sécurité adaptive trust™ d`aruba, pour une mobilité d`entreprise
Transcription
sécurité adaptive trust™ d`aruba, pour une mobilité d`entreprise
LIVRE BLANC SÉCURITÉ ADAPTIVE TRUST™ D'ARUBA, POUR UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE UTILISATION DU CONTEXTE EN TEMPS RÉEL POUR RÉDUIRE LES NOUVEAUX RISQUES D'AUJOURD'HUI TABLE DES MATIÈRES LE NOUVEAU PÉRIMÈTRE D'ENTREPRISE ÉTENDUE DES RISQUES ASSOCIÉS AU MOBILE PRÉSENTATION DE LA SÉCURITÉ ADAPTIVE TRUST™ D'ARUBA LA DIFFÉRENCE ARUBA UTILISATION DE LA SÉCURITÉ ADAPTIVE TRUST D'ARUBA POUR UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE APPAREIL BYOD ET D'ENTREPRISE SUR LE MÊME SSID 3 3 4 5 6 6 EXTENSION DES CONTRÔLES INFORMATIQUES AUX APPAREILS À DOMICILE 7 ÉVITER LA PRÉSENCE D'APPAREILS BYOD SUR LES RÉSEAUX INVITÉS 7 AUTORISATION ET CHIFFREMENT SUR LES RÉSEAUX OUVERTS RÉSUMÉ À PROPOS D'ARUBA, A HEWLETT PACKARD ENTERPRISE COMPANY 7 7 8 LIVRE BLANC SÉCURITÉ ADAPTIVE TRUST™ D'ARUBA, POUR UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE LE NOUVEAU PÉRIMÈTRE D'ENTREPRISE de données due à l'égarement des appareils est souvent Un mouvement tectonique est observé dans les réseaux citée comme un souci majeur pour les services informatiques. d'aujourd'hui. Les réseaux filaires statiques et fixes sont en Au-delà de la perte de données, il convient de tenir compte train de migrer vers un environnement ouvert et dynamique où la mobilité règne et où les utilisateurs, connus sous le nom de #GenMobile, peuvent accéder n'importe où et n'importe quand aux ressources de l'entreprise. Utilisant une variété croissante d'appareils personnels et d'applications, la #GenMobile lance un véritable défi aux services informatiques et administrateurs de sécurité en exigeant un accès plus large aux ressources de l'entreprise via les réseaux Wi-Fi et cellulaires. Pourtant, alors que les initiatives de type BYOD gagnent en popularité, de nombreuses entreprises marquent le pas en raison d'un manque de gestion de politiques. Les investissements dans la sécurité réseau continuent à se concentrer sur le renforcement des défenses de périmètres, ce qui ne répond pas aux défis posés par la mobilité. En conséquence, les entreprises ont des difficultés à sécuriser leurs données et à réduire les nouveaux risques associés à la mobilité. Les pare-feux, les systèmes IDS/IPS, les logiciels anti-virus et anti-spam, le filtrage d'URL et autres solutions de sécurité de périmètre sont efficaces contre les attaques externes. Aujourd'hui, toutefois, de nombreuses menaces proviennent de l'intérieur de l'entreprise. La mobilité remet en question la notion de périmètre fixe et les mécanismes de défense traditionnels. Les appareils intelligents pénètrent le réseau par la grande porte, d'autres facteurs lorsque vous essayez de combler les lacunes de sécurité introduites par les appareils mobiles. Ces facteurs sont, entre autres : • Les habitudes et le comportement des utilisateurs – Les utilisateurs mobiles ont la mauvaise habitude de contourner les contrôles du service informatique et d'introduire leur propre technologie dans le lieu de travail. Ils utilisent des applications non autorisées et le stockage dans le Cloud, parfois sans le savoir, et accèdent aux données sensibles des entreprises sans l'accord de ces dernières afin d'améliorer la productivité. • La perte des contrôles de données – La gestion des données dans une entreprise mobile est compliquée. Au-delà des machines et applications, les données d'entreprise incluent des dispositifs de sauvegarde hors site, les systèmes Cloud non autorisés et les fournisseurs de services externalisés qui sont utilisés par les employés. • Le renouvellement des appareils – Les nouveaux appareils dotés de contrôles de sécurité différents sont constamment remplacés, ce qui ne facilite pas la tâche du service informatique lorsqu'il s'agit d'identifier et gérer les appareils qui se trouvent sur le réseau. Les changements non autorisés ou les systèmes d'exploitation d’appareils débridés ouvre la voie à des vulnérabilités supplémentaires. • Toujours activé, toujours connecté – Les données contournent les contrôles de sécurité et se connectent sensibles sont plus que jamais exposées aux réseaux directement au réseau sans demander l'avis des services ouverts, non fiables et ad-hoc ainsi qu'aux attaques de informatiques. Dans un monde mobile, le périmètre du l'homme du milieu à mesure que les appareils mobiles réseau est partout, à n'importe quel endroit où les continuent d'utiliser n'importe quel réseau Wi-Fi disponible. utilisateurs se connectent, ce qui réduit considérablement l'efficacité des éléments de la défense mise en place. ÉTENDUE DES RISQUES ASSOCIÉS AU MOBILE Les attaques sophistiquées et persistantes d'aujourd'hui ciblent le plus petit dénominateur commun et profitent de toute faiblesse ou de tout porte d'accès non gardée. Un manque de contrôle des politiques et de visibilité sur les appareils mobiles rend les entreprises vulnérables à une variété de nouveaux risques. Les menaces associées aux appareils mobiles sont d'une portée nouvelle. Le fait que ces appareils peuvent être utilisés en tous lieux et qu'ils peuvent stocker des données sensibles augmente considérablement le risque de perte de données. En outre, de par leur portabilité et leur petite taille, ils peuvent être aisément volés ou perdus, souvent sans l'activation de la protection par mot de passe. En fait, la perte Les mesures de sécurité traditionnelles qui protégeaient les points d'extrémité fixes et des chemins de données bien définis sont totalement inadéquats pour l'entreprise mobile d'aujourd'hui. Les contrôles de sécurité doivent s'adapter à la nature dynamique des utilisateurs qui se connectent et des menaces qui proviennent de partout. De plus, les modèles de confiance établis pour les employés qui utilisent des appareils fournis par l'entreprise ne s'appliquent plus au monde du BYOD. Désormais, la confiance doit être gagnée et suivie afin de déterminer les droits d'accès et les privilèges appropriés. Un utilisateur qui fournit les bons identifiants ne doit pas nécessairement disposer d'un accès illimité. Les noms d'utilisateurs et les mots de passe ne suffisent pas pour accorder des droits d'accès aux ressources, particulièrement si l'emplacement et l'appareil d'un utilisateur ne sont pas sous le contrôle du domaine de l'entreprise. 3 LIVRE BLANC SÉCURITÉ ADAPTIVE TRUST™ D'ARUBA, POUR UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE Le modèle traditionnel ne dispose pas d'informations contextuelles pertinentes telles que le rôle utilisateur, le type d'appareil, l'appartenance et l'emplacement. Ces informations permettent au service informatique d'adapter les politiques qui autorisent ou refusent l'accès au cas par cas sans exposer l'entreprise à de nouvelles menaces. LA SÉCURITÉ ADAPTIVE TRUST D'ARUBA FAIT FACE AUX PROBLÈMES ACTUELS POSÉS PAR LA SÉCURITÉ D'ACCÈS • Décisions basées sur le contexte – Les données contextuelles en temps réel permettent Les organisations ont besoin d'une nouvelle approche pour d'appliquer les mesures de sécurité quel que soit sécuriser les réseaux d'entreprise mobiles. Cette approche doit l'utilisateur, le type d'appareil ou l'emplacement. pouvoir utiliser et partager le contexte et appliquer des contrôles Les politiques sont gérées de manière centralisée adaptatifs basés sur les besoins en matière de mobilité sans et appliquées au moment de la connexion via pour autant compromettre la productivité des employés. Wi-Fi, le réseau filaire ou les VPN. • Conformité de l'appareil – Les appareils doivent PRÉSENTATION DE LA SÉCURITÉ ADAPTIVE TRUST™ D'ARUBA tous répondre aux règles de sécurité avant de se La sécurité est souvent accusée d'être un frein à la répondent pas à cette conformité doivent être productivité des employés. Les processus complexes et les politiques strictes tendent à être contournés, ce qui laisse l'entreprise vulnérable aux menaces et à la perte de contrôle. Tout en faisant face aux risques introduits par la mobilité d'entreprise, les employés continuent d'exiger l'accès au réseau, armés d'appareils de plus en plus nombreux. Les équipes en charge du réseau et de la sécurité doivent pouvoir assurer la disponibilité des services essentiels tout connecter au réseau. Les appareils qui ne remis en état ou se verront refuser l'accès. • Flux de travail sécurisés – Seuls les utilisateurs autorisés peuvent initier un flux de travail en fonction des politiques du service informatique. Les appareils personnels doivent être autorisés par les politiques à se connecter aux ressources de l'entreprise. Les failles potentielles sont comblées avant d'être exploitées. en veillant au respect des politiques de sécurité. Les risques peuvent être réduits avec des solutions basées La sécurité Adaptive Trust d'Aruba partage des données sur des produits répondant à des besoins sécuritaires précis. contextuelles riches à travers des solutions de sécurité Toutefois, ces produits compliquent la sécurité et les réseau disparates pour faire face aux lacunes de sécurité contrôles restent limités. Les solutions qui ne sont pas potentielles. Il en résulte une défense bien coordonnée dans parfaitement intégrées tendent également à compliquer la laquelle tous les composants de sécurité fonctionnent de tâche du service informatique lorsqu'il essaie d'identifier et manière intégrée, comme un seul système, sans avoir d'effet de gérer les besoins changeants de la force de travail mobile. négatif sur la productivité des employés. SÉCURITÉ ADAPTATIVE TRUST PARE-FEUX EMM/MDM GESTION DE POLITIQUES CLEARPASS IDS/IPS/AV PASSERELLES WEB figure 1.0_010915_adaptivetrust-wpa ClearPass d'Aruba utilise et partage des données contextuelles sur les utilisateurs, les appareils et les emplacements avec une variété d'outils réseau pour définir et appliquer des politiques granulaires. 4 LIVRE BLANC SÉCURITÉ ADAPTIVE TRUST™ D'ARUBA, POUR UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE Grâce à cette architecture défensive, les systèmes de gestion d'accès des entreprises peuvent exploiter le contexte d'une variété de sources pour analyser l'état de l'utilisateur et de l'appareil avant leur connexion au réseau. En outre, ces données sont échangées avec les systèmes CLEARPASS OFFRE TOUTE UNE VARIÉTÉ DE FONCTIONNALITÉS QUI CONTRIBUENT À CRÉER UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE • Visibilité améliorée – Le profilage des appareils EMM (gestion de mobilité d'entreprise), les pare-feux, les qui se connectent fournit d'importantes systèmes de protection sans fil contre les intrusions et informations qui peuvent être utilisées dans les politiques et à des fins de dépannage. autres solutions de sécurité. Tous ces éléments sont cimentés par des sources de données de transfert de l’état • Politiques prêtes pour l'entreprise – Les représentationnel (REST) communes disponibles par API et modèles de services de politiques intégrés des flux de données de type syslog. réussissent là où les solutions AAA traditionnelles Ceci permet d'éliminer les langages de script complexes et les configurations manuelles fastidieuses requis par échouent. Les initiatives BYOD et les services d'accès invité sont créés et sont utilisables en quelques minutes. l'intégration de solutions de sécurité existantes pour combattre les risques associés à la mobilité d'entreprise. • Contexte centralisé – Les données réunies, telles que l'emplacement et le type, l'état et La sécurité Adaptive Trust d'Aruba permet au service l'appartenance de l'appareil, peuvent être utilisées informatique de prendre de meilleures décisions sur la et sont partagées avec les solutions de sécurité connexion des appareils et des utilisateurs et sur la manière existantes depuis un référentiel central. dont leurs privilèges d'accès au réseau sont appliqués. En • Libre-service – Les utilisateurs sont autorisés à conséquence, un moteur de mise en application des configurer eux-mêmes les appareils personnels, à politiques centralisé joue le rôle de système nerveux central annuler les certificats attribués aux appareils pour tous les appareils et utilisateurs connectés au réseau. perdus et à sponsoriser l'accès invité, ce qui réduit les demandes d'aide au service LA DIFFÉRENCE ARUBA informatique tout en améliorant la productivité. Le système de gestion d'accès ClearPass constitue la base du • Mise en application créée pour la mobilité modèle de défense Adaptive Trust d'Aruba. Il fournit un contrôle – L'utilisation de VLAN séparés pour mettre en central et une mise en application de la sécurité mobile basée application les privilèges réseau basés sur les sur les rôles ainsi que des informations contextuelles en temps types de trafic est une tâche complexe et réel sur n'importe quel réseau multifournisseur. laborieuse. Les politiques liées aux appareils Ce modèle unique, qui repose sur l'intégration agnostique de ClearPass Exchange, permet aux organisations d'utiliser les informations contextuelles de systèmes de sécurité pour une mise en application granulaire et précise des politiques. ClearPass fournit une mobilité d'entreprise sécurisée en mobiles doivent s'appuyer sur les rôles, les types de trafic et autres données contextuelles pour diriger automatiquement les utilisateurs vers les segments appropriés du réseau. La mise en application VLAN et ACL n'est utilisée que lorsqu'elle est nécessaire. intégrant la gestion des politiques AAA, l'accès réseau invité, l'intégration sécurisée, la vérification de la santé des appareils et à d'autres capacités libre-service, le tout depuis une seule plateforme. DONNÉES ÉCHANGÉES AVEC D'AUTRES OUTILS RÉSEAU ACCÈS EMPLOYÉS CONTEXTE COLLECTÉ ET PARTAGÉ POLITIQUES DE PARE-FEU S'ADAPTANT AUX BESOINS EN MATIÈRE DE MOBILITÉ GESTION D'ACCÈS CLEARPASS Utilisateur Appareil • Frédéric • INGÉNIERIE • Employé à plein temps • 10.0.1.24 • Macbook Pro • OS X 10.9.3 • Personnel figure 2.0_011915_adaptivetrust-wpa 5 LIVRE BLANC SÉCURITÉ ADAPTIVE TRUST™ D'ARUBA, POUR UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE seul service, y compris Microsoft Active Directory, les UTILISATION DE LA SÉCURITÉ ADAPTIVE TRUST D'ARUBA POUR UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE répertoires compatibles avec le protocole LDAP, les bases de ClearPass répond aux besoins de politiques en constante ClearPass permet également l'authentification à deux facteurs en utilisant plusieurs niveaux d’identités au sein d’un données SQL compatibles avec l’interface universelle de connexion aux bases de données, les serveurs de jetons et les bases de données internes. mutation et remplace les solutions ponctuelles et les problèmes de gestion par un système de gestion de politiques complet, sécurisé et robuste. Il permet ainsi de Sources précieuses de contexte supplémentaire, les niveaux d’identités peuvent être utilisés pour authentifier les utilisateurs et autoriser l'utilisation de ressources réduire les dépenses en capital et les coûts d'exploitation tout en aidant à créer des politiques de sécurité appropriées axées sur la simplicité et une meilleure expérience utilisateur d'entreprise spécifiques. pour la #GenMobile. La prise en charge par ClearPass Exchange des API et En s'appuyant sur le contexte fourni par de nombreux sources de données REST permet de partager des informations cruciales liées à la mobilité d'entreprise entre ClearPass et d'autres solutions de sécurité et systèmes de flux de travail d'entreprise. Ainsi, les pare-feux de la prochaine génération des réseaux Palo Alto® Networks peuvent automatiquement utiliser le contexte des utilisateurs et des appareils pour une mise en application granulaire des politiques au niveau des applications. En outre, les applications EMM telles que MobileIron peuvent désormais partager des informations sur les utilisateurs, les appareils et l'emplacement pour mettre en application la sécurité Wi-Fi. L'interaction avec les outils de dépannage tels que ServiceNow® déclenche automatiquement une demande d'assistance avec d'importantes informations sur le problème associé à l'utilisateur, l'appareil et l'accès en cas d'échec d'authentification réseau. niveaux d’identités et méthodes d'authentification, ClearPass permet au service informatique de créer davantage de politiques de mise en application granulaires. Les appareils appartenant à l'entreprise et les appareils personnels sont ainsi traités différemment sur la même infrastructure. Il en résulte une solution dynamique, intégrée et robuste qui adapte aisément les fonctions de sécurité et du réseau aux besoins mobiles des employés, ce qui permet aux organisations de traiter rapidement toute une variété de problèmes communs. APPAREIL BYOD ET D'ENTREPRISE SUR LE MÊME SSID Au lieu de diffuser plusieurs SSID ou de créer des correspondances VLAN complexes pour répondre aux besoins des BYOD, la mise en application basée sur les rôles et les politiques contextuelles permettent à ClearPass de différencier aisément l'accès pour les appareils personnels. APPAREILS BYOD ET D'ENTREPRISE SUR LE MÊME SSID ORDINATEURS PORTABLES D'ENTREPRISE TABLETTE BYOD AUTHENTIFICATION AUTHENTICATION SSID EAP-TLS CORP-SECURE SSID EAP-TLS CORP-SECURE INTERNET SEULEMENT figure 3.0_011915_adaptivetrust-wpa ClearPass autorise l'accès différencié sur le même SSID en fonction des informations sur l'utilisateur, l'appareil et l'emplacement. 6 LIVRE BLANC SÉCURITÉ ADAPTIVE TRUST™ D'ARUBA, POUR UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE d'appareils sur chaque appareil BYOD pour limiter ou retirer AUTORISATION ET CHIFFREMENT SUR LES RÉSEAUX OUVERTS les privilèges d'accès. Ceci permet de simplifier Les hotspots Wi-Fi représentent un moyen pratique pour les En outre, ClearPass distribue et provisionne des identifiants considérablement l'infrastructure d'accès tout en améliorant la sécurité et simplifiant la tâche de provisionnement du service informatique. EXTENSION DES CONTRÔLES INFORMATIQUES AUX APPAREILS À DOMICILE Assurer la conformité des appareils mobiles aux politiques n'est pas une tâche de tout repos, surtout lorsque ces appareils ne sont pas connectés au réseau. ClearPass étend les contrôles et la mise en application des politiques aux appareils qui se connectent depuis des emplacements distants tels que les bureaux à domicile. employés et les professionnels en déplacement de se connecter aux ressources de l'entreprise. Malheureusement, beaucoup de ces hotspots sont vulnérables à la cybercriminalité et aux attaques par interception. Pour contourner ces menaces et protéger les clients, ClearPass propose un moyen aisé d'ajouter une sécurité de classe entreprise à n'importe quel réseau Wi-Fi public. Renforçant l'architecture du PEAP (protocole d'authentification), ClearPass s'assure que chaque session invité est chiffrée et donc invisible à toute personne qui essaie de renifler les paquets Wi-Fi. Les agents permanents ou non permanents qui sont utilisés RÉSUMÉ avec les ordinateurs peuvent également être utilisés pour En mutation constante, les habitudes des utilisateurs, les veiller à ce que tous les appareils soient contrôlés et leur intégrité vérifiée avant de les autoriser à accéder au réseau de l'entreprise. ClearPass fonctionne aussi avec les systèmes EMM, recueillant des données contextuelles des smartphones et menaces et les appareils mobiles nécessitent une nouvelle approche pour sécuriser les réseaux d'entreprise. La méthode de travail de la #GenMobile a complètement dilué la notion de périmètre fixe. Celle-ci n'existe pas dans un monde mobile où les utilisateurs se connectent de partout tablettes pour prendre une décision pour chaque appareil pour travailler. demandant l'accès filaire, sans fil ou VPN. Le contexte peut À cette fin, une gestion des politiques de premier ordre, le inclure l'état débridé, les appareils figurant sur la liste noire ou la liste blanche, les types d'appareils, etc. ÉVITER LA PRÉSENCE D'APPAREILS BYOD SUR LES RÉSEAUX INVITÉS NAC, le pare-feu et les systèmes EMM doivent tous trouver une manière commune de partager et protéger les ressources de l'entreprise. Il est temps pour les politiques gérées de manière centralisée, le BYOD sécurisé et les chaînes de traitement d'accès invité qui habilitent les Les réseaux invités permettent aux invités et autres VIP de services informatiques de garantir une mobilité sécurisée de profiter de la connectivité Wi-Fi durant leur visite, mais font classe entreprise qui minimise les risques. souvent l'objet d'une utilisation abusive par les employés qui essaient de contourner les politiques de l'entreprise concernant la connexion des appareils BYOD. ClearPass est le cœur du modèle de sécurité Adaptive Trust d'Aruba. Il joue les rôles de gardien centralisé et magasin contextuel pour toutes les authentifications utilisateur et les ClearPass peut rapidement déterminer si un appareil BYOD données d'appareils. ClearPass identifie et authentifie les ou un appareil appartenant au service informatique à le droit utilisateurs et les appareils. Les règles attribuent les de se connecter au réseau invité en s'appuyant sur les privilèges d'accès en fonction des besoins des utilisateurs. informations de contexte recueillies durant l'enregistrement et l'intégration de l'appareil. Ceci limite la quantité de données d'entreprise qui est exposée sur les réseaux invités ouverts. En utilisant le modèle de sécurité Adaptive Trust d'Aruba, les organisations seront capables de neutraliser les risques associés à la mobilité au niveau de l'authentification et au-delà, au grand bonheur des utilisateurs et des services informatiques. 7 LIVRE BLANC SÉCURITÉ ADAPTIVE TRUST™ D'ARUBA, POUR UNE MOBILITÉ D'ENTREPRISE SÉCURISÉE À PROPOS D'ARUBA, A HEWLETT PACKARD ENTERPRISE COMPANY Aruba, a Hewlett Packard Enterprise company, est l'un des principaux fournisseurs de solutions réseau nouvelle génération pour les entreprises de toute taille du monde entier. La société fournit des solutions informatiques qui permettent aux organisations de servir la toute dernière génération d'utilisateurs mobiles qui font confiance aux applications métier de type Cloud pour tous les aspects de leur vie professionnelle et personnelle. Pour en savoir plus, visitez Aruba sur http://www.arubanetworks.com/fr. Pour accéder aux actualités en temps réel, suivez Aruba sur Twitter et Facebook. Pour les toutes dernières discussions techniques sur la mobilité et les produits Aruba, consultez Airheads Social sur http://community.arubanetworks.com. TOUR EGÉE, 17 AVENUE DE L’ARCHE | 92671 COURBEVOIE CEDEX, FRANCE [email protected] www.arubanetworks.com/fr ©2015 Aruba, a Hewlett Packard Enterprise company. Les marques d'Aruba incluent Aruba Networks®, Aruba The Mobile Edge Company® (stylisé), Aruba Mobility-Defined Networks™, Aruba Mobility Management System®, People Move Networks Must Follow®, Mobile Edge Architecture®, RFProtect®, Green Island®, ETips®, ClientMatch®, Virtual Intranet Access™, ClearPass Access Management Systems™, Aruba Instant™, ArubaOS™, xSec™, ServiceEdge™, Aruba ClearPass Access Management System™, Airmesh™, AirWave™, Aruba Central™ et ARUBA@WORK™. Tous droits réservés. Tous les autres noms de marque appartiennent à leurs propriétaires respectifs. Aruba se réserve le droit de changer, modifier, transférer ou autrement réviser cette publication et les spécifications de produit sans préavis. Bien qu'Aruba déploie des efforts commercialement raisonnables pour assurer l'exactitude des spécifications figurant dans ce document, Aruba décline toute responsabilité pour toute erreur ou omissions. WP_AdaptiveTrust_052815 8