anti-virus / protection des postes de travail et des serveurs de fichiers
Transcription
anti-virus / protection des postes de travail et des serveurs de fichiers
ANTI-VIRUS / PROTECTION DES POSTES DE TRAVAIL ET DES SERVEURS DE FICHIERS Description du produit 1 : SYMANTEC ENDPOINT PROTECTION CAP SYNERGY – 1 Voie Felix EBOUE – 94000 CRETEIL I.1/NOM DU PRODUIT Editeur : SYMANTEC Nom du produit : SYMANTEC ENDPOINT PROTECTION Disponibilité du produit en version française : OUI Perspectives de développement du produit au cours des 4 prochaines années ainsi que d'adaptation aux nouveaux risques : Des perspectives à long terme peuvent être présentées sous un accord de clause de confidentialité pour des raisons stratégiques. Ce qu’il est possible d’annoncer est la stratégie de Symantec d’unifier un maximum les consoles d’administrations et de reporting pour avoir une vision et une action globales de la sécurité de son parc en liant aussi à cela la problématique de management de parc. Un parc bien sécurisé passe avant tout par la prise en compte du bon management de parc associé. Par ailleurs, il sera proposé courant 2011, sous réserve de modification de date de disponibilité, une console permettant l’agrégation des logs et du reporting et permettant le management de plusieurs solutions Symantec (solution de protection des terminaux, de protection des flux Web/SMTP, prévention de fuite d’information, management des terminaux…) Indiquez, si de nouvelles versions du logiciel seront fournies dans le cadre du présent marché si de nouvelles fonctionnalités sont mises au point ou si de nouveaux systèmes d’exploitation apparaissent : Oui, dans le cadre du présent marché, si de nouvelles versions/fonctionnalités et supports d’OS apparaissent, ces derniers seront fournis Plates-formes supportées : Les plateformes supportées sont les systèmes d’exploitations de type Windows (Windows 2000, 2003, 2008, XP, Vista, Seven), VMware, Linux (les principales distributions rencontrées en entreprise) et Mac (10.4 – 10.6) La liste complète de ces plateformes supportées est disponible à partir des liens suivants : http://www.symantec.com/docs/TECH131642 http://www.symantec.com/docs/TECH101598 Configuration minimum requise par plate-forme: La configuration minimum requise pour la plateforme est listée à partir des liens suivants : http://www.symantec.com/docs/TECH131642 http://www.symantec.com/docs/TECH101598 Fonctionnalités : Symantec Endpoint Protection 11 (pour Windows ) inclut les fonctionnalités suivantes : Antivirus Antispyware Analyse Pro Active (Proactive Threat Protection) Coupe feu IDS Contrôle des applications et des périphériques. Pour les systèmes d’exploitation autres que Windows (Linux et Mac) et définis dans la liste des plateformes supportées et listées précédemment, seule la fonction de protection antivirale est disponible pour le moment, avec les solutions Symantec Endpoint Protection for Mac et Symantec Antivirus pour Linux. Modalités de déploiement : Le déploiement peut s’effectuer à partir de la console symantec ou à travers de tout autre outil de déploiement existant. Certifications par des organismes et revues reconnus : Les organismes les plus actifs sur le secteur de la sécurité logicielle certifient et référencent pour la très grande majorité les solutions Symantec, éditeur le plus répandu en entreprise dans le secteur de la sécurité logicielle. On peut citer par exemple comme noms d’organismes connus: VB100, West Coast Labs, Tolly Group, AV Comparative… et comme noms de revues : SC Magazine Best Buy, Channel Insider, Digitally Daily, China Information World, PC magazine… I.2/OUTILS D’ADMINISTRATION DU PRODUIT 1 : Outils de télédistribution : Plusieurs possibilités de télédistributions sont disponibles avec la solution Symantec Endpoint Protection. A distance, depuis la console SEPM (Symantec Endpoint Protection Manager) ou via des politiques GPO depuis un AD liées à des profils d'ordinateurs, ou des solutions de déploiement tierces ou à partir du Framework Altiris inclus avec la solution Symantec Endpoint Protection, qui propose notamment le module gratuit SEPIC (Symantec Endpoint Protection Integrated Component). Outils de management des configurations : L’infrastructure de configuration et d’administration de la solution Symantec™ Endpoint Protection sera assurée par un ou un ensemble de serveurs centralisés. Les serveurs hébergent la console de supervision nommée Symantec™ «Endpoint Protection Manager».L’accès à cette console peut s’effectuer en mode « full web », à partir d’un simple explorateur web. Il est possible de définir plusieurs administrateurs disposant chacun de rôles spécifiques. Chaque compte administrateur peut disposer de droits et de vues spécifiques. Figure 1: Profils d’utilisateurs/administrateur L’outil de reporting offre la possibilité de programmer les rapports pour qu’ils soient générés à des dates/heures précises. Cet outil de reporting permet notamment de vérifier la bonne application des configurations réalisées à partir de la console. Figure 2: Exemple de reporting. La solution est conçue pour ne pas demander trop de ressources lorsqu’un rapport est demandé par l’administrateur. Si les volumes à traiter deviennent trop importants, il est possible de dédier un serveur «Endpoint Protection Manager» à cette tâche. Les rapports peuvent être exportés au format « html ». via une mailing liste envoi en ftp et partage Microsoft® publication sur un serveur web dédié (accessible via un login mot de passe) La distribution des rapports peut être faite par email via une liste d’adresses email. Outils de gestion des politiques de sécurité : Au travers de la console d’administration, un administrateur peut : Définir des politiques : o Antivirus et antiSpyware o FireWall Personnel o Détection d’intrusion o Controle d’application et de périphériques (Clés USB, Disk dur Externe, Lecteur de CD, …) o De mises à jour de contenu Gérer et organiser les différents clients par groupes Définir des administrateurs avec de droits différents et déléguer l’administration des groupes de clients à ces administrateurs Générer et visualiser des rapports De manière à faciliter la création des politiques, ces politiques peuvent s’appuyer sur des composants réutilisables : Scan périodiques pour l’antivirus Liste d’empreinte de fichier Liste ou groupe de ports Liste ou groupe de serveurs Adaptateurs réseau Identifiant de périphériques. Configuration minimum requise du serveur (OS du serveur, type de BDD etc…) : La configuration minimum du serveur hébergeant Symantec Endpoint Manager et la console est décrite au lien suivant : http://www.symantec.com/docs/TECH131642 Nombre de clients maximum/conseillés gérés par le serveur centralisé : Il est conseillé, par serveur centralisé, de ne pas dépasser comme nombre celui de 70 000 agents. Il est possible pour information de rattacher plusieurs SEPM à une même base de données et de réaliser une réplication de ces bases de données réparties sur plusieurs sites distants si nécessaire. I.3/INFORMATIONS GENERALES DU PRODUIT 1 : Précisez la compatibilité de la solution avec les différentes versions des systèmes d’exploitation, Linux, Macintosh et Windows (postes de travail et serveurs de fichiers) : La solution Symantec proposée est compatible avec les systèmes d’exploitation Linux, Macintosh et Windows (postes de travail et serveurs de fichiers) en suivant les pré-requis indiqués à partir des liens suivants : http://www.symantec.com/docs/TECH131642 http://www.symantec.com/docs/TECH101598 En cas de connaissance d'apparition d'outil d'agression, sans parade connue, décrivez les modalités de transmission d’alertes mises en place pour informer vos clients : Il est possible gratuitement depuis le site de SecurityResponse, de récupérer les informations des dernières menaces/failles référencées par notre centre de recherches, à partir des flux RSS mis à disposition depuis le site web publique Symantec.com, en complément des informations mises à jours continuellement sur le site SecurityResponse.Symantec.com Délai de réparation après une alerte de vulnérabilité du moteur avec niveau de garantie de celui-ci : Après une éventuelle alerte de vulnérabilité de moteur viral, les moyens les plus efficaces et les plus rapides possibles, en vérifiant la qualité de ces corrections, sont mis en œuvre par les centres de sécurités Symantec. Aucun délai de garantie ne peut en revanche être appliqué à ce type d’action. Conditions et fréquence des mises à jour des signatures : Avec les paramètres de configurations par défaut de la solution, en moyenne, trois mises à jour quotidiennes sont réalisées. Il est possible de personnaliser la fréquence (suivant des critères quotidiens, hebdomadaire, mensuels…) de mises à jour des signatures, en effectuant leurs mises à jours une fois ou plusieurs fois par heure si nécessaire, par exemple, en cas de crise virale. Précisez le poids moyen des mises à jour en méga-octets : En moyenne, par opération de mises à jour, étant donné que celle-ci s’effectue en mode incrémental, 250300 Ko sont à compter en moyenne. Il existe plusieurs méthodes de mises à jours supportées par la solution afin d’optimiser la propagation de ces dernières à travers un réseau comportant de nombreux sites distants, tout en préservant la bande passante disponible. Toutes ces méthodes décrites ci-dessous sont incluses avec la solution d’un point de vue licensing et plusieurs méthodes de mises à jour peuvent être utilisées si nécessaire en parallèle sur un même poste. En proposant ces différentes méthodes de mises à jour, la solution Symantec Endpoint Protection a ainsi pour avantage de prendre en compte de nombreux cas différent d’architecture réseau , en optimisant les modes de mises à jours en fonction du site distant à mettre à jour, en fonction de la bande passante disponible, en fonction de la fréquence de mise à jour exigée et en fonction du nomadisme de certains postes qui doivent utiliser la meilleure méthode de mise à jour en fonction de leur emplacement de connexion. Les méthodes disponibles sont les suivantes : Symantec Live Update Le client se connecte sur un serveur Symantec sur Internet pour se mettre à jour. Il est possible via, le mode certifié, de mettre à jour ces définitions 3 fois par jour. En mode Rapid Release, plusieurs définitions par heure peuvent être téléchargées suivant la criticité des attaques traitées par les centres de recherche Symantec. Serveur Live Update interne Le mode LiveUpdate Interne cela permet de n’utiliser que des ressources de connexion internes de type FTP, HTTP ou lien UNC où un partage de mises à jour est disponibles pour tous les agents pointant vers ce service. PUSH depuis le serveur SEPM Le serveur SEPM gère automatiquement le déploiement des mises à jour sur les clients connectés auprès de leur manager. Logiciel tierce de distribution Mise à jour par un logiciel de télédistribution Intelligent Updater Fichier .exe contenant les définitions à lancer sur le poste client Group Update provider (GUP) Poste client SEP dépositaire de signatures. Il est possible par ailleurs de s’appuyer sur la méthode GUP (Group Update Provider). Cette méthode permet de s’appuyer sur un simple agent de protection SEP (Symantec Endpoint Protection) qui sera le point de référence d’un site distant pour que les agents de protection n’utilisent que les ressources locales du site pour récupérer leurs mises à jour à partir de ce poste déclaré en tant que GUP. La déclaration de ce poste ayant pour rôle celui de GUP peut s’effecteur depuis la console SEPM et n’exige aucun services serveur à installer sur le poste en question. Pour information, on peut retrouver dans les bases de connaissances Symantec deux liens permettant de décrire la mise en place de ces différentes méthodes de mises à jour exposées ci-dessus. http://www.symantec.com/docs/TECH102467 (FR) http://www.symantec.com/docs/TECH102467 (US) La figure ci-dessous représente les différents mécanismes disponibles. Figure : mise à jour des clients Distribution des signatures des nomades Pour la distribution des signatures pour les nomades, SEP 11 est capable de détecter l’emplacement du poste nomade (à la maison, dans l’entreprise, connecté en VPN, etc…). En fonction de l’emplacement, une politique de mise à jour adéquate sera appliquée. Par exemple, la mise à jour se fera sur le site web Symantec lorsque le poste se situe à la maison. Dans l’entreprise, il se mettra à jour depuis le serveur de management SEPM. Ce fonctionnement est automatique et configuré par l’administrateur. De même que les signatures, toutes les règles de sécurité (firewall, HIPS, antivirus…) peuvent être spécifiques suivant l’emplacement de connexion du poste nomade en question. Par exemple : il est possible d’autoriser le trafic sortant uniquement par le VPN lorsque l’utilisateur est à la maison. Ci-dessous le lien qui explique de manière complète les différents types de modèles de signatures et fréquences associées : http://www.symantec.com/business/popup.jsp?popupid=sr_help_popup Vous engagez-vous, en cas de nouveaux types d’agression apparaissant durant la durée du contrat, à nous fournir les parades logicielles correspondantes ? Les parades logicielles correspondantes à des nouveaux types d’agression sont mises à disposition par les centres de recherche et de sécurité Symantec le plus rapidement possible. Ces parades logicielles peuvent être prises en compte dans le cadre des mises à jours des solutions et dans le cadre aussi de l’activation et du paramétrage des briques de sécurités incluses avec la solution Symantec Endpoint protection. Le but de l’activation de briques proactives de sécurité est de lutter contre les attaques innovantes de types Conficker/Downadup. Ces différentes briques de sécurité, complètent les actions effectuées par un antivirus seul, en permettent de détecter des attaques inconnues ciblant une faille connue et permet d’éviter les phénomènes de sur-contaminations de réseaux locaux/voisinages réseaux, et cela, grâce à la fonction IDS. Il est aussi possible d’éviter les sources infections, provenant des média amovibles (par exemple, les clefs USB) à travers l’auto-exécution de fichiers représentant potentiellement une menace pour les postes (fichiers de type .EXE, .BAT, autorun.INF…), et cela, grâce au contrôle de périphérique et contrôle d’application. La brique optionnelle Symantec NAC permet quant à elle de contrôler la conformité d’un poste avant sa connexion au réseau de production en vérifiant par exemple la présence de définitions antivirales récentes et en vérifiant que les patches de sécurité critiques soient bien déployés sur les postes avant connexion de ces derniers. Ce contrôle de conformité est par exemple utile dans le contexte d’une infection telle Conficker/Downadup, afin de vérifier que le patch Microsoft de sécurités liés au services RPC-DCOM (cf. security bulletin MS08-067), soit bien actif sur les terminaux Une opération de mise en quarantaine puis une opération de correction (par exemple, remise à jours en patch/définitions antivirales) pourront être réalisées de manière automatique si nécessaire. Les coûts proposés sont : > sans distinguer postes nomades, stations de travail et serveurs de fichiers dans le décompte. > sans différencier les plates-formes, à raison d’une licence par machine.