L`ESSEC fait confiance aux pare-feu nouvelle génération de Palo
Transcription
L`ESSEC fait confiance aux pare-feu nouvelle génération de Palo
PA L O A LT O N E T W O R K S : C u s t o m e r P r o f i l e L’ESSEC fait confiance aux pare-feu nouvelle génération de Palo Alto Networks® pour sa sécurité CONTEXTE L’ESSEC, Ecole Supérieure des Sciences Economiques et Commerciales, fondée en 1907, est un acteur majeur de l’enseignement de la gestion sur la scène mondiale. Avec 4400 étudiants, une large gamme de programmes en management, des partenariats avec les plus grandes universités dans le monde, un réseau de 40 000 diplômés, un corps professoral composé de 141 professeurs permanents, reconnus pour la qualité et l’influence de leurs recherches, l’ESSEC perpétue une tradition d’excellence académique et cultive un esprit d’ouverture au service des activités économiques, sociales et de l’innovation. Le Groupe ESSEC bénéficie de 3 sites de formation : le campus de Cergy-Pontoise (y compris 4 résidences de 1 200 chambres), le site de formation continue basé au CNIT (La Défense) et le campus de Singapour qui accueille chaque année plus de 200 étudiants de différents programmes pour une année ou un semestre. Afin d’encadrer au mieux l’ensemble de ses élèves, le groupe s’appuie sur une équipe de près de 600 collaborateurs incluant personnels administratif et enseignant. L’ESSEC a depuis longtemps intégré le web à son fonctionnement, et propose des accès à ses différents publics : les services administratifs bien sûr, mais également les enseignants et les élèves dans le cadre pédagogique et pour les usages personnels des étudiants hors campus. La connexion s’effectue au travers du réseau PACRRET (Plate-forme de l’Agglomération de Cergy-Pontoise pour le Réseau de Recherche de l’Enseignement et de la Technologie) qui est lui-même mutualisé avec la plaque régionale du réseau RENATER (Réseau national de télécommunications pour la technologie, l’enseignement et la recherche). Compte tenu d’usages de nature personnelle et de la bande passante nécessaire, les étudiants des résidences sont orientés vers le réseau LEVEL3. Aujourd’hui, le réseau de l’ESSEC est divisé en 3 grandes briques. La première est le réseau administratif câblé dont environ 20 % du trafic doit provenir d’internet, le reste étant dédié à des applications internes. La seconde est le réseau câblé en libre-service auquel est connecté le parc de machines équipées de logiciels pédagogiques et pour lequel 60 à 70% du trafic provient d’internet. La dernière brique est constituée d’un réseau accessible via des prises en libre-service ou par un accès WiFi. Sur ce dernier, les étudiants ont accès à internet et accèdent notamment à leur messagerie ESSEC. De fait la quasi-totalité du trafic est liée à internet. ENTREPRISE: ESSEC, Ecole Supérieure des Sciences Economiques et Commerciales SECTEUR: Education CHALLENGE Mise en place d’une nouvelle stratégie de sécurisation du réseau de l’ESSEC afin de faire face à l’explosion de l’usage des outils Internet au sein du réseau. SOLUTION Création d’un réseau ouvert mais sécurisé avec filtrage des accès et blocage des applications et sites Internet selon l’utilisateur. Configuration mise en place : Deux pare-feu PA-4020 filtrant et auditant tous les accès utilisateurs du campus, et deux pare-feu PA-2050 au niveau des résidences. Le système Panorama permet l’administration centralisée des pare-feu, via une interface web. RÉSULTATS: •Un réseau ouvert mais sécurisé. •Administration des pare-feu centralisée et simplifiée. •Un seul produit Palo Alto Networks remplace 3 solutions précédentes parmi lesquelles un proxy, un anti-virus et une solution de filtrage d’URL, soit une économie de 30% par rapport aux solutions précédentes. PA L O A LT O N E T W O R K S : C u s t o m e r P r o f i l e CHALLENGES L’utilisation d’internet a fortement évolué et progressé au cours de ces dix dernières années au sein de l’ESSEC, au point de devenir un outil indispensable à tous. Par exemple, au niveau de la messagerie, on comptabilisait environ 1 million de messages échangés en 2 000 contre près de 28 millions en 2011 soit un trafic d’environ 400 Mbps. « Aujourd’hui, notamment du fait de la « consumérisation » - chacun vient avec ses outils - et des pratiques réseaux, la stratégie a évolué et est totalement différente. Nous permettons aux gens de faire ce qu’ils ont envie de faire tout en respectant une qualité de service - nous laissons passer tout ce qui est légal et nous hiérarchisons les utilisations en fonction des besoins.Nous avons évolué d’un cloisonnement à un décloisonnement du réseau maîtrisé. » Patrick Blum, en charge de la Sécurité et de la Conformité des SI de l’ESSEC PAGE 2 La mise en place d’une stratégie de sécurité a été immédiatement nécessaire et celle mise en œuvre dans les années 2 000 consistait en un cloisonnement fonctionnant sur le principe suivant : tout ce qui n’est pas autorisé sur le réseau est interdit (jeux en ligne, chat, vidéo, etc.). « Aujourd’hui, notamment du fait de la « consumérisation » - chacun vient avec ses outils - et des pratiques réseaux, la stratégie a évolué et est totalement différente », précise Patrick Blum, en charge de la Sécurité et de la Conformité des SI de l’ESSEC. « Nous permettons aux gens de faire ce qu’ils ont envie de faire tout en respectant une qualité de service - nous laissons passer tout ce qui est légal et nous hiérarchisons les utilisations en fonction des besoins. Nous avons évolué d’un cloisonnement à un décloisonnement du réseau maîtrisé. » Le réseau interne est désormais ouvert mais l’ensemble des utilisateurs est considéré comme externe à ce dernier ce qui contribue à protéger le réseau contre de possibles infections. Au départ, la DSI a rencontré quelques problèmes de gestion. Les services en streaming, de visio (ex : skype), etc. imposaient d’ouvrir des flux mais cela contribuait également à créer des brèches. A l’époque cette ouverture des flux était contraire à la politique de l’ESSEC. Il a donc été décidé de créer une bulle de production entourée de pare-feu et protégeant les applications critiques. Ainsi des pare-feu protègent la bulle de production, d’autres prennent en charge la partie haute-disponibilité et les derniers procèdent au filtrage des accès sur Internet. La DSI est ainsi en mesure d’augmenter la capacité du réseau sans avoir à modifier l’infrastructure interne en termes d’équipements pour gérer la charge des flux. Concernant la configuration, on retrouve ainsi deux pare-feu PA-4020 filtrant et auditant tous les accès utilisateurs du campus, et deux pare-feu PA-2050 au niveau des résidences. PA L O A LT O N E T W O R K S : C u s t o m e r P r o f i l e « Afin d’optimiser notre recherche, nous avons établi un cahier des charges et transmis ce dernier à nos partenaires intégrateurs. C’est l’un d’eux, Telindus, qui nous a recommandé Palo Alto Networks dont les pare-feu répondaient à notre problématique de filtrage de trafic. Nous utilisons également le système de gestion centralisée de la sécurité Panorama de Palo Alto Networks qui nous permet au travers d’une interface web d’administrer nos pare-feu de nouvelle génération. Panorama agrège les informations relatives aux applications, aux utilisateurs et aux données. » Patrick Blum, en charge de la Sécurité et de RÉSULTATS En 2009, l’ESSEC était équipée d’un portail captif pour répondre à des problématiques de sécurité mais également à des obligations légales. En effet, en tant que fournisseur d’accès internet aux étudiants, la loi de lutte contre le terrorisme de 2002 impose de conserver les identifiants de connexion ainsi qu’une obligation de traçabilité des authentifications des utilisateurs à conserver durant un an. Pour répondre à cette exigence, L’ESSEC avait choisi de s’appuyer sur la solution d’un constructeur qui a disparu depuis au niveau européen. La DSI s’est donc retrouvée contrainte à rechercher un nouvel acteur sur lequel s’appuyer. A cette époque, l’ESSEC n’avait pas trouvé de réponse satisfaisante auprès des acteurs français. « Afin d’optimiser notre recherche, nous avons établi un cahier des charges et transmis ce dernier à nos partenaires intégrateurs », poursuit Patrick Blum. « C’est l’un d’eux, Telindus, qui nous a recommandé Palo Alto Networks dont les pare-feu répondaient à notre problématique de filtrage de trafic. Nous utilisons également le système de gestion centralisée de la sécurité Panorama de Palo Alto Networks qui nous permet au travers d’une interface web d’administrer nos pare-feu de nouvelle génération. Panorama agrège les informations relatives aux applications, aux utilisateurs et aux données. » Ainsi, les pare-feu nouvelle génération de Palo Alto Networks, ont permis via un seul produit de remplacer 3 solutions parmi lesquelles un proxy, un anti-virus et une solution de filtrage d’URL. Grâce à Palo Alto Networks, l’ESSEC est désormais en mesure de créer des catégories de population et d’y associer certains droits et d’autoriser l’utilisation des applications en garantissant qu’elles ne serviront pas de vecteurs à des programmes malveillants. Cela permet de prendre en compte certains élèves qui sont encore mineurs par exemple. « Nous pouvons choisir parmi l’ensemble des applications référencées par les produits Palo Alto Networks celles que nous souhaitons bloquer. Nous avons donc ciblé et bloqué tout ce qui concerne les jeux d’argent, le piratage, la pornographie et tout ce qui est considéré comme inconvenant dans un cadre éducatif » termine Patrick Blum. L’installation des équipements de Palo Alto Networks a permis à la DSI de réaliser une économie d’environ 30 % par rapport aux solutions et licences précédemment en place. Aujourd’hui l’ESSEC envisage la mise en place d’un pare-feu Palo Alto Networks à Singapour ainsi que la mise à jour des pare-feu en place. la Conformité des SI de l’ESSEC Copyright ©2013, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks, the Palo Alto Networks Logo, PAN-OS, App-ID and Panorama are trademarks of Palo Alto Networks, Inc. All specifications are subject to change without notice. Main:+1.408.573.4000 Palo Alto Networks assumes no responsibility for any inaccuracies in this document Sales: +1.866.320.4788 or for any obligation to update information in this document. Palo Alto Networks Support:+1.866.898.9087 reserves the right to change, modify, transfer, or otherwise revise this publication without notice. PAN_CS_ESSEC_052413 www.paloaltonetworks.com 3300 Olcott Street Santa Clara, CA 95054 PAGE 2