Publier SharePoint 2010 sur Internet de manière sécurisée (SEC2302) Frédéric ESNOUF, Microsoft, Architecte Benoit HAMET, CapGemini, Architecte date
Agenda Bilan sur la cybercriminalité : risques et enjeux Problématique de publication d’applications en 2010/2011 Scénarios, problématiques, approche Publier et protéger les applications en 2011 Démonstrations Demos
Publier et protéger les applications Accès distants & cybercriminalité Authentification forte, Single Sign On (SSO), confirmité, sécurité applicative, firewall applicatif, … Architecture de la solution (Base, frontaux, permissions, ...) Gestion des identités (qui a accès à quoi, partenaires, …)
SharePoint et la sécurité SharePoint c’est une application SharePoint c’est des espaces de collaboration SharePoint permet de partager des données, certaines sans et d’autres avec de la valeur SharePoint c’est des employés, des partenaires, .. des clients SharePoint est le produit parfait pour montrer les enjeux de publication d’accès distant => Publier et protéger les applications et les données.
Accès distants et cybercriminalité Publier et proteger les applications et les données… les enjeux et risques de 2011 date
Identifier les risques
Sécurité Applicative coté client Clients et utilisateurs UAG Multi-device Employé, partenaire et client Sécurité applicative Analyse et conformité du poste Authentification forte Attachment Wiper (application .. Cybercriminels Code, bug, … Malware, virus Utilisateur Media Malware UAG serveur Keylogger Internet Navigateur Cache … autre OS
Sécurité Applicative coté Application Sécurité au sein de l’application Apports d’UAG « en plus » Analyse du poste politiques de sécurité : application, fonction, sous sections Tracabilité Authentification forte +SSO RMS : protection des documents Données Permissions, … Site, répertoires, … Sccm WinUpdate Optimizer : Firewall Applicatif (URL set) Réécriture de flux (Appwrap) Appli WEB OS
Sécurité de bout en bout Usages Pc entreprise Pc partenaire Pc « client » (citoyen) Smartphone & Risques Social engineering Keyloggers Malware Lost Laptop Lost USB key Hard disk cache FW FW Utilisateur Passerelle Applicative Application User Data Data UAG USB disk App App OS OS
Démonstration Découverte de l’expérience utilisateur Connexion Portail UAG Applications
Forefront Unified Access Gateway Historique, vision, rôle… date
Restricted SharePoint Office Connections Microsoft Unified Access Gateway Fournir aux équipes IT une solution regroupant toutes les technologies de mobilité, et couvrant tous les scénarii Collaborateur PC d’entreprise Full Intranet Payroll & HR Supply Chain File Access Maison, Kiosk Hotel Production Report Payroll & HR Collaborateur Scenarios dans l’entreprise Employé + poste corp : recommandation DA car très efficace, aussi VPN/SSL via SSTP Meme scenario mais “poste non corp” : VPN et VPN SSL a banir => Securite applicative! Scenario partenaire : on controle rien => Securite applicative Scenario clients finaux : idem Client, Citoyen Kiosk Limited Webmail: no attachments Business application PC Partenaire Restricted SharePoint Partenaire 14 Updates will be available at http://www.devconnections.com/updates/LasVegas _06/Office_Connections
Unified Access Gateway Data Center / Corporate Network Exchange CRM SharePoint IIS based IBM, SAP, Oracle FW FW Mobile Home / Friend / Kiosk HTTPS / HTTP Terminal / Remote Desktop Services Layer3 VPN Internet HTTPS (443) DirectAccess FW Non web Business Partners / Sub-Contractors Achitecture UAG en DMZ Non Intrusif Microsoft ou non microsoft AD, ADFS, RADIUS, LDAP…. 7 NPS, ILM Employees Managed Machines
UAG et défense en profondeur b UAG et défense en profondeur 9/19/2018 1:52 AM Protection des données Contrôle temps réel Permissions Qui (utilisateur) ? Qui (poste) ? Protected Hosts UAG and defense in depth Autorisation (droit + conformité) Affiche/cache des applications en fonction des droits de l’utilisateur Applications grisées si non conforme à la politique de sécurité ! Supporte l’autorisation sur la base de Claims (ADFS) Utilisation de Forefront Identity Mmanager (FIM possible pour la gestion des droits Information Security Eviter le Vol/perte des données Coté client : attachment wiper, timeout, contrôle de conformité Coté serveur : politiques de sécurité Coté Application: RMS (right management services) Application Security Firewall applicatif : ensemble de règles qui modélisent le “normal” : RegEx Filtres applicatifs pour les produits Microsoft, création de vos filtres via interface graphique Ré-écriture de flux (HTTP, URL, HTML, Code) temps réel : changer l’expérience utilisateur, corriger du code “qui casse”, failles de sécurité Web Single Sign On (FORM, Ntlm, Kerberos, Kerberos Constrained Delegation (KCD), ADFS) Reporting et tracabilité à la fois au niveau réseau (couche TMG) et applicatif (UAG) Authentification Support natif de nombreuses bases : Active Directory, LDAP, TACACS, RADIUS, … Auth forte : RSA, Gemalto, Vasco… OTP, Carte à Puce, Biométrie, … Trouver “le” type d’auth pour un scénario, en fonction de sa puissance et de son coût. La donnée Utilisateur Analyse du poste de travail Analyse du poste de travail (environ 1 seconde) Par défaut, 200+ vérifications & Security center Extension des vérifications par simple VBS, pour trouver “la” vérification qui va faire la différence “Photo technique” du poste envoyée à UAG, puis utilisée en temps réel lors de chaque action La “clé” de la sécurité applicative Autorisation Sécurité applicative Authentification Analyse du poste © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Méthodologie Identifier les logiciels, les « failles » Identifier les données, ou elles se trouvent, leur valeur Identifier les risques et contremesures Configurer UAG Analyse du poste + sécurité Tracabilité …
Démonstration Connexion au portail Lancement de SharePoint, découverte de l’environnement, des données, des risques Tentative d’accès.. Blocages. Comment ca marche ?
Bloquer, mais informer…
Administration et architecture
La console d’administration
Interfaces de configuration pour SharePoint date
Publication par type de device Also office PC clients
Configuration des AAMs Paramètrer UAG Paramètrer les AAM Paramètrage »très fin »
UAG « dans » SharePoint
Conclusions
Publier ses applications Protéger les applications et les données Identifier les données, analyse du risque et contremesures Sécuriser de bout en bout Poste de travail Passerelle Architecture interne : Forefront « antivirus » SharePoint : Application, des données, différents usages, différentes populations Equipes SharePoint + Equipe Forefront UAG travaillent ensemble
Questions et réponses, démos Merci ! Questions et réponses, démos