publier sharepoint 2010 sur internet de manière sécurisée (sec2302)
DESCRIPTION
Publier SharePoint 2010 sur Internet de manière sécurisée (SEC2302). Frédéric ESNOUF, Microsoft, Architecte Benoit HAMET, CapGemini , Architecte. Agenda. Bilan sur la cybercriminalité : risques et enjeux Problématique de publication d’applications en 2010/2011 - PowerPoint PPT PresentationTRANSCRIPT
Publier SharePoint 2010 sur Internet de manire scurise (SEC2302)
Publier SharePoint 2010 sur Internet de manire scurise (SEC2302)
Frdric ESNOUF, Microsoft, ArchitecteBenoit HAMET, CapGemini, Architecte#date1AgendaBilan sur la cybercriminalit : risques et enjeuxProblmatique de publication dapplications en 2010/2011Scnarios, problmatiques, approchePublier et protger les applications en 2011DmonstrationsDemos#Publier et protger les applicationsArchitecture de la solution
(Base, frontaux, permissions, ...)Accs distants &cybercriminalitAuthentification forte, Single Sign On (SSO), confirmit, scurit applicative, firewall applicatif,
Gestion des identits(qui a accs quoi, partenaires, )
#SharePoint et la scuritSharePoint cest une applicationSharePoint cest des espaces de collaborationSharePoint permet de partager des donnes, certaines sans et dautres avec de la valeurSharePoint cest des employs, des partenaires, .. des clients
SharePoint est le produit parfait pour montrer les enjeux de publication daccs distant=> Publier et protger les applications et les donnes.#Accs distants et cybercriminalitPublier et proteger les applications et les donnes les enjeux et risques de 2011#date5Identifier les risques
#Scurit Applicative cot clientOSNavigateurMediaUtilisateur
CacheMalwareKeylogger autreUAGMulti-deviceEmploy, partenaire et clientScurit applicativeAnalyse et conformit du posteAuthentification forteAttachment Wiper (application ..UAG serveur
InternetClients et utilisateurs
CybercriminelsCode, bug, Malware, virus
#OSWEBAppliSite, rpertoires, Donnes
Scurit Applicative cot ApplicationScurit au sein de lapplicationApports dUAG en plusSccmWinUpdate
Permissions,
Optimizer : Firewall Applicatif (URL set)Rcriture de flux (Appwrap)Analyse du poste politiques de scurit : application, fonction, sous sectionsTracabilitAuthentification forte +SSORMS : protection des documents#Scurit de bout en boutOSAppData
OSAppData
UserdiskUtilisateur
USBUsagesPc entreprisePc partenairePc client (citoyen)Smartphone &
RisquesSocial engineeringKeyloggersMalwareLost LaptopLost USB keyHard disk cache
Application
UAGPasserelleApplicative
FWFW#DmonstrationDcouverte de lexprience utilisateurConnexionPortail UAGApplications#Bannire de login UAG
#The login banner can be customized. Easyly (logo or text)11Le portail UAG
#The portal.. Contains all the application, you click you are in (including SSO).Nav bar at the left12Forefront Unified Access GatewayHistorique, vision, rle#date13Collaborateur
PC dentreprise
Fournir aux quipes IT une solution regroupant toutes les technologies de mobilit, et couvrant tous les scnarii Microsoft Unified Access Gateway
PC Partenaire
PartenaireClient, Citoyen
Kiosk
Maison, KioskHotel
Payroll & HRCollaborateur
#Office ConnectionsUpdates will be available at http://www.devconnections.com/updates/LasVegas _06/Office_Connections14Scenarios dans lentrepriseEmploy + poste corp : recommandation DA car trs efficace, aussi VPN/SSL via SSTPMeme scenario mais poste non corp : VPN et VPN SSL a banir => Securite applicative!Scenario partenaire : on controle rien => Securite applicativeScenario clients finaux : idem
Unified Access GatewayDirectAccessHTTPS (443)Layer3 VPN
Data Center / Corporate NetworkBusiness Partners /Sub-Contractors
AD, ADFS, RADIUS, LDAP.
Home / Friend / KioskEmployees Managed Machines
MobileExchangeCRMSharePointIIS basedIBM, SAP, OracleTerminal / Remote Desktop Services
Non web
HTTPS / HTTP
NPS, ILM
Internet
7FWFWFW#AchitectureUAG en DMZNon Intrusif
Microsoft ou non microsoft15bUAG et dfense en profondeurAutorisationUtilisateurLa donneScurit applicativeQui (poste) ?Qui (utilisateur) ?PermissionsProtection des donnesContrle temps relProtectedHostsAuthentificationAnalyse du posteAnalyse du poste de travailAnalyse du poste de travail (environ 1 seconde)Par dfaut, 200+ vrifications & Security centerExtension des vrifications par simple VBS, pour trouver la vrification qui va faire la diffrencePhoto technique du poste envoye UAG, puis utilise en temps rel lors de chaque actionLa cl de la scurit applicativeAuthentification Support natif de nombreuses bases :Active Directory, LDAP, TACACS, RADIUS, Auth forte : RSA, Gemalto, Vasco OTP, Carte Puce, Biomtrie,
Trouver le type dauth pour un scnario, en fonction de sa puissance et de son cot.Autorisation (droit + conformit)Affiche/cache des applications en fonction des droits de lutilisateurApplications grises si non conforme la politique de scurit !Supporte lautorisation sur la base de Claims (ADFS)Utilisation de Forefront Identity Mmanager (FIM possible pour la gestion des droitsApplication SecurityFirewall applicatif : ensemble de rgles qui modlisent le normal : RegExFiltres applicatifs pour les produits Microsoft, cration de vos filtres via interface graphiqueR-criture de flux (HTTP, URL, HTML, Code) temps rel : changer lexprience utilisateur, corriger du code qui casse, failles de scuritWeb Single Sign On (FORM, Ntlm, Kerberos, Kerberos Constrained Delegation (KCD), ADFS)Reporting et tracabilit la fois au niveau rseau (couche TMG) et applicatif (UAG)
Information SecurityEviter le Vol/perte des donnesCot client : attachment wiper, timeout, contrle de conformitCot serveur : politiques de scuritCot Application: RMS (right management services)
#2/11/2011 10:25 AM 2005 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.16UAG and defense in depthIdentifier les logiciels, les faillesIdentifier les donnes, ou elles se trouvent, leur valeur
Identifier les risques et contremesures
Configurer UAGAnalyse du poste + scuritTracabilitMthodologie#DmonstrationConnexion au portailLancement de SharePoint, dcouverte de lenvironnement, des donnes, des risquesTentative daccs.. Blocages.
Comment ca marche ?#Le portail UAG
Politique SAPPolitique SharePoint financePolitique SharePoint R & D#The portal.. Contains all the application, you click you are in (including SSO).Nav bar at the left19SharePoint dans UAG
Scurit?Scurit?Scurit?Scurit?#Politiques de scurit
Par ApplicationPar fonction : upload/download/restricted zones#Cach
#
Upload bloqu : non conforme#Les restricted Zones
#Bloquer, mais informer
#Administration et architecture#La console dadministration
#Interfaces de configuration pour SharePoint#date28Publication par type de device
#Also office PC clients29Configuration des AAMsParamtrer UAGParamtrer les AAM
Paramtrage trs fin
#UAG dans SharePoint
#Conclusions#Publier ses applicationsProtger les applications et les donnesIdentifier les donnes, analyse du risque et contremesuresScuriser de bout en boutPoste de travailPasserelleArchitecture interne : Forefront antivirusSharePoint : Application, des donnes, diffrents usages, diffrentes populationsEquipes SharePoint + Equipe Forefront UAG travaillent ensemble
#Merci !Questions et rponses, dmos#