Microsoft Forefront : Sécuriser l'accès à vos services en nuage

Vous pouvez garantir un accès sécurisé à vos services en nuage tout en maintenant la continuité de votre activité avec Forefront Threat Management Gateway 2010.

Yuri Diogenes

Il y a toujours des doutes concernant le passage à l'informatique en nuage. La sécurité est en haut de la liste. En planifiant la migration de votre entreprise dans le nuage, vous souhaitez vous assurer que l'activité ne sera pas interrompue. Vos utilisateurs ont besoin d'avoir un accès à leurs applications en permanence (désormais hébergées dans les services en nuage), et de manière sécurisée et très disponible.

D'autres préoccupations entrent également en jeu. Que se passe-t-il si mes clients internes ne peuvent pas accéder au nuage ? Maintenant que mon système de courrier électronique est dans le nuage, que se passera-t-il si l'accès Internet est interrompu ? Comme beaucoup de personnes doivent rester connectées à Internet pour accéder à nos services en nuage, que devons-nous faire pour garantir la sécurité et la productivité ? Ce sont des questions communes lorsque vous planifiez votre migration vers le nuage. Les réponses vont conditionner le futur déploiement pour votre entreprise.

Même si la sécurité et la disponibilité sont les plus grandes préoccupations des entreprises passant au nuage, les économies de coûts sont à coup sûr le moteur principal. L'informatique en nuage peut permettre des économies de coûts de différentes manières notamment avec l'adoption d'un modèle de « paiement à l'utilisation » ou avec la réduction des coûts d'infrastructure des centres de données.

La plupart des entreprises doivent être capables d'évoluer rapidement, de fournir une expérience enrichissante sur tous les périphériques (y compris les PC, les appareils mobiles et les navigateurs) et de proposer ces services sans compromettre la sécurité des données. Forefront Threat Management Gateway (TMG) 2010 peut vous permettre d'accéder aux services en nuage en toute sécurité avec des outils de productivité dont vous et votre communauté d'utilisateurs avez besoin pour continuer votre activité.

Passage au nuage

Pour la plupart des entreprises, la migration vers le nuage commence par le changement de différentes fonctions, telles que les outils de production. Cela inclut le courrier électronique, les sites Web de collaboration des équipes, la messagerie instantanée/la vidéoconférence et les applications de création de contenu. Ces outils de productivité sont les moteurs de votre activité. Ils sont au cœur de votre activité et doivent toujours être disponibles, que votre utilisateur soit à son bureau ou travaille à distance à partir d'un hôtel ou sur un site client (voir Figure 1).

Figure 1 Office 365 is the Microsoft Cloud solution for business productivity

Figure 1 Office 365 est la solution Microsoft Cloud pour la productivité des entreprises

Examinons une situation hypothétique en utilisant une entreprise imaginaire appelée Contoso. Nous suivrons Contoso dans les étapes de planification et de migration vers le nuage. L'entreprise planifie le déplacement de tous ses outils de productivité professionnelle vers le nuage. La première phase du projet consiste à utiliser Exchange Online pour déplacer le système de courrier électronique vers le nuage pour les employés situés aux États-Unis.

Il y a quatre prérequis essentiels pour cette première phase (voir Figure 2) :

  • Les utilisateurs internes ne doivent pas être affectés si la connection Internet de l'ISP actuel tombe en panne.
  • Les utilisateurs qui accèdent à leur système de courrier électronique dans le nuage doivent être protégés contre des menaces potentielles venant d'Internet
  • L'entreprise peut appliquer une stratégie de sécurité centrale concernant les services éloignés.
  • Les utilisateurs doivent être empêchés d'accéder aux sites non autorisés par la stratégie de sécurité de l'entreprise.

Figure 2 These four pillars must be in place for the first phase

Figure 2 Ces quatre piliers doivent être en place dans la première phase

Disponibilité élevée

Forefront TMG 2010 peut satisfaire aux exigences de Contoso pour la Phase 1 de la migration (voir Figure 3). Afin de répondre aux exigences de haute disponibilité, utilisez les fonctionnalités Forefront TMG 2010 suivantes :

  • Redondance ISP : Contoso peut avoir accès à Internet même si le fournisseur d'ISP actuel est en panne. Pour ce faire, un autre chemin Internet sera nécessaire, habituellement par un autre ISP.
  • Intégration d'équilibrage de la charge réseau (NLB) : En intégrant NLB à Forefront TMG, vous pouvez non seulement charger du trafic dans les nœuds NLB, mais aussi garantir le transfert réussi d'un nœud à un autre, même si l'un d'eux tombe en panne.

Figure 3 Leveraging the high-availability features in Forefront TMG 2010

Figure 3 Utilisation des fonctionnalités de haute disponibilité dans Forefront TMG 2010

Assurer la sécurité

Les services Exchange Online incluent des fonctions antivirus et anti-spam. Cependant, Contoso veut s'assurer que ses utilisateurs sont protégés lorsqu'ils vont sur les sites provenant du système de courrier électronique. Pour ce faire, il utilise une approche mutlticouches (voir Figure 4).

Figure 4 Leveraging Forefront TMG 2010 HTTPS Inspection feature to protect on-premises resources

Figure 4 Utilisation de la fonctionnalité d'inspection de Forefront TMG 2010 HTTPS pour protéger les ressources sur site

Cette approche multicouche vous permet d'utiliser la puissance du nuage tout en assurant la protection des clients sur site contre les menaces potentielles qui viennent d'Internet :

  • Un utilisateur distant envoie un courrier électronique à un client sur site de Contoso.
  • Ce message est infecté par un virus et l'antivirus d'Exchange Online nettoie le message.
  • Une notification selon laquelle un message est arrivé apparaît dans la boîte de réception du client.
  • L'utilisateur lit le message et constate qu'il y a un lien pour télécharger le rapport le plus récent à partir d'un site Web partenaire. L'utilisateur sait que c'est un lien vers un site sûr (utilisant HTTPS) et qu'il peut télécharger le rapport en toute sécurité.
  • La fonctionnalité d'inspection de TMG HTTPS analyse le trafic, valide les certificats et laisse le moteur d'inspection des logiciels malveillants analyser le fichier que l'utilisateur essaie de télécharger. Le moteur d'inspection des logiciels malveillants voit que le fichier est infecté et informe le client que celui-ci ne peut être ouvert parce qu'il est infecté par un virus.

Appliquer la stratégie

La première phase de la migration de Contoso couvre uniquement les utilisateurs situés aux États-Unis. Du fait de l'autonomie que chaque succursale a pour les opérations quotidiennes, l'entreprise doit permettre aux succursales locales de contrôler leur propre trafic. Elle doit aussi le faire dans le respect des règles et stratégies de l'entreprise. Pour atteindre cet objectif, utilisez Forefront TMG 2010 avec un scénario multitableau et appliquez les stratégies d'entreprise au niveau local (voir Figure 5).

Figure 5 Allowing autonomy to each branch office while maintaining central company policy enforcement

Figure 5 Permettre l'autonomie de chaque succursale tout en appliquant la stratégie centrale de l'entreprise

Ce modèle correspond à une vision de gestion centralisée de tous les groupes de l'entreprise. Cela permet également l'application de la stratégie d'entreprise. Lorsque vous modifiez les paramètres du pare-feu ou du réseau, Forefront TMG s'assure que toutes les connexions clientes existantes sont conformes aux nouvelles règles ou stratégies. Cela arrête également les connexions non autorisées.

Maintenir la productivité

Un travailleur qui utilise le nouveau système de courrier électronique doit rester concentré sur la productivité. Vous devez donc réduire les distractions potentielles. Vous devez également protéger les utilisateurs contre les sites malveillants, conformément à la stratégie de l'entreprise. La fonctionnalité de filtrage d'URL TMG 2010 utilise un service en nuage appelé Microsoft Reputation Service pour classer les URL auxquelles un utilisateur tente d'avoir accès (voir Figure 6).

Figure 6 Using Forefront TMG 2010 URL Filtering to improve information worker experience

Figure 6 Utilisation du filtrage d'URL Forefront TMG 2010 pour améliorer l'expérience d'utilisation des travailleurs de l'information

Voici comment le processus fonctionne :

  • Un utilisateur distant envoie un courrier électronique à un client situé sur le site de Contoso.
  • Le message est infecté par un virus et l'antivirus d'Exchange Online nettoie le message.
  • Une notification selon laquelle un nouveau message est arrivé apparaît dans la boîte de réception du client sur site. Le client lit le message et constate qu'il y a un lien pour accéder au portefeuille d'un partenaire qui inclut une affaire de pari.
  • La fonctionnalité de filtrage d'URL TMG évalue l'URL et recherche dans la base de données Microsoft Reputation Service si la catégorie de cette URL renvoie la notion de « pari », qui n'est pas admise par la stratégie d'entreprise.
  • Forefront TMG bloque l'accès à ce site et informe l'utilisateur sur les raisons pour lesquelles le site a été bloqué.

Si l'employé estime que le site ne devrait pas être bloqué, il peut temporairement avoir accès au site Web et informer l'administrateur que le site a été bloqué par erreur.

D'autres fonctionnalités de Forefront TMG peuvent aider au développement des scénarios de déploiement dans le nuage. La mise en cache en est un exemple. Forefront TMG peut mettre en cache des données HTTP et HTTPS à partir de vos applications en nuage. Cela permet d'économiser la bande passante et améliore l'expérience utilisateur en augmentant la valeur de latence des demandes d'informatique en nuage.

Forefront TMG peut également permettre des déploiements dans le nuage en intégrant sa fonctionnalité BranchCache dans Windows Server 2008 R2. Pour illustrer cela, nous allons considérer que la deuxième phase de la migration dans le nuage de Contoso inclut Office Web Plus pour les clients situés dans une succursale (voir Figure 7).

Figure 7 Using the Forefront TMG 2010 BranchCache capability to assist cloud migration of resources located in the branch office

Figure 7 Utilisation de la fonctionnalité BranchCache de Forefront TMG 2010 pour accompagner la migration en nuage des ressources situées dans une succursale

Voici comment BranchCache peut être utile avec les services en nuage d'un bureau distant.

  • Un client d'une succursale envoie une demande au Forefront TMG local pour accéder à Office Web Apps.
  • Forefront TMG détermine si les données demandées sont situées ou pas dans le cache local. Si ce n'est pas le cas, le Forefront TMG local envoie une demande au bureau principal Forefront TMG.
  • Le bureau principal Forefront TMG récupère les données à partir du nuage et les envoie au Forefront TMG en aval situé dans la succursale.
  • La succursale Forefront TMG stocke les données dans un cache local et les envoie au poste de travail client ayant fait la demande.
  • Un autre poste de travail situé lui aussi dans la succursale fait la même demande pour les mêmes données.
  • Forefront TMG évalue la demande, vérifie que les données sont dans le cache et fournit le contenu directement au client.

Comme vous pouvez le voir, plus il y a de clients utilisant des objets basés sur le nuage, plus le cache s'agrandit Ces objets seront accessibles plusieurs fois dans la journée. Avec Forefront TMG mettant en cache ces objets, l'entreprise peut économiser de la bande passante tout en augmentant la vitesse d'accès.

La sécurité demeurant la préoccupation principale des entreprises envisageant de passer dans le nuage, Forefront TMG 2010 peut fournir une passerelle Web sécurisée. Une fois les problèmes de sécurité résolus, vous pouvez vous concentrer sur la raison principale ayant motivé le passage de votre entreprise dans le nuage : les économies.

Yuri Diogenese

Yuri Diogenes* (CISSP, E-CEH, Security+, Network+, MCSE+S, MCTS, MCITP et MCT) travaille chez Microsoft comme ingénieur technicien spécialisé dans le support de sécurité au sein de l'équipe CSS Forefront Edge, basée à Irving au Texas. Diogenes est responsable de la gestion des escalades TMG/ISA et travaille en étroite collaboration avec l'équipe produit TMG pour ouvrir des bogues et entrer des demandes de modifications de la conception des fichiers au nom des clients Microsoft. Diogenes est coauteur de « Microsoft Forefront Threat Management Gateway Administrator's Companion » (Microsoft Press, 2010) et d'autres ouvrages Microsoft Forefront. Il écrit également des articles sur le blog de l'équipe TMG pour* TechNet Magazine et sur son blog personnel.

 

Contenu associé