web application reverse proxy pour environnements

La sécurité :
un monde de
possibilités
pour
l’entreprise
PROXYSG WEB APPLICATION REVERSE PROXY
Les solutions basées sur le Web sont mises en œuvre pour presque tous les aspects des opérations commerciales et
sont de plus en plus soumises aux attaques au sein des accès publics au Web ou des environnements non sécurisés.
En conséquence, les préoccupations croissantes en matière de sécurité, la stagnation des performances et la complexité
croissante mettent à rude épreuve les infrastructures de serveur Web existantes. Les serveurs Web sont également de plus
en plus la principale source de réseaux de diffusion des logiciels malveillants, qui hébergent ces derniers et mettent en danger
les réputations, les ressources et les utilisateurs. Les préoccupations croissantes au regard de la confidentialité accroissent
l'utilisation du SSL, l'identification utilisateur ou l'authentification complète et génèrent de nouvelles demandes concernant
l'infrastructure Web. Pour sécuriser et accélérer les applications Web publiques dans des environnements non sécurisés, les
organisations se tournent vers la protection Web Application Reverse Proxy de Blue Coat.
Pourquoi effectuer des déploiements ProxySG for Web
Application Reverse Proxy ?
Les appliances Blue Coat ProxySG combinent sécurité robuste, diffusion de
contenus haute performance et simplicité opérationnelle pour permettre aux
organisations de sécuriser et d'accélérer leurs applications Web publiques
vers leurs utilisateurs de confiance et le public.
WEB APPLICATION REVERSE PROXY
POUR ENVIRONNEMENTS
WEB NON SÉCURISÉS
©
BLUE COAT SYSTEMS, INC
LIVRE BLANC
WEB APPLICATION REVERSE PROXY
POUR ENVIRONNEMENTS WEB NON SÉCURISÉS
Protéger les serveurs Web – ProxySG isole de manière sûre les serveurs
d'usage général d'un accès direct, agissant comme un intermédiaire entre
les applications Web et les clients externes qui tentent d'y accéder. ProxySG
offre une protection complète des serveurs Web comprenant : Conformité à la
norme Payment Card Industry (PCI), protection contre les injections Structured
Query Language (SQL), protection contre les attaques de type Cross Site
Scripting (XSS) et Cross Site Request Forgery (CSRF). En outre, ProxySG offre
une authentification et une prise en charge des politiques robustes et peut
contester les utilisateurs ou vérifier de manière transparente les informations
d'identification en utilisant l'infrastructure de sécurité existante de l'organisation.
Pour une protection contre les menaces Web haute performance et à faible
latence de tous les contenus chargés sur les serveurs Web, ProxySG s'intègre
à Blue Coat ProxyAV™ et offre une sélection de cinq moteurs anti-logiciels
malveillants leaders sur le marché. L'intégration aux solutions de protection
contre la perte de données (DLP) permet la prise d'empreinte des contenus et
la détection d'éventuelles pertes de données confidentielles, propriétaires ou
client. Afin d'assurer la confidentialité, ProxySG peut être configuré pour chiffrer
les communications entre les utilisateurs et les applications Web en s'appuyant
sur Secure Sockets Layer (SSL).
Accélération du contenu Web – Au cœur de la solution ProxySG, on trouve
SGOS, un système d'exploitation sécurisé, orienté objet, spécialement conçu
pour traiter le contenu Web et les médias enrichis. SGOS allie une technologie
de mise en mémoire cache proxy brevetée à une pile TCP optimisée pour
une accélération efficace du contenu Web. L'utilisation intelligente par SGOS
de sa mémoire cache intégrée permet la mise en cache de 60 à 90 % des
objets d'une application Web et une mise à disposition immédiate pour les
utilisateurs, améliorant ainsi encore plus les performances et l'évolutivité
du site tout en déchargeant les serveurs Web. La prise en charge des
médias enrichis comprend le fractionnement de flux et la mise en mémoire
cache de vidéo à la demande, auxquels s'ajoutent des contrôles de bande
passante pour tous les services proxy. En outre, les services SSL offrent une
accélération matérielle pour la négociation, le chiffrement et le déchiffrement
des clés de chiffrement.
Simplifier les opérations – ProxySG est une appliance intégrée et optimisée,
qui allie logiciel et matériel proxy. Elle est facile à installer, à configurer et
à entretenir. Visual Policy Manager (VPM) offre une interface graphique
intuitive permettant de définir et de gérer une large gamme de règles et de
stratégies. Content Policy Language (CPL) permet l'application de politiques
de contrôle avancées pour une protection des applications contre les
attaques. La journalisation complète et la génération de rapports proposent
des informations comptables détaillées, offrant aux administrateurs la visibilité
nécessaire pour évaluer les profils d'utilisation du Web et suivre les questions
de sécurité, tout en restant en conformité avec les réglementations et les
stratégies.
ProxySG Web Application Reverse Proxy permet aux organisations de :
• Accélérer l'utilisation d'applications et de contenus Web à travers
une architecture proxy avec une mise en mémoire cache intégrée, un
fractionnement de flux, des contrôles de bande passante, une analyse des
menaces dans le contenu Web entrant et sortant et en utilisant un langage
de stratégie souple avec des options d'authentification utilisateur inégalées.
1
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l’entreprise
WEB APPLICATION REVERSE PROXY
POUR ENVIRONNEMENTS
WEB NON SÉCURISÉS
©
BLUE COAT SYSTEMS, INC
• Protéger l'infrastructure Web par l'isolation des serveurs d'origine de
l'accès direct à Internet et la mise à l'échelle des exploitations Web en
déchargeant l'authentification utilisateur et l'optimisation du contenu Web
et des tunnels SSL. En outre, ProxySG contrôle la santé des protocoles
HTTP, HTTPS, TCP, ICAP et ICMP pour surveiller les serveurs de contenus
Web et les équipements proxy associés afin d'alerter les administrateurs.
Ceci inclut une stricte validation de protocole HTTP/HTML du serveur et du
client. Les alertes sont transmises par e-mail, journal système et SNMP.
• Sécuriser l'accès utilisateur aux applications Web en agissant comme un
point d'extrémité/point d'origine SSL. Ceci active ProxySG comme un
point d'extrémité SSL avec un rechiffrement vers les serveurs Web ou une
configuration MITM (man-in-the-middle). ProxySG prend en charge les
certificats du côté client et du côté serveur et propose un chiffrement et
un déchiffrement des services Web ainsi qu'une vérification des signatures
numériques. La gestion des clés et le traitement du basculement sont
également proposés.
• Déployer une solution proxy inverse, de manière transparente ou non,
en tant que proxy inverse d'application Web. ProxySG Web Application
Reverse Proxy offre une stratégie de protection ouverte de serveurs
relais. ProxySG est également une passerelle proxy IPv6 offrant une
prise en charge IPv6 vers IPv4, et IPv4 vers IPv6. Les nouveaux centres
d'exploitation réseau média migrant vers IPv6 et ProxySG offrent la
possibilité de répondre aux attentes des audiences publiques IPv6 comme
IPv4.
• Fournir la prise en charge de la compression en HTTP pour améliorer
l'expérience utilisateur sur le Web. ProxySG peut compresser ou
décompresser du contenu sur l'appliance et mettre en mémoire cache
la réponse sous différentes formes. Par exemple, vous pouvez récupérer
le contenu sous forme non compressée et le livrer au client sous forme
compressée. S'il est possible de mettre le contenu en cache, les formes
compressée et non compressée sont stockées sur ProxySG pour une
utilisation ultérieure. Les formats de compression pris en charge sont
Gzip et deflate. De la même manière, vous pouvez récupérer le contenu
compressé à partir du serveur Web d'origine s'il en contient, et le
décompresser sur ProxySG si le client ne peut pas traiter du contenu
compressé.
• Mettre en œuvre des stratégies d'accès basées sur les utilisateurs, le
moment de la journée, l'emplacement, l'adresse réseau, l'agent utilisateur
et d'autres attributs, afin de répondre aux exigences spécifiques de
l'entreprise. ProxySG a accès à plus de 500 variables de requêtes d'en-tête
et de réponses et exploite plus de 40 déclencheurs pour des politiques
de contrôle avancées. ProxySG et le filtre analysent en profondeur ou
remplacent le contenu des requêtes et des réponses Web par le biais de
ces politiques de contrôle.
• Journalisation par politique et exceptions. Elle est très utile lors de la
détection d'agents utilisateurs et d'hôtes numériques inconnus dans
•
•
•
•
un environnement non sécurisé. L'utilisation de l'option Annuler dans
la création de stratégie permet la journalisation selon une règle de la
stratégie lorsque l'élément ne fait pas partie de la liste approuvée pour
l'environnement de confiance. Au niveau du Reverse proxy d'application
Web, cela résulte en la création d'une politique de contrôle par liste
blanche, en complément à la politique de contrôle par blocage. La
configuration flexible des stratégies ProxySG permet au choix, un modèle
de sécurité positive (bloque tout implicitement sauf la liste blanche), un
modèle de sécurité négative (autorise tout sauf la liste noire) ou un mélange
personnalisé de ces deux modèles de stratégie. ProxySG prend également
en charge la journalisation personnalisée avec sélection de champs,
textes et formats personnalisés au sein de son gestionnaire de stratégies
graphique, pour pointer et cliquer une sélection de journaux personnalisés.
Il permet le contrôle des types de fichiers, des extensions de fichiers, la
vérification des types de fichiers réels pour les fichiers déguisés, il offre
la possibilité d'analyser en profondeur et de remplacer le contenu actif
(Java, Visual Basic, ActiveX), de restreindre le chargement d'informations,
de spécifier les types et les versions d'agent utilisateur pour contrôler le
logiciel client, d'inspecter, réécrire et supprimer les en-têtes et propose,
en outre, des contrôles au niveau de la méthode pour HTTP, HTTPS, et
FTP. ProxySG offre une souplesse de stratégie aux éléments d'en-tête,
au-delà du traitement standard « regex » (expression rationnelle) pour des
performances améliorées, plus une analyse complète des URL, lorsque
c'est nécessaire.
Authentifier les clients en utilisant l'infrastructure de sécurité existante, y
compris Active Directory (NTLM, Kerberos, LDAP, SSO), eDirectory (LDAP,
SSO), des jetons (SecurID, Safeword), des schémas d'authentification
(Oracle COREid, CA Siteminder, certificats x.509, fichiers mot de passe
en local), une prise en charge des informations d'identification (NTLM,
Basic, HTTPS Basic, formulaire HTML, formulaire HTTPS HTML, formulaire
d'authentification contextuel Explicit Proxy), un mappage des utilisateurs
vers le trafic (adresses IP, cookies, vérifications du domaine serveur (SSO)),
et les protocoles d'authentification pris en charge (LDAP, RADIUS, interface
XML, séquences d'authentification par royaume, affectation du statut Invité
aux utilisateurs ayant échoué).
Mettre en cache les informations d'identification de l'utilisateur au sein
du système. Selon les besoins de l'entreprise en matière de sécurité et
l'environnement non sécurisé, la mise en mémoire cache des informations
d'identification peut être configurée pour stocker les informations
d'identification pour une période ou un temps défini, ou pour les purger
immédiatement après l'utilisation.
Protéger l'infrastructure Web contre les logiciels malveillants, les vers et
les chevaux de Troie, grâce à une analyse anti-logiciels malveillants en
temps réel, de tous les contenus chargés ou téléchargés. ProxyAV s'intègre
à ProxySG via ICAP+ ou S-ICAP et s'appuie sur une double conception
intelligente de mémoire cache afin d'optimiser l'analyse du contenu à la
2
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l’entreprise
WEB APPLICATION REVERSE PROXY
POUR ENVIRONNEMENTS
WEB NON SÉCURISÉS
©
BLUE COAT SYSTEMS, INC
recherche de menaces. Les objets pouvant être mis en mémoire cache
sont analysés, présentés puis mis en cache pour les requêtes ultérieures
des utilisateurs. Toute mise à jour sur le moteur d'analyse anti-logiciels
malveillants lance un nouveau cycle d'analyse à la recherche de menaces
pour les objets mis en cache à la demande de l'utilisateur, la mémoire cache
de l'objet n'étant jamais purgée. Les empreintes des objets qui ne peuvent
pas être mis en mémoire cache sont enregistrées si ces derniers sont sains;
ils sont alors directement servis aux utilisateurs pour une expérience Web
plus rapide en cas de nouvelle rencontre avec la même empreinte. Toute
mise à jour sur le moteur d'analyse anti-logiciels malveillants rafraîchit la
mémoire cache des empreintes de tels objets. ProxyAV prend en charge six
moteurs anti-logiciels malveillants leaders sur le marché (Kaspersky, McAfee,
Sophos, Symantec, Panda et Trend Micro) et analyse des fichiers jusqu'à
2 Go et jusqu'à 99 couches de compression. ProxyAV peut également
détecter les fichiers déguisés au sein des archives compressées grâce aux
moteurs anti-logiciels malveillants Kaspersky ou Sophos.
• Intégrer des solutions de protection contre la perte de données (DLP) afin
d'assurer la conformité et d'empêcher les fuites d'informations grâce à
des prises d'empreintes des contenus d'informations confidentielles ou
à l'aide de mots clés, de lexiques, d'expressions régulières, de modèles
avec sommes de contrôle, de métadonnées de fichiers ou d'analyses
statistiques. La logique booléenne permet également de combiner les
méthodes retenues pour la conformité et les réglementations qui continuent
à s'étendre pour protéger les consommateurs et de leur droit à la
confidentialité.
• Activer des politiques de contrôle avancées pour une protection contre les
injections SQL, les attaques de type Cross Site Scripting (XSS) et Cross Site
Request Forgery (CSRF). ProxySG offre également une isolation complète
des certificats SSL, une protection contre les attaques visant à surcharger
la mémoire tampon, des contrôles de conformité de protocole et une
protection DoS.
• La défense collaborative Blue Coat WebPulse™ permet d'identifier tout
téléchargement de logiciel malveillant ou tout trafic nuisible de type
« call home » à partir des serveurs Web protégés par ProxySG en tant
qu’application Reverse proxy pour les d'applications Web. Les entrées
collaboratives de plus de 75 millions d'utilisateurs permettent à Blue Coat
Labs de suivre les réseaux de diffusion des logiciels malveillants (MDN)
et de bloquer toute participation si les serveurs Web sont activement
malveillants ou hébergent des infrastructures de diffusion des logiciels
malveillants. Alors que ProxyAV analyse le contenu entrant et sortant à la
recherche de menaces spécifiques, WebPulse surveille les corrélations
Web, les modèles de trafic et les méthodes de diffusion au sein des MDN.
Tandis que toutes les défenses proposées protègent les serveurs Web,
cette assurance supplémentaire suit les réseaux de diffusion des logiciels
malveillants et le moment auquel le serveur Web y participe.
• Offrir une diffusion de média en continu de haute performance à des
milliers d'utilisateurs simultanés avec des proxys de diffusion en continu.
ProxySG prend en charge le fractionnement de flux pour réduire la charge
sur les serveurs de médias enrichis utilisant RTMP, RTSP ou MMS, plus
HTMLv5. La mise en mémoire cache de la vidéo à la demande procure un
bénéfice de un à plusieurs à ProxySG, y compris les objets RTMP et HTML
incluant Flash. Aujourd'hui, les utilisateurs s'attendent à une expérience de
médias enrichis. ProxySG peut décharger les serveurs de contenu média
enrichi pour mettre à l'échelle les exploitations Web et offrir une expérience
utilisateur améliorée.
• Gagner en visibilité en utilisant Blue Coat Reporter et associer des fichiers
journaux en provenance de plusieurs équipements ProxySG afin de retracer
les tendances de l'utilisation de Web Application Reverse Proxy et de la
détection de menaces de ProxyAV, de l'analyse des profils utilisateur/
groupe, de l'utilisation de la diffusion en continu et de la vidéo ainsi que des
tentatives d'accès refusées et de la journalisation personnalisée. Reporter
offre un accès basé sur les rôles via le patrimoine Active Directory, des
tableaux de bord et des rapports personnalisés par utilisateur et la capacité
de planifier et de fournir des rapports standard et personnalisés de façon
régulière.
• Décharger le trafic des serveurs Web afin de réduire les coûts
d'infrastructure tout en offrant des fonctionnalités de contrôle, protection et
performance.
Les appliances ProxySG utilisées en tant qu’utilisation de Web Application
Reverse Proxy permettent aux administrateurs informatiques de mettre
à l'échelle les exploitations Web efficacement pour répondre aux
périodes de forte affluence de trafic ou de trafic éclair, en s'appuyant
sur des fonctionnalités avancées telles que l'accélération de contenu, la
compression, la protection contre les attaques par déni de service, ainsi que
le fractionnement du flux et la mise en cache facultatifs. Les administrateurs
peuvent également utiliser ProxySG pour mettre en œuvre un portail Web
évolutif et sécurisé et présenter le frontal des applications Web.
Pour plus de sécurité, ProxySG peut générer et terminer des sessions
chiffrées SSL entre les applications Web et les utilisateurs. Cela permet aux
organisations de sécuriser les actions telles que l'authentification et l'analyse
des messages, des deux côtés du flux de données.
Pour empêcher les utilisateurs ultérieurs d'un kiosque ou d'un poste de travail
en particulier d'accéder au compte d'un utilisateur précédent, ProxySG peut
être configuré pour effacer les cookies d'authentification mis en cache. Pour
encore plus de protection, la solution ProxySG Web Application Reverse
Proxy peut être configurée pour effectuer un arrêt automatique après une
période d'inactivité définie, permettant ainsi aux administrateurs de renforcer
l'accès sécurisé aux réseaux publics. Blue Coat ProxySG est l'appliance
proxy leader sur le marché pour sécuriser et accélérer les applications Web.
3
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l’entreprise
ProxySG for Web Application Reverse Proxy intègre une protection robuste
des serveurs Web et offre un contenu Web accéléré au sein d'une architecture
proxy centralisée et évolutive qui simplifie les opérations tout en améliorant de
manière significative les performances du réseau.
Fonctionnalités et avantages clés :
Protège les serveurs Web.
• Isole de manière sécurisée les serveurs d'usage général de l'accès direct.
• Intègre SGOS, un système d'exploitation sécurisé et orienté objet,
spécialement conçu pour traiter le contenu Web. ProxySG est certifié FIPS
140-2 et Critères communs EAL2 (3 versions SGOS principales).
• Contrôle l'accès utilisateur grâce à des règles d'authentification et des
stratégies robustes.
• Intelligent OS distingue les connexions valides des connexions malveillantes
afin de servir les utilisateurs légitimes tout en repoussant les attaques DoS.
• Permet l'analyse en ligne de contenu tout en s'armant de défenses
intégrées contre les logiciels malveillants, la perte de données (DLP) et le
trafic Web nuisible.
Accélère le contenu Web.
• Pile TCP optimisée pour une mise à disposition rapide d'un large volume de
contenu Web statique et dynamique.
• Utilisation intelligente de la mémoire cache permettant la mise en cache
de 60 à 90 % des objets d'une application Web et une mise à disposition
immédiate pour les utilisateurs.
• La compression HTTP réduit le besoin en bande passante, préserve les
ressources CPU et permet la mise à disposition plus rapide des pages
précédemment compressées.
• Traitement SSL des négociations de clés de chiffrement matériellement
accéléré.
• Les proxys de diffusion en continu offrent un fractionnement des flux et
une mise en mémoire cache de la vidéo à la demande pour proposer une
diffusion en continu de haute performance à des milliers d'utilisateurs
simultanés.
WEB APPLICATION REVERSE PROXY
POUR ENVIRONNEMENTS
WEB NON SÉCURISÉS
©
Simplifie les opérations.
• Appliance proxy « Set and forget » (Configurez et oubliez) facile à déployer
et à gérer.
• Appliance intégrée qui élimine le besoin d'installer des applications ou des
correctifs OS.
• Solution évolutive qui réduit le nombre de serveurs Web requis.
• ProxySG peut être mis en cluster et configuré pour offrir une haute
disponibilité avec des équilibreurs de charge.
• Interface graphique intuitive qui simplifie la création et la gestion de règles
de stratégies.
• La journalisation complète et la génération de rapports offrent une visibilité
sur les profils d'utilisation du Web et les questions de sécurité.
• Le déchargement de l'infrastructure informatique réduit les coûts
d'infrastructure tout en offrant contrôle, protection et performance.
Résumé
Pour les environnements Web non sécurisés, ProxySG Web Application
Reverse Proxy est une solution riche en options d'authentification, de
déchargement SSL et d'optimisation du contenu de média enrichi et de la
mise en mémoire cache d'objets, afin de mettre à l'échelle les applications
Web. Que les utilisateurs accèdent à des réseaux inconnus depuis leur
tablette ou smartphone, ou depuis leur poste de travail quotidien au sein
de leur entreprise, ils attendent une expérience Web rapide et sans délais,
et souhaitent obtenir l'accès à du contenu Web et à des médias enrichis à
la demande. Si la virtualisation offre économies et évolutivité aux nouveaux
centres de données, la capacité d'optimiser et de mettre à l'échelle les
exploitations Web traditionnelles comme virtuelles reste un avantage de Web
Application Reverse Proxy pour le public utilisant les services Web.
Comme la croissance du SSL se poursuit en raison des questions liées à la
conformité et à la confidentialité, ProxySG met à l'échelle les performances
SSL pour décharger l'infrastructure des serveurs Web. ProxySG Web
Application Reverse Proxy utilise un OS sécurisé propriétaire qui offre une
empreinte plus sûre et maintient les serveurs Web d'origine à l'intérieur d'un
réseau et hors d'état de nuire. ProxySG est une solution Web Application
Reverse Proxy hors pair et éprouvée qui combine une solution antivirus, une
protection contre la perte de données et une analyse du trafic Web malveillant
intégrées, en plus de politiques de contrôle avancées pour bloquer les
attaques des applications et des navigateurs.
BLUE COAT SYSTEMS, INC
4
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l’entreprise
Blue Coat Systems Inc.
www.bluecoat.com
Siège social
Sunnyvale, CA, États-Unis
+1 408 220 2200
Siège social pour la
région EMEA
Hampshire, Royaume-Uni
+44 1252 554600
Siège social pour
la France
Montigny Le Bretonneux
+33130577417
© 2013 Blue Coat Systems, Inc. Tous droits réservés. Aucune partie de ce
document ne doit être reproduite par quelque moyen, ni transférée sur quelque
support électronique que ce soit sans l'accord écrit de Blue Coat Systems, Inc.
Les informations contenues dans ce document sont considérées comme
exactes et fiables à la date de publication ; cependant, elles ne représentent
en aucun cas un engagement de la part de Blue Coat. Blue Coat ne peut
pas garantir l'exactitude des informations présentées à compter de la date
de publication. Ce document est proposé à titre d'information uniquement.
Blue Coat n'offre aucune garantie explicite, implicite, ni statutaire quant aux
informations contenues dans ce document. Les informations contenues
dans ce document ont été rédigées pour les produits et services proposés
aux États-Unis. Il se peut que Blue Coat ne propose pas dans d'autres pays
les fonctionnalités, produits ou services décrits dans le présent document.
Pour obtenir des renseignements sur les produits et services actuellement
disponibles dans votre région, veuillez contacter votre représentant Blue Coat.
Les produits, les services techniques et toute autre information technique
Blue Coat référencés dans le présent document sont soumis aux lois,
réglementations et exigences en matière de contrôle à l'exportation et de
sanctions des États-Unis et peuvent être soumis à des réglementations en
matière d'importation et d'exportation dans d'autres pays. Vous acceptez
de vous conformer strictement à ces lois, réglementations et exigences et
reconnaissez qu'il est de votre responsabilité d'obtenir tout permis, licence ou
autre approbation susceptible d'être requis pour exporter, réexporter, transférer
dans un pays ou importer après la livraison chez vous. Blue Coat peut disposer
de brevets ou de demandes de brevet en cours couvrant un point abordé
dans le présent document. La remise du présent document ne vous accorde
aucune licence relative auxdits brevets. Blue Coat, ProxySG, PacketShaper,
CacheFlow, IntelligenceCenter et BlueTouch sont des marques déposées de
Blue Coat Systems, Inc. aux États-Unis et dans le monde. Toutes les autres
marques déposées mentionnées dans le présent document appartiennent à
leurs propriétaires respectifs.
v.WP-WARP-UNTRUSTED-WEB-ENVIRONMENTS-A4-EN-v3a-0513
5