ForeFront Edge Protection: IAG 2007 Christian-Pierre Belin Microsoft France

Microsoft Management Summit 2007 March 26-30, 2007 | San Diego, CA Aujourd’hui 3/31/2017 9:55 PM 1990s 1980s L’évolution des méthodes de travail © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Objectifs de la session et points à retenir 3/31/2017 9:55 PM Objectifs de la session Souligner les contraintes de sécurité pour permettre des accès distants aux ressources en extranet (pour les employés, les partenaires, les fournisseurs ou les clients) Comprendre les bénéfices qu’apporte IAG 2007 Ce qu’il faut retenir… Nombre de considérations sécuritaires et fonctionnelles entrent en jeu lors de la mise en œuvre de projets d’accès distants IAG 2007 propose une solution clef en main permettant des accès distants depuis pratiquement tous périphériques vers la majeure partie des applications d’entreprise © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda Positionnement d’IAG 2007 Les scénarii d’accès distants 3/31/2017 9:55 PM Positionnement d’IAG 2007 Les scénarii d’accès distants Considérations sécuritaires Considérations fonctionnelles Démo: Du côté utilisateur Démo: Du côté administrateur Les fonctionnalités… © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Plateforme et infrastructure de gestion standardisée Securité + Management Client Security Desktop & Device Management Server Security End-to-End Service Management Edge Security Integrated Management Across Physical & Virtual Secure Access Plateforme et infrastructure de gestion standardisée Productive Simple Integrée

Un peu d’histoire… La problématique: Les solutions ? 3/31/2017 9:55 PM La problématique: Avec l’essor d’Internet, les entreprises ont eu de plus en plus besoin de plateformes permettant d’offrir un accès distant à leurs employés, partenaires ou clients, et ce de manière toujours plus sécurisée. Les solutions ? 1ere approche: Dialup Remote Access Solution chère et trop limitée. 2iéme approche: Se limiter à l’usage de reverse proxy pour des applications Web. 3iéme approche: L’essor du VPN IPSec pour les utilisateurs distants Mais le VPN IPSec a été initialement conçu pour de la connectivité site à site. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Un peu d'histoire… La domination d'IPSec 3/31/2017 9:55 PM Introduit les limitations suivantes: L’extension du réseau interne augmente les risques de sécurité La difficulté à traverser des réseaux avec Firewall ou NAT La partie client se complexifie toujours davantage Client firewall, antivirus, split tunneling… Installation et déploiement Nécessite des privilèges administrateur Peut interférer avec d’autres logiciels de sécurité Peu intuitif pour l’utilisateur Résultat: Les entreprises en limite l’usage aux “road warriors” et aux PCs gérés Le TCO est haut avec un ROI limité © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Les solutions actuelles… Remote User ISA Active Directory Internet Corpnet Quarantine IAS RADIUS IPSec VPN Nécessite l’installation d’un client Ne fonctionne pas partout Risque de connecter des PCs non gérés au réseau interne Reverse Proxy Ne résous pas les applications Client/Serveur Ne différencie pas le type de périphérique utilisé Terminal Services Déploiements limités principalement du aux contraintes côté serveur applicatif 3 Web Server DNS Server ISA Server 5 4 2 6 1 Central Location Mobile Worker In Airport Branch Office Home Office

Un peu d'histoire… La naissance du VPN SSL Un cahier des charges proposant les même fonctionnalités pour: Tous les utilisateurs Depuis n’importe où Pour tout type d’application Basé sur un TCO faible Apparition de nouvelles considérations sécuritaires afin de prendre en charge les nouvelles contraintes (PCs non gérés…) La première vague de produit était centré sur les problématiques de connectivité La vague actuelle se concentre sur l’intelligence applicative

Support des applications en VPN SSL Web – Client/Server – File Access Applications “maison” Tierce-partie, e.g. Citrix, IBM, Lotus, SAP, PeopleSoft… Conçu pour les utilisateurs et postes gérés & non gérés Détection automatique du système, des logiciels et de la configuration Stratégies d’accès en accord avec l’état de sécurité du poste Efface les fichiers temporaires et les données des postes non gérés Aide à la productivité grâce à l’intelligence applicative Applique des règles au niveau des fonctionnalités applicatives Contrôle dynamiquement la cohérence des transactions applicatives SSO exposé sur différents types de référentiels, protocoles et formats. Interface utilisateur & portail personnalisables

La gamme Forefront Une ligne de produit de sécurité complète permettant d’offrir une protection renforcée grâce à une forte intégration et à une gestion simplifiée OS Client et Serveur Serveurs Applicatifs Périmètre

ISA et IAG Bien… mieux… ou meilleur! 3/31/2017 9:55 PM Les produits Forefront Edge Security & Access, Internet Security and Acceleration (ISA) Server 2006 ainsi qu’ Intelligent Application Gateway (IAG) 2007 proposent une plateforme de protection périmètrique et applicative, basée sur des règles spécifiques d’accès au réseau interne et à ses ressources applicatives. Gestion des accès sécurisés Optimisation des sites distants Protection des accès internet Accès optimisé pour les employés, partenaires ou clients depuis virtuellement n’importe où Protéger votre environnement des utilisateurs internes qui accèdent à du contenu malveillant ou douteux Optimiser la sécurité et l’utilisation du WAN pour les sites distants © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Disponibilité en Appliance Intelligent Application Gateway 2007 Microsoft Confidential – February 20072007 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Considérations sécuritaires 3/31/2017 9:55 PM Authentification – Qui êtes-vous? Authentification forte – L’êtes-vous vraiment? Habilitation – A quoi avez-vous accès? Sécurité du transport – Quelqu’un peut-il écouter? Sécurité applicative – Devriez-vous faire cette transaction? Sécurité du poste – Depuis ce type de machine? Protection de l’information – Cela doit-il rester dans la nature? Sécurité de la session – Pendant combien de temps pouvez- vous faire cela? MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Considérations fonctionnelles 3/31/2017 9:55 PM Publication aisée des applications Web et non Web (C/S) Une expérience utilisateur intuitive Pas de client ou très léger Un seul point d’entrée ou d’accès Expérience d’authentification unique (SSO) Auto-assistance (« Rémediation ») Gestion des mots de passe MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Environnement de démo 3/31/2017 9:55 PM MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Ce que doit proposer une solution de VPN SSL 3/31/2017 9:55 PM Applications Web Encapsulation Authentification Sécurité Autorisation Simple TCP Portail Passerelle SSL VPN Management non-Web Client Une solution VPN SSL doit inclure: Encapsulation – Transférer le trafic Web et non Web dans du SSL; Sécurité du poste – Vérification de la conformité, nettoyage du cache, timeouts Authentification – Annuaires (e.g. Active Directory), Support de l’authentification forte, SSO Autorisation – autoriser/refuser l’accès aux applications Portail – Expérience utilisateur, interfaces © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Vérification du poste et intelligence applicative Connaissance des applications OWA … ………... Citrix …….. SharePoint . ……….... Applications génériques Connaissance des applications Définition de la syntaxe/langage des applications Modules applicatifs Web Browser Embedded Encapsulation Authentification Modules applicatifs spécifiques Sécurité Client/Server Autorisation Experience utilisateur Applications spécifiques Passerelle VPN SSL Haute disponibilité, Gestion, Logging, Reporting, gestion de plusieurs portails Client Exchange/ Outlook OWA Connaissance des postes PDA ….... Linux …….. Windows . ………... MAC …..... SharePoint Citrix

Port/Socket Forwarder Encapsulation VPN SSL 3/31/2017 9:55 PM Web Proxy Port/Socket Forwarding Applications concernées: MS Terminal; Citrix; Telnet; SSH; SAP Client; Native Drive Mapping etc Native Outlook ; IP-based applications ; clustered terminal services; notes cluster etc Technologie utilisée: TCP Relay; HTTP proxy; Socks proxy Network Connector Toutes applications IP (TCP/UDP/ICMP) pour des directions entrantes/sortantes Accès réseau complet (Interface Réseau virtuelle de type VPN) Niveau d’accès Web Proxy Port/Socket Forwarder Corporate laptop Home PC Customer/Partner PC Internet kiosk Network Connection © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Vérification du poste Plus de 70 paramétres peuvent être testés dont: Antivirus Antimalware Personal Firewall Desktop Search et utilitaires d’indexation Et aussi… Accès direct et intuitif aux régles de base Interface graphique permettant l’édition et la modification des paramétres S’appuit sur le script Windows Shell pour créer de nouvelles régles ou inspecter d’autres paramètres

Régles d’accès et de contrôle Propose un accès contrôlé aux applications et à leurs opérations au travers de stratégies Permet le contrôle de certaines opérations applicatives: Document download / upload Document check out / check in Edit document / properties Delete Politique mise en oeuvre côté client et serveur Exemple: transfert de pièce jointe Problème Les utilisateurs peuvent contourner l’interdiction de downloader les pièces jointes en transférant les emails, et ainsi être en mesure d’ouvrir les attachements. Solution Forward: L’utilisateur qui utilise la fonction “transférer” sera bloqué et averti que seule la fonction de transfert sans pièce jointe est accessible. Reply with History: L’utilisateur qui souhaite utiliser cette option sera bloqué et recevra un message adéquate.

Firewall applicatif Inspection et filtrage intelligent au niveau applicatif afin d’empêcher des trames non-conformes qui pourraient induire un comportement applicatif non souhaité. Blocage du trafic malicieux (mauvaises commandes ou syntaxes) grâce à une logique de règles positive ou négative. Jeu de règles (logique positive) prédéfinies pour certaines applications Dans une certaine mesure, l’utilisation de la logique positive permet potentiellement de s’affranchir d’attaques encore inconnues (zero day exploit) Application security Whale protects back-end infrastructure through a built-in application firewall that provides positive logic policy enforcement. The Whale gateway provides complete control over outgoing and incoming content in order to ensure that no unsecure elements of an application, including buttons, links, text, header or cookies, are exposed to the browser. The AppWrap feature can alter the Web browser page to control access to specific functionalities. Business benefit: The Whale Intelligent Application Gateway’s application security features mitigate the risks of broader application availability and enable access from unmanaged endpoints without compromising on security. Examples: Out of the box rulesets for OWA, Exchange IIS The Optimizer delivers a set of out-of-the box positive logic rules configured specifically for Exchange and IIS to ensure that only legitimate server requests are passed on to downstream servers on. Settings are easily enabled for OWA and Outlook versions through an intuitive wizard-driven GUI. Out of the box rulesets for SharePoint

Portail d’accès personnalisé Gérer les accès des employés, des partenaires et des clients pour accéder aux applications d’entreprise Possibilité de définir plusieurs portails par appliance Chacune ayant sa propre adresse IP et son hostname Chaque portail est totalement personnalisable (aspect, applications, authentifications et autorisations). Etendre l’usage des applications au-delà du réseau interne Mettre en place des stratégies d’accès sans réduire le niveau de sécurité Capitaliser sur les infrastructures logicielles déjà en place Modèle d’accès qui propose un usage fonctionnel maximal en fonction du niveau de sécurité des clients IT Support Center Username: Password: Token: Employee Portal Username: Password: Token: Partner Extranet Username: Password: e-Commerce Username: Password: IT Support support.xyz.com Employees portal.xyz.com Partners extranet.xyz.com Customers shopping.xyz.com

Davantage d’informations 1 Informations techniques, training http://www.microsoft.com/forefront/edgesecurity/iag/whitepapers.mspx 2 Lab virtuels et démos sur http://www.microsoft.com/forefront/edgesecurity/producttours.swf 3 Versions d’évaluations et Maquettes virtuelles sur http://www.microsoft.com/forefront/edgesecurity/trial.mspx

Votre événement IT & Développeurs ! 200 sessions techniques, 3 plénières, des workshops, des hands on lab, de la formation et certification Une édition spéciale lancement Windows Server 2008, SQL Server 2008, Visual Studio 2008 et plus de 20 thèmes Management, Sécurité, Communication & Collaboration, Virtualisation, Business Intelligence, … Votre événement IT & Développeurs ! 11 au 13 février 2008 Palais des Congrès de Paris  microsoft.com/france/mstechdays