le déploiement de l'accès GIA, ces
techniciens devaient souvent revenir à l'hôtel
ou sur un site avec accès Internet public pour
consulter leur intranet, ce qui induisait une
perte de productivité considérable. Après
le déploiement, 98 % des techniciens ont
confirmé avoir gagné du temps en accédant
à leur intranet depuis une salle blanche.
Les employés des services commerciaux et
marketing d'Intel ont également exploité
l'accès GIA pour illustrer les fonctionnalités
Wi-Fi des nouveaux ordinateurs portables
avec processeur Intel® Centrino®.
Réseau Wi-Fi Employee
Hotspot 1.0
Après avoir déployé l'accès GIA, nous
avons vu émerger la demande de prise en
charge de la connectivité Internet pour les
appareils personnels. De 2009 à 2010,
nous avons constaté une augmentation de
94 % du nombre d'appareils personnels
se connectant aux services de l'entreprise.
En réponse à ce besoin croissant, nous
avons développé Employee Hotspot.
Transformer le hotspot pour employés itinérants en cohérence avec la consumérisation de l'informatique Livre blanc IT@Intel
Contrairement à l'accès GIA, qui vise
essentiellement les visiteurs du campus et
est utilisé pour un accès temporaire, nous
voulions que le projet Employee Hotspot
soit en cohérence avec la philosophie de
« lieu de travail d'exception » d'Intel, en
apportant aux employés les avantages d'un
accès Internet personnels sur les appareils
mobiles. Mais ce qui n'était au début qu'un
avantage « sympa » s'est rapidement
transformé en une solution apportant des
gains de productivité significatifs et des
avantages à l'ensemble de l'entreprise.
IMPLÉMENTATION INITIALE
D'EMPLOYEE HOTSPOT
Notre implémentation initiale comprenait les
éléments suivants :
• Infrastructure. La mise en œuvre initiale
d'Employee Hotspot s'est appuyée sur
une architecture réseau semblable à
celle de l'accès GIA, ce qui nous a permis
d'effectuer les opérations suivantes :
–– Isoler le trafic des hotspots
avec la technologie VLAN
–– Appliquer les commandes de sécurité
–– Exploiter le réseau étendu en
place, la zone démilitarisée
et l'infrastructure réseau du
fournisseur de services Internet
Les VLAN étaient mis en correspondance
avec des identifiants de service de
hotspot (SSID) qui transitaient par
un routeur de site dédié vers la zone
démilitarisée centralisée avec des tunnels
GRE (Generic Routing Encapsulation),
comme indiqué dans la Figure 1.
• Accès sécurisé. Afin d'assurer la
protection contre les programmes et le
trafic malveillants, nous avons mis en
place un proxy de filtrage transparent,
servant de passerelle entre le routeur du
concentrateur de la zone démilitarisée
et le pare-feu externe. Les appareils se
connectaient au hotspot et procédaient aux
opérations d'authentification nécessaires
au moyen d'un modèle d'accès modulaire.
Les passerelles d'application imposaient
le niveau d'accès requis, ainsi que les
profils régis par les règles de contrôle.
• Enregistrement des appareils et des
utilisateurs. Comme pour l'authentification
utilisateur de l'accès GIA, nous demandions
aux employés d'enregistrer et de
provisionner le compte réseau de leurs
appareils personnels ; un processus incluant
l'acceptation de conditions juridiques
d'accès réseau. Une fois le compte réseau
provisionné, les employés configuraient
le profil Wi-Fi de leur appareil. Ensuite,
l'appareil se connectait automatiquement
au hotspot le plus proche, permettant
ainsi aux employés de se connecter
sur tous les campus Intel, quel que soit
leur emplacement géographique.
Ces trois composants étaient un bon début,
mais l'évolution des cas d'utilisation et des
technologies a soulevé quelques problèmes.
EMPLOYEE HOTSPOT 1.0 – DIFFICULTÉS
Alors que les employés ajoutaient de
nouveaux appareils mobiles, la demande
d'outils de productivité adaptés à ces
nouveaux outils a également augmenté.
Le fait que ses employés puissent accéder
aux services permet à l'entreprise de
réaliser des économies et de dynamiser
la productivité. Néanmoins, la conception
initiale d'Employee Hotspot présentait des
difficultés et des limitations affectant sa
capacité à répondre aux demandes futures :
• Sécurité. La mise en œuvre initiale portait
essentiellement sur l'accès Internet et,
par conséquent, ne réunissait pas toutes
les garanties nécessaires à un accès
sécurisé aux services internes, notamment
pour les outils de collaboration sociaux
susceptibles d'augmenter encore plus
la productivité et l'adoption générale.
• Confort d'utilisation. Les utilisateurs
devaient s'identifier une fois par jour.
Dans la mesure où les noms d'utilisateur
comportent souvent des tirets bas,
la connexion à un appareil mettait
souvent les nerfs à rude épreuve.
• Évolutivité. Les routeurs de site locaux
dédiés présentaient des limitations de
bande passante. En raison de la nature
statique de la gestion de la bande passante
sur l'infrastructure en place, qui avait
été conçue pour l'accès GIA, puis pour
Employee Hotspot, la conception initiale
n'a pas permis de gérer dynamiquement
les exigences en matière de bande
passante de l'augmentation prévisible de
l'utilisation des appareils personnels.
• Agilité. La mise en ligne de nouveaux sites
avec le modèle initial était chronophage,
car elle nécessitait l'installation
d'une nouvelle infrastructure réseau
dédiée à l'accès Internet sur site.
• Budget. L'équipement réseau sur
quelque 120 sites était proche de sa
fin de vie, ce qui impliquait un nouvel
investissement. Nous nous sommes
efforcés de ne pas générer de coûts
supplémentaires dans la mesure du possible.
VLAN avec tunnel GRE
(Generic Routing Encapsulation)
Zone démilitarisée
Internet
Routeur
du FAI
Routeur du
concentrateur
Réseau
d'entreprise
SSID
d'Employee Hotspot
Routeur de
site
dédié
SSID =
Service Set Identification (identifiant réseau)
Figure 1. La mise en œuvre initiale du réseau Employee Hotspot isolait le trafic des hotspots au moyen de la technologie VLAN et de routeurs sur site dédiés.
www.intel.com/IT 3
Livre blanc IT@Intel Transformer le hotspot pour employés itinérants en cohérence avec la consumérisation de l'informatique
Nous avons examiné chacun de ces domaines
en cherchant des possibilités d'amélioration.
Nous avons immédiatement traité les défis
de sécurité et de confort d'utilisation. D'autre
part, pour surmonter les défis en termes
d'évolutivité, d'agilité et de coûts, nous sommes
en train de revoir la conception et préparons
Employee Hotspot 2.0 (voir plus bas).
Comptes Employee Hotspot
70 000
60 000
50 000
40 000
30 000
20 000
10 000
0
Q4 Q1
2011
Q2 Q3
2012
Q4
Q1
Q2 Q3
2013
Q4
Figure 2. Le nombre de comptes Employee
Hotspot a augmenté de façon significative de
2011 à 2013.
Le processus d'authentification a-t-il été
amélioré avec 802.1x ?
Oui,
82 %
Non,
10 %
8%
N'utilisaient pas l'ancienne méthode
Figure 3. 82 % des utilisateurs interrogés lors
de la deuxième enquête préféraient la nouvelle
expérience d'authentification.
4 www.intel.com/IT
EMPLOYEE HOTSPOT 1.0 – AMÉLIORATIONS DE
L'EXPÉRIENCE DES EMPLOYÉS
ET DE L'AUTHENTIFICATION
Nous avons cherché à améliorer le confort
d'utilisation du service Employee Hotspot
ainsi que l'expérience des employés en
général, en nous fixant comme objectif
l'augmentation des taux d'adoption et de
productivité. Pour y parvenir, nous avons
apporté plusieurs modifications à l'accès des
appareils mobiles, telles que l'amélioration
du processus de réinitialisation des mots
de passe, en le réduisant radicalement de
quelques heures à quelques minutes. Le
nouveau système de gestion de compte de
hotspot a été l'occasion de mettre en place un
portail unique d'enregistrement, d'intégration
et de gestion du cycle de vie des appareils
mobiles et des services avec abonnement.
Nous sommes également passés à
l'authentification 802.1x, une norme IEEE
(Institute of Electrical and Electronics
Engineers) de contrôle d'accès réseau en
fonction du port, car elle inclut un mécanisme
d'authentification des appareils qui doivent
se connecter à un réseau local ou étendu. Le
fait d'avoir remplacé l'authentification Web
par une authentification 802.1x a permis
aux employés de conserver leurs identifiants
dans un profil Wi-Fi sur chaque appareil
enregistré et de bénéficier d'une connexion
automatique partout dans l'entreprise.
Après avoir apporté ces modifications, nous
avons mené une étude de satisfaction et
reçu des retours très positifs. Nous avons
également constaté une augmentation
de l'adoption, comme indiqué dans la
Figure 2. Plus de 93 % des personnes
interrogées ont indiqué qu'elles souhaitaient
poursuivre l'utilisation du service. Nous avons
également déterminé qu'il n'y aurait pas
d'impact négatif sur l'infrastructure sans fil
existante et que la charge réseau dédiée
resterait dans des limites acceptables.
Un deuxième questionnaire a donné les
résultats suivants :
• Plus de 95 % des personnes interrogées
souhaitent poursuivre l'utilisation du service.
• 82 % des personnes interrogées préfèrent
la nouvelle expérience d'authentification,
comme illustré par la Figure 3.
• Moins de 1 % des appareils, le
plus souvent des liseuses, n'ont
pas pu être pris en charge.
Ces résultats prometteurs laissaient
entendre que nous étions sur la bonne
voie et que les employés comprenaient
l'intérêt du service de hotspot.
Modèles d'utilisation
émergents
Alors que la croissance de l'utilisation des
appareils personnels 2 en 1 et des tablettes
complémentaires se poursuit, pour accéder
aussi bien aux données de l'entreprise que
personnelles, nous pensons que le service
Employee Hotspot sera de plus en plus
sollicité. Tout en apportant des améliorations
pour répondre aux défis opérationnels
d'évolutivité, d'agilité et de maîtrise des coûts
définis ci-dessus, nous avons identifié les
modèles d'utilisation émergents suivants :
• Plusieurs appareils par employé. Le
nombre moyen d'appareils par employé
est passé de 1,1 à 1,4 depuis 2010, et
cette tendance a toutes les chances de
se confirmer. Les employés souhaitent
pouvoir ajouter, remplacer et gérer
facilement leurs appareils, ce qui implique
que nous devons assurer la sécurité du
réseau en conséquence. La capacité du
réseau doit s'adapter à la demande et
s'accompagner de processus robustes
de gestion et d'authentification.
• Appareils personnels utilisés à des fins
professionnelles. L'utilisation d'appareils
personnels pour accéder à des données
professionnelles, notamment les outils
de collaboration, les calendriers, les
applications vocales et vidéo, présente
un avantage direct pour l'entreprise du
fait de l'amélioration de la productivité.
Actuellement, ces applications sont
accessibles sur Internet en passant par la
zone démilitarisée, ce qui n'est pas aussi
efficace que le service Employee Hotspot.
Transformer le hotspot pour employés itinérants en cohérence avec la consumérisation de l'informatique Livre blanc IT@Intel
• Applications de nouvelle génération
pour les appareils personnels. Nous
pensons que les appareils de nouvelle
génération, tels que les tablettes et
les appareils 2 en 1 autoriseront des
connexions exploitant entièrement la
bande passante, contrairement au modèle
de fonctionnement hors connexion des
smartphones, avec synchronisation a
posteriori des données. Le service Employee
Hotspot doit être en mesure d'évoluer de
façon dynamique afin d'absorber de façon
dynamique les pics d'utilisation de la bande
passante dans ce scénario et ce, sans
perturber le trafic ordinaire de l'entreprise.
Ces modèles d'utilisation émergents nous
amèneront à faire évoluer l'architecture.
ALIGNEMENT DE NOTRE
RÉSEAU WI-FI EMPLOYEE
HOTSPOT SUR LES
TENDANCES BYOD
Alors que la demande de réseau BYOD
continue à progresser, nous devons faire
évoluer nos services réseau. Nous avons
développé une architecture réseau afin
de mettre en place des fonctionnalités
réseau facilitant toujours plus le travail
des employés, permettant de faire face
à la nouvelle vague de consumérisation
et de maîtriser les coûts.
Sur la base des modèles d'utilisation
émergents, nous avons évalué les
possibilités de recyclage des ressources
et des équipements de l'infrastructure
réseau actuelle. Comme pour nos
déploiements précédents, l'utilisation d'un
réseau superposé s'est révélée être la
meilleure approche pour maîtriser les coûts.
Notre nouvelle conception, comme son
prédécesseur, repose sur l'infrastructure
WAN en place. Cependant, la nouvelle
conception ne nécessite aucun routeur
dédié, ce qui nous apporte comme avantage
supplémentaire le déploiement rapide de
nouveaux sites et de bureaux extérieurs.
Réseau Wi-Fi Employee
Hotspot 2.0
Nous sommes en train de mettre en œuvre
une nouvelle conception qui fusionne les
services GIA et Employee Hotspot avec
l'infrastructure LAN/WAN existante au
moyen d'un réseau superposé. La nouvelle
technologie de routage et de transfert
permet d'exploiter les routeurs LAN et WAN
des campus, et de supprimer les routeurs
de site dédiés qui géraient l'accès GIA et le
réseau Employee Hotspot 1.0. La Figure 4
illustre la technologie de superposition.
Cette approche présente des avantages
significatifs, notamment :
• Réduction des coûts. L'exploitation
de notre LAN/WAN privé et hiérarchisé
évite d'avoir à installer du matériel
spécialisé sur chaque site.
• Ajout rapide de nouveaux sites.
Nous sommes en mesure de mettre de
nouveaux sites internationaux en ligne
beaucoup plus rapidement dans la mesure
où aucun nouveau routeur n'est requis.
• Amélioration de la sécurité. Nous
pouvons améliorer la sécurité et le modèle
d'isolation avec la technologie qui isole
les instances de routage du réseau. Les
fournisseurs de services réseau et Cloud
ont déjà généralisé cette technologie.
• Résilience accrue. Nous utilisons des
voies doubles depuis chaque site et vers
deux zones démilitarisées, ce qui assure
un basculement plus rapide si l'un des
concentrateurs de zone démilitarisée ou
point de sortie Internet tombe en panne.
Les deux sections suivantes abordent
plus en détail l'architecture de la solution
et notre approche de la sécurité.
Routeurs de
campus existants
Site dans WAN Zone 1
Concentrateur zone
démilitarisée A
Hotspot
VRF
Routeur du
concentrateur A
Internet
Réseau VRF superposé
Routeur
du FAI
Réseau
d'entreprise
Site dans WAN Zone 2
Hotspot
VRF
Concentrateur zone
démilitarisée B
Routeur du
concentrateur B
Routeurs de campus
existants
Figure 4. La topologie du réseau superposé de routage et transfert virtuels (VRF) utilise deux voies vers deux zones démilitarisées (DMZ), ce qui
augmente la résilience.
www.intel.com/IT 5
Livre blanc IT@Intel Transformer le hotspot pour employés itinérants en cohérence avec la consumérisation de l'informatique
ARCHITECTURE
La nouvelle architecture s'appuie sur la
technologie de routage et transfert virtuel
(VRF) pour superposer le réseau de hotspots
sur les réseaux LAN et WAN, ce qui évite
d'avoir à utiliser des routeurs dédiés. La
technologie VRF repose sur IP (Internet
Protocol) et autorise la coexistence de
plusieurs instances d'une table de routage sur
un même routeur au même moment. Cette
approche a comme avantage supplémentaire
de renforcer la sécurité en assurant une
isolation complète des instances de routage,
ce qui est comparable à la virtualisation
d'un serveur de datacenter pour la prise en
charge par un serveur unique de plusieurs
machines virtuelles. En exécutant plusieurs
instances de VRF sur les routeurs WAN et
LAN, nous prenons en charge les services
GIA et Employee Hotspot tout en préservant
l'isolation sécurisée des réseaux.
De même, cette approche s'appuie sur
l'infrastructure existante pour prendre en
charge le nouveau service de transport réseau.
La nouvelle conception inclut également la
réutilisation des serveurs DHCP du campus
pour la gestion de l'adressage IP pour les
services hébergés en externe et en interne.
SÉCURITÉ
La nouvelle conception permet d'accéder
en toute sécurité aux services hébergés
en interne, ce qui augmente la productivité
Ressources
Application des
règles de la
passerelle
Authentification,
autorisation et
comptabilisation
(protocoles)
Réseau
d'accès
• Passerelles de couche Application. Le
trafic entrant est filtré avant d'accéder
aux services exposés avec un contrôle
d'accès plus granulaire au moyen de
passerelles orientées applications, telles
que les pare-feu des applications Web, les
passerelles de sécurité des services Web
et les portails Web de connectivité VPN.
CONCLUSION
• Proxy Cloud. Afin de prendre en charge
plus d'appareils et d'applications mobilisant
fortement la bande passante, le filtrage
avec des proxy Cloud permet de faire
évoluer les services en fonction de la
demande. Il permet également de mettre en
œuvre des services de hotspot sur les sites
qui ne peuvent pas renvoyer le trafic vers
la zone démilitarisée. Dans ce cas, le trafic
du hotspot est transféré vers le service
de proxy Cloud au moyen d'un FAI local.
• Sécurité mobile. L'administrabilité des
appareils et applications mobiles et les
fonctionnalités de sécurité d'un modèle
de confiance granulaire définissent un
ensemble de restrictions de plus en
plus contraignantes en fonction de la
personne demandant l'accès, de l'appareil
utilisé, du site et de la date/heure.
Accès limité à l'Intranet
E-mail, calendrier, contacts et applications spécifiques
Email
Voix, données, Web, VPN
Authentification
utilisateur
Le réseau Wi-Fi Employee Hotspot, qui
était à l’origine un simple avantage
pour les employés, a créé une valeur
considérable pour l’entreprise, a renforcé
la productivité et a réduit les coûts.
Du simple accès GIA, qui améliorait la
productivité des visiteurs et des prestataires
intervenant sur site, à l'introduction du
service Employee Hotspot, qui apporte
aux employés une connectivité Internet
permanente sur des appareils mobiles, nous
avons constamment redéfini notre architecture
réseau pour répondre à la demande.
Le nouveau réseau VRF superposé améliore
l'expérience des employés qui accèdent aux
services depuis des appareils personnels,
contribuant ainsi à la sécurité et l'évolutivité,
ce qui nous permet de fournir des services
professionnels plus larges, qui renforcent encore
plus la productivité des employés. L'utilisation
de réseaux superposés nous a également
permis de réutiliser le matériel réseau existant
et de maintenir les coûts au strict minimum.
Accès à l'Intranet
Voix, données, Web, VPN
Passerelle
d'applications
Internet
Proxy
Contrôle
des accès
Réseau sans fil de
campus
Appareils non gérés
Figure 5. L'architecture d'accès modulaire assure un accès sécurisé aux données de l'entreprise.
6 www.intel.com/IT
• Voix sur IP (VoIP) et collaboration. Les
améliorations prévues incluent l'activation
de services VoIP et des solutions de
collaboration telles que la visioconférence
sur des appareils personnels.
des employés sur leurs appareils personnels.
Un système modulaire et centralisé de
gestion des événements de sécurité
permet à notre équipe opérationnelle de
détecter et traiter les incidents de sécurité
plus rapidement (voir la Figure 5).
Audio et visioconférence
Choix
de règles
Transformer le hotspot pour employés itinérants en cohérence avec la consumérisation de l'informatique Livre blanc IT@Intel
La nouvelle conception et le pilote atteignent
les phases finales, et nous assurerons la
transition de l'accès GIA et du réseau d'accès
Employee Hotspot sur le réseau superposé à
l'échelle de l'entreprise. Nous pensons pouvoir
y parvenir avant la fin de l'année. Au cours
des mois à venir, nous mettrons en place des
services vocaux et vidéo de collaboration
sur le nouveau réseau Employee Hotspot,
ce qui permettra aux employés d'utiliser
l'appareil de leur choix pour une plus vaste
gamme d'applications professionnelles.
Alors que notre stratégie évolue afin
de prendre en compte les réalités de la
consumérisation de l'informatique, nous
prévoyons de déterminer si d'autres services
du réseau de l'entreprise et d'Employee
Hotspot peuvent être migrés vers un
réseau superposé convergé afin de réduire
encore plus les coûts d'infrastructure. Nous
continuerons à examiner les opportunités
pour offrir davantage d'accès aux applications
professionnelles et aux données, augmentant
ainsi la productivité des employés, ainsi que
les possibilités d'amélioration générale de
la sécurité et de la souplesse d'utilisation.
INFORMATIONS
COMPLÉMENTAIRES
Visitez www.intel.com/IT pour tout
contenu sur les rubriques connexes :
• « A Roadmap for Connecting Smart
Phones to the Intel Wi-Fi* Network »
(Feuille de route pour la connexion des
smartphones au réseau Wi-Fi* d'Intel)
• « Nine Things You Should Never Do While
on a Wi-Fi Hotspot » (Neuf choses à ne
jamais faire à partir d'un hotspot Wi-Fi)
Pour plus d'informations sur les meilleures pratiques du
département informatique d'Intel, rendez-vous sur le site
www.intel.com/IT.
CONTRIBUTEURS
Todd Butler
Responsable de gamme
Chandra Chitneni
Ingénieur réseau
Neil Doran
Responsable de programme
Dick Freeman
Ingénieur réseau senior
Avigail Garti
Ingénieur réseau
Kevin Heine
Ingénieur réseau senior
Chris Steenkolk
Ingénieur réseau
ACRONYMES
BYOD
b ring your own device
(apportez votre propre
appareil)
DMZ
demilitarized zone
(zone démilitarisée)
FSE
f ield sales engineers
(techniciens externes)
GIA
uest internet access
g
(accès Internet invité)
IP
Internet protocol
(protocole Internet)
FAI
fournisseur d'accès Internet
SSID
s ervice set identification
(identifiant réseau)
VoIP
voice over IP (voix sur IP)
VRF
v irtual routing and forwarding
(routage et transfert virtuels)
LES INFORMATIONS FOURNIES DANS CE DOCUMENT SONT DE NATURE GÉNÉRALE ET N'ONT PAS POUR INTENTION DE DONNER DES DIRECTIVES PRÉCISES.
LES RECOMMANDATIONS (CE QUI INCLUT LES ÉCONOMIES POTENTIELLES) REPOSENT SUR L'EXPÉRIENCE D'INTEL ET SONT DES ESTIMATIONS. INTEL NE
GARANTIT D'AUCUNE MANIÈRE QUE CES GAINS SONT RÉALISABLES DANS D'AUTRES ORGANISATIONS.
LES INFORMATIONS CONTENUES DANS CE DOCUMENT CONCERNENT LES PRODUITS INTEL®. CELUI-CI N'ACCORDE AUCUNE LICENCE EXPRESSE, IMPLICITE,
PAR ESTOPPEL OU AUTRE SUR UN DROIT QUELCONQUE DE PROPRIÉTÉ INTELLECTUELLE. À L'EXCEPTION DES DISPOSITIONS PRÉVUES AUX CONDITIONS
GÉNÉRALES DE VENTE D'INTEL POUR LESDITS PRODUITS, INTEL DÉCLINE TOUTE RESPONSABILITÉ ET EXCLUT TOUTE GARANTIE EXPLICITE OU IMPLICITE
SE RAPPORTANT À LEUR VENTE OU À LEUR UTILISATION. INTEL DÉCLINE NOTAMMENT TOUTE RESPONSABILITÉ ET TOUTE GARANTIE CONCERNANT LEUR
ADÉQUATION À UN USAGE PARTICULIER, LEUR QUALITÉ LOYALE ET MARCHANDE, LA CONTREFAÇON DE TOUT BREVET, LA VIOLATION DE DROITS D'AUTEUR
OU D'AUTRES DROITS DE PROPRIÉTÉ INTELLECTUELLE.
Intel Centrino, Intel, le logo Intel, Look Inside et le logo Look Inside sont des marques commerciales d'Intel Corporation aux États-Unis et/ou dans d'autres pays.
* Les autres noms et marques peuvent être revendiqués comme la propriété de tiers.
Copyright
2014 Intel Corporation. Tous droits réservés.Imprimé aux États-Unis
Pensez au recyclage 0914/JGLU/KC/PDF
330108-001FR