Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe
Chapitre 1 : Introduction à l'isolation de serveurs et de domaines
Dernière mise à jour le 16-02-2005
Pendant bon nombre d'années il était courant d'isoler physiquement les ordinateurs et les réseaux, pour éviter de compromettre les données et les communications. L'isolation physique pose cependant un problème : elle ne permet pas de protéger facilement derrière des limites physiques l'infrastructure informatique d'un grand nombre d'entreprises. La forte croissance des clients mobiles et la nature des environnements réseau distribués rendent ces limites physiques trop rigides à implémenter et à utiliser.
Avec l'isolation de serveurs et de domaines, il est possible de créer une couche de sécurité pour isoler logiquement le trafic réseau entre des ordinateurs ou des réseaux. Si une personne malveillante parvient à accéder physiquement au réseau interne d'une entreprise et si elle tente d'accéder à un serveur contenant des ressources stratégiques, l'isolation de serveurs et de domaines est en mesure de bloquer cet accès, tout simplement parce que l'ordinateur utilisé dans le cadre de cette attaque ne fait pas partie des systèmes approuvés de l'entreprise, même si la personne malveillante a utilisé un compte d'utilisateur et un mot de passe valides.
L'isolation logique via des techniques d'isolation de serveurs et de domaines permet d'élaborer une solution d'isolation souple, évolutive et gérable, qui garantit la sécurité de l'isolation tout en évitant le coût et la rigidité des limites physiques.
Sur cette page
Synthèse
À qui s'adresse ce guide
Défi métier
Création d'une équipe de projet
Présentation du guide
Présentation du scénario
Résumé
Synthèse
Microsoft a parfaitement conscience que la sécurisation des réseaux constitue pour les grandes entreprises un défi de plus en plus complexe. Au fur et à mesure que les entreprises se développent et que les relations commerciales évoluent, le contrôle de l'accès physique au réseau relève presque d'une mission impossible. Tous les jours, pour des raisons commerciales valables, vos clients, fournisseurs et consultants connectent leurs équipements mobiles à votre réseau. L'apparition des technologies de réseau et de connexion sans fil, telles que GPRS et Bluetooth, a simplifié plus que jamais l'accès réseau. Cette connectivité améliorée signifie que les membres d'un réseau interne sont de plus en plus exposés aux risques non négligeables que constituent les autres ordinateurs de ce réseau interne, sans compter les brèches éventuelles dans le périmètre de sécurité. Les pare-feu personnels ou basés sur l'hôte participent à la protection des clients lors d'une connexion à Internet, mais ils ne permettent pas encore de protéger les clients et les serveurs internes.
L'isolation de serveurs et de domaines est intéressante pour l'entreprise. Elle offre avant tout une couche de sécurité réseau qui réduit considérablement le risque qu'un hôte non approuvé accède aux membres du domaine approuvés du réseau interne d'une entreprise. L'isolation de serveurs et de domaines peut jouer un rôle stratégique important dans le cadre de la lutte contre la propagation des virus, de la protection contre les pirates internes, contre les utilisations erronées de la part des employés et contre le vol d'informations. En outre, elle peut être utilisée pour demander l'appartenance au domaine de tous les clients cherchant à accéder à des ressources approuvées, qu'il s'agisse de clients ou de serveurs, de sorte qu'elles puissent être mieux gérées par le personnel informatique. L'isolation de serveurs et de domaines peut également servir de stratégie principale ou complémentaire pour répondre aux besoins en matière de protection ou de confidentialité des données sur le réseau, sans avoir à modifier les applications Microsoft® Windows® existantes ou à déployer un tunnel VPN sur le réseau.
L'isolation de serveurs et de domaines permet aux administrateurs du système informatique de restreindre les communications TCP/IP des membres du domaine identifiés comme ordinateurs approuvés. Les ordinateurs approuvés peuvent être configurés pour autoriser uniquement les connexions entrantes à partir des autres ordinateurs approuvés ou d'un groupe spécifique d'ordinateurs approuvés. Pour contrôler les droits de connexion réseau, les contrôles d'accès sont gérés de façon centralisée par les stratégies de groupe Active Directory®. La plupart des connexions TCP/IP peuvent être sécurisées sans avoir à modifier les applications. En effet, IPSec (Internet Protocol security) fonctionne au niveau de la couche réseau située sous la couche des applications, pour assurer une authentification et une sécurité de pointe par paquet, de bout en bout entre les ordinateurs. Le trafic réseau peut être authentifié, ou authentifié et chiffré, dans divers scénarios personnalisables. Les configurations d'IPSec et des stratégies de groupe sont gérées de façon centralisée dans Active Directory.
Le concept d'isolation logique présenté dans ce guide englobe deux solutions : l'isolation de domaines pour isoler les membres du domaine des connexions non approuvées, et l'isolation de serveurs pour qu'un serveur accepte uniquement les connexions réseau des membres du domaine approuvés ou d'un groupe de membres du domaine spécifique. Ces solutions peuvent être utilisées séparément ou ensemble, dans le cadre d'une solution d'isolation logique globale.
La solution testée présentée dans ce guide requiert la configuration minimale suivante pour les différentes plates-formes :
Windows 2000 avec le Service Pack 4 ou ultérieur
Microsoft Windows Server™ 2003
Windows XP avec Service Pack 2 ou ultérieur
Ces configurations garantissent le niveau de révision requis pour les composants d'IPSec. Les communications avec les plates-formes non-Windows ou avec des systèmes non approuvés sont contrôlées via la configuration d'IPSec, répertoriant les exemptions et/ou étant autorisée à revenir à des communications en texte clair (non-IPSec). Avec les nouvelles fonctions transversales de traduction d'adresses réseau (NAT), les traducteurs d'adresses réseau n'empêchent plus l'utilisation d'IPSec sur le réseau local.
Ce guide utilise le scénario de la Woodgrove National Bank pour illustrer l'implémentation de l'isolation de serveurs et de domaines dans un environnement de laboratoire représentatif. Il présente également l'expérience acquise par Microsoft lors de l'implémentation de ces deux solutions en interne, ainsi que dans des environnements clients. Ce guide a été conçu par une équipe d'experts de Microsoft. Il a ensuite été contrôlé par le personnel informatique de Microsoft et par des clients via un programme bêta.
Comme les scénarios d'isolation de serveurs et de domaines ont tous deux été implémentés dans le réseau interne mondial de Microsoft, l'entreprise dépend véritablement de la sécurité de ces solutions. Par ailleurs, en recommandant ces solutions à ses clients, Microsoft soutient les entreprises qui ciblent à long terme une infrastructure véritablement sécurisée et gérable, pour un environnement informatique plus sûr.
À qui s'adresse ce guide
L'objectif de ce guide est de vous aider à mettre en place une solution d'isolation de serveurs et de domaines tout au long du cycle de vie informatique, de la phase initiale d'évaluation et d'approbation, au déploiement, au test et à la gestion de l'implémentation. Pour cette raison, les chapitres de ce guide ont été rédigés de façon à répondre aux besoins des différents lecteurs.
Ce chapitre s'adresse principalement au décisionnaire d'entreprise qui cherche à déterminer si l'implémentation d'une isolation de serveurs et de domaines est intéressante pour son entreprise. Pour comprendre le contenu de ce chapitre, il n'est pas nécessaire d'avoir des connaissances techniques spécifiques, hormis les connaissances relatives aux activités de l'entreprise et à ses besoins en matière de sécurité.
Les chapitres de planification de ce guide (chapitres 2, 3 et 4) apporteront surtout une aide précieuse aux architectes et aux responsables informatiques chargés de mettre en place une solution personnalisée pour une entreprise. Pour exploiter au mieux ces chapitres, il est souhaitable de posséder de solides connaissances techniques concernant les technologies abordées et l'infrastructure actuelle de l'entreprise.
Le chapitre 5 et les annexes sont destinés au personnel de support chargé de créer les plans de déploiement de la solution de l'entreprise. Dans ce guide figurent également des recommandations relatives au déploiement réussi de la solution, ainsi que des étapes d'implémentation pratiques pour créer l'environnement du laboratoire de test.
Le chapitre 6 est destiné à servir de référence au personnel chargé du fonctionnement quotidien de la solution, lorsque cette dernière est implémentée et entièrement opérationnelle. Un certain nombre de processus et procédures de fonctionnement présentés dans ce chapitre doivent être intégrés dans la structure de fonctionnement de l'entreprise.
Le chapitre 7 contient des informations sur la résolution des problèmes liés au déploiement d'IPSec. Comme IPSec affecte les communications réseau, les informations et techniques de dépannage de ce chapitre peuvent apporter une aide non négligeable aux entreprises qui implémentent IPSec.
Défi métier
Aujourd'hui, la nature même des entreprises connectées et des équipements réseau mobiles est susceptible de mettre en péril l'infrastructure informatique de votre entreprise. Ces risques peuvent avoir diverses origines. Ils peuvent notamment provenir de l'ordinateur d'un client, d'un vendeur ou d'un employé mobile, outre les ordinateurs distants des petites succursales et les ordinateurs domestiques des employés. Dans bon nombre de cas, ces risques consistent principalement en l'attaque d'un logiciel malveillant (également appelé malware), tel qu'un virus ou un vers, téléchargé ou installé par inadvertance sur l'ordinateur d'un utilisateur crédule.
L'isolation logique ne peut pas être considérée comme une protection antivirus. Elle peut toutefois s'intégrer dans une solution antivirus plus vaste, car elle met en place une couche de sécurité complémentaire qui réduit les risques d'attaque et leurs effets. Par exemple, un client de passage dans votre entreprise qui connecte son ordinateur portable à votre réseau pour vous présenter une feuille de calcul introduit un risque dans l'infrastructure informatique de votre entreprise. En se connectant directement à votre réseau physique, ce client a contourné le périmètre de sécurité mis en place pour lutter contre les attaques réseau.
Si le réseau auquel se connecte ce client n'autorise pas l'accès direct aux serveurs de votre entreprise, le risque est limité. La question qui se pose est la suivante : comment autoriser l'accès à ces ressources de l'entreprise uniquement aux ordinateurs qui en ont besoin ? Avec l'isolation de serveurs et de domaines ! Cette technique permet d'identifier et d'authentifier un ordinateur afin de déterminer les ressources auxquelles il est autorisé à accéder. L'authentification a lieu avant que l'utilisateur se connecte, et elle reste active une fois l'ordinateur connecté. Avec cette approche, il est possible de réduire le risque que constituent pour vos données stratégiques les ordinateurs non identifiés et non gérés qui se connectent à votre réseau.
**Remarque **: pour plus d'informations sur les logiciels malveillants et pour connaître les moyens spécifiques à mettre en place afin de vous protéger, consultez la page The Antivirus Defense-in-Depth Guide .gif)
(Guide de défense antivirus renforcée), sur le site Web de TechNet, à l'adresse http://go.microsoft.com/fwlink/?LinkId=28732.
Avantages métier
Les avantages qui découlent de la mise en œuvre d'une couche d'isolation logique sont, entre autres, les suivants :
Sécurité renforcée. Une couche d'isolation logique offre une sécurité supplémentaire à tous les ordinateurs gérés du réseau.
Contrôle plus strict de l'accès à des informations spécifiques. Lorsque cette solution est mise en œuvre, les ordinateurs qui se connectent au réseau n'ont pas automatiquement accès à l'ensemble des ressources du réseau.
Coût moindre. L'implémentation de cette solution est bien moins onéreuse qu'une solution d'isolation physique.
Nombre d'ordinateurs gérés plus important. Si seuls les ordinateurs gérés ont accès au système d'informations d'une entreprise, tous les systèmes doivent devenir des systèmes gérés pour autoriser l'accès à leurs utilisateurs.
Niveaux de protection optimisés pour lutter contre les attaques des logiciels malveillants. La solution d'isolation réduit considérablement le risque qu'un ordinateur non approuvé accède à des ressources approuvées. Par conséquent, l'attaque d'un logiciel malveillant émanant d'un ordinateur non approuvé échoue car la connexion n'est pas autorisée, même si le pirate s'est procuré un nom d'utilisateur et un mot de passe valides.
Système de chiffrement des données réseau. Avec l'isolation logique, il est possible de demander le chiffrement de l'ensemble du trafic réseau entre des ordinateurs donnés.
Isolation d'urgence rapide. Cette solution offre, en cas d'attaque, un mécanisme permettant d'isoler rapidement et de façon efficace des ressources spécifiques du réseau.
Protection des connexions réseau en accès libre. Certains points de connexion réseau, tels que les points de connexion dans un « hall », n'offrent pas un accès direct à l'ensemble des ressources de votre réseau.
Audit amélioré. Cette solution permet de consigner et d'auditer l'accès réseau par des ressources gérées.
Défi technologique
Il n'est facile de protéger une infrastructure informatique moderne contre les attaques tout en permettant aux employés de travailler de la façon la plus souple possible et d'être aussi productifs que possible. Le fait de comprendre l'ensemble des technologies qui contribuent à sécuriser un environnement est déjà suffisamment complexe pour bon nombre de personnes. Il convient de repérer précisément où se situe la solution d'isolation dans une infrastructure informatique type et de comprendre de quelle manière elle complète les solutions de protection réseau existantes.
La figure suivante présente une infrastructure réseau type constituée d'un certain nombre de couches de protection réseau. Elle indique à quel endroit intervient l'isolation logique dans un environnement type :
.gif)
Figure 1.1 Zones de l'infrastructure et couches de protection réseau
La figure 1.1 illustre simplement les diverses technologies que vous pouvez mettre en œuvre pour sécuriser en profondeur une infrastructure réseau type. Ce type d'infrastructure comprend généralement les éléments suivants :
Travailleurs et réseaux distants. Ces entités distantes utilisent généralement des réseaux privés virtuels (VPN) pour se connecter au réseau interne de l'entreprise et accéder à son infrastructure informatique.
Internet. Le réseau interne de l'entreprise est souvent connecté à Internet via un ou plusieurs pare-feu de périmètre. Ces périphériques résident en général dans un réseau de périmètre qui fournit un niveau de protection élevé contre les menaces externes liées aux connexions Internet.
Réseau de périmètre. Ce réseau est sciemment placé à l'écart pour les serveurs et les systèmes qui ont besoin d'un accès direct à Internet ou auxquels il doit être possible d'accéder à partir d'Internet. Ils sont, par conséquent, plus exposés aux attaques.
Réseau interne. En général, ce réseau regroupe les réseaux de l'entreprise situés physiquement sur les sites qui lui appartiennent et gérés comme partie intégrante de l'infrastructure informatique.
Réseau de quarantaine. Ce réseau est un nouveau composant qui offre une connexion limitée aux ordinateurs qui ne répondent pas aux conditions minimales requises par l'entreprise en matière de normes de sécurité. Une fois que les tests exigés ont été menés à bien, l'ordinateur et l'utilisateur sont autorisés à accéder à l'ensemble du réseau interne. En cas d'échec des tests, le réseau de quarantaine leur accorde une connexion suffisante pour télécharger et installer les éléments requis qui leur permettront de mener à bien les tests. Grâce à la protection de l'accès au réseau (NAP, Network Access Protection), Microsoft offre de nouvelles possibilités aux ordinateurs distants mis en quarantaine. Pour plus d'informations, reportez-vous à la page Network Access Protection
du site de Microsoft, à l'adresse www.microsoft.com/nap.Réseaux partenaires. Compte tenu que ces réseaux n'appartiennent pas à l'entreprise ou que celle-ci ne les gère pas, un contrôle d'accès strict est généralement appliqué pour autoriser l'exécution de processus ou d'applications spécifiques de l'entreprise via un tunnel VPN ou un routeur de périmètre diffusant des communications extranet.
La figure 1.1 illustre le fait que l'isolation logique est axée directement sur les communications des hôtes du réseau interne. Les VPN sont gérés par les services d'accès à distance (RAS) pour autoriser la connexion sécurisée du trafic des travailleurs et réseaux distants. Les pare-feu réseau latéraux protègent les communications entre Internet et les réseaux internes. Les services RAS et la protection NAP permettent de gérer les connexions des travailleurs distants par le biais d'un réseau de quarantaine.
À l'heure actuelle, ces couches de protection réseau sont en général installées et gérées en tant que composants distincts d'un réseau de protection renforcée. Toutefois, dans les années à venir, ces composants seront probablement intégrés dans une solution de protection réseau commune susceptible d'être implémentée comme solution unique, de bout en bout.
Aujourd'hui, ce qui manque souvent dans bon nombre de réseaux, c'est la possibilité de protéger les ordinateurs du réseau interne les uns des autres. Parfois, les réseaux internes étendus prennent en charge plusieurs organisations, et dans certains cas, plusieurs services informatiques doivent gérer les ordinateurs et les points d'accès physiques. Par conséquent, il ne faut pas considérer le réseau interne simplement comme un réseau dans lequel tous les ordinateurs physiquement connectés sont approuvés et bénéficient d'une connexion réseau complète entre eux.
L'isolation logique vise à segmenter et à isoler le réseau interne afin de fournir un niveau de sécurité supérieur sans avoir recours aux limites physiques. Le véritable défi technologique de l'isolation logique consiste à mettre en œuvre la solution de sorte qu'elle soit à la fois gérable et évolutive. Si votre conception est trop complexe et restrictive, elle risque d'empêcher les utilisateurs d'effectuer leurs tâches, ce qui peut être pire que l'absence d'une solution d'isolation. Vous devez réaliser une planification et des tests avant et pendant le déploiement de la solution. Grâce à ce guide, vous avez la possibilité de mettre en place une solution évolutive et gérable, susceptible d'être déployée de façon contrôlée, et qui permet d'effectuer des tests à différents stades de la phase de déploiement.
Lorsque l'isolation logique est en place, la couche de sécurité complémentaire contribue à réduire les risques qu'encourent vos ressources d'informations sur le réseau, et ce, sans restreindre les possibilités d'action des clients autorisés.
Création d'une équipe de projet
Cette solution peut avoir une incidence sur l'ensemble des communications du réseau interne de l'entreprise, ce qui risque par conséquent d'affecter tous les services et toutes les personnes qui utilisent ces communications. Par conséquent, il est primordial que les attentes et les besoins de l'organisation soient communiqués, répertoriés, compris et pris en compte à chaque étape de ce projet.
Dans la mesure où une seule personne ne peut pas réaliser toutes les tâches requises dans un projet d'une telle ampleur dans une entreprise type, il est vivement recommandé de mettre en place une équipe de projet. Cette équipe de projet doit être constituée de représentants de tous les services de l'entreprise, et elle doit intégrer les principaux secteurs de technologie de l'infrastructure informatique actuelle. Étant donné que ce guide n'a pas pour but d'expliquer le fonctionnement d'une équipe de projet, nous partons du principe qu'une équipe de projet convenable est mise en place et que les parties prenantes et les utilisateurs sont informés des exigences et des objectifs de la solution tout au long du projet. Pour plus d'informations sur l'organisation d'un projet comme celui-ci, reportez-vous au site Web Microsoft Solutions Framework (MSF) , à l'adresse www.microsoft.com/msf.
Présentation du guide
Cette section présente brièvement le contenu des différents chapitres du guide Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe.
Chapitre 1 : Introduction à l'isolation de serveurs et de domaines
Le premier chapitre (celui-ci) est constitué d'une synthèse et d'une brève introduction présentant le contenu des chapitres de ce guide. Il présente le concept d'isolation logique ainsi que différentes approches de l'isolation de serveurs et de domaines pour une entreprise, met en évidence l'intérêt commercial et illustre l'intégration de ces approches dans une infrastructure informatique type. Ce chapitre donne également des informations sur le scénario de la Woodgrove National Bank, adopté à des fins de démonstration, de conception et de test.
Chapitre 2 : Présentation de l'isolation de serveurs et de domaines
Le chapitre 2 définit le concept des hôtes approuvés et explique comment utiliser l'approbation pour créer des solutions d'isolation de domaines ou de serveurs. Il décrit les relations entre le concept d'isolation de serveurs et de domaines, IPSec et les stratégies de groupe. Ce guide comprend des explications techniques détaillées de l'objectif attendu de la solution, en ce qui concerne les menaces de sécurité qu'elle prévient. Il explique également les problèmes techniques éventuels liés à l'utilisation d'IPSec pour créer une solution d'isolation de domaines et de serveurs.
Chapitre 3 : Détermination de l'état actuel de votre infrastructure informatique
Avant d'entreprendre un projet, les concepteurs de la solution doivent impérativement avoir connaissance d'informations précises, à jour, sur l'infrastructure informatique actuelle. Ils doivent notamment connaître l'état actuel de tous les systèmes réseau, des configurations des serveurs et des stations de travail, et des approbations de domaine. Ce chapitre aborde également les répercutions éventuelles sur d'autres technologies de réseau, telles que NAT, les clients VPN distants basés sur IPSec, les proxies et les pare-feu internes, et le filtrage de ports internes. Il donne aussi des explications sur les informations requises dans le cadre de la planification et présente les étapes permettant d'obtenir ces informations.
Chapitre 4 : Conception et planification de groupes d'isolation
Ce chapitre explique comment intégrer les besoins de l'entreprise dans la conception de l'isolation de serveurs et de domaines. Il présente une approche détaillée vous permettant de créer un groupe d'isolation qui répond aux besoins de sécurité de votre entreprise en matière d'isolation. Ce chapitre décrit également plusieurs approches de déploiement qui peuvent vous servir à limiter les conséquences sur l'entreprise lors du déploiement et à optimiser les chances de réussite de l'implémentation. Toutes les étapes et les procédures de ce chapitre sont illustrées par des exemples basés sur le scénario de la Woodgrove Bank.
Chapitre 5 : Création de stratégies IPSec pour les groupes d'isolation
La stratégie IPSec est le mécanisme que vous utilisez pour appliquer les règles qui autorisent les ordinateurs à communiquer entre eux. Ces règles sont affectées et distribuées aux membres du domaine approuvé par le biais d'objets de stratégie de groupe (GPO). Ce chapitre contient les informations indispensables à la création des stratégies IPSec, et il explique comment déployer ces dernières sur les ordinateurs des destinataires.
Chapitre 6 : Gestion d'un environnement d'isolation de serveurs et de domaines
Une fois la solution implémentée et opérationnelle, vous devez comprendre et noter un certain nombre de processus qui vous aideront à assurer au quotidien une prise en charge et une gestion correcte de la solution. Ce chapitre inclut un modèle de prise en charge et présente plusieurs processus et procédures de gestion à utiliser dans le cadre d'une structure de fonctionnement plus vaste, telle que Microsoft Operations Framework (MOF). Pour plus d'informations sur MOF, reportez-vous au site Web Microsoft Operations Framework , à l'adresse www.microsoft.com/mof.
Chapitre 7 : Dépannage d'IPSec
Des problèmes surviendront forcément durant le déploiement et l'utilisation de la solution. Ce chapitre présente des procédures de dépannage d'IPSec, des tâches, des outils et des conseils qui vous permettront de savoir si IPSec est à l'origine des problèmes rencontrés, puis de les résoudre, le cas échéant.
Annexes
Outre les principaux chapitres, ce guide comprend des supports de référence, des aides pour les travaux ainsi que des scripts utilisés, au cours de l'élaboration de ce guide, dans la planification, le test et le déploiement de l'environnement du laboratoire de test chez Microsoft. Les informations figurant dans ces annexes peuvent vous aider à implémenter vos propres solutions d'isolation de serveurs et de domaines. Elles sont destinées à vous aider durant toutes les phases du projet, depuis l'idée initiale de la solution jusqu'au fonctionnement au quotidien d'une solution entièrement déployée.
Présentation du scénario
Les solutions d'isolation de serveurs et de domaines ont toutes deux été déployées en interne sur le réseau interne de Microsoft. Toutefois, nous avons également testé une implémentation de laboratoire physique représentative, basée sur le scénario client de la Woodgrove Bank, pour proposer un modèle public et concret pour cette solution. Pour élaborer ce guide, les besoins de l'entreprise et les exigences techniques de cette organisation fictive ont été ajoutés à ceux de Microsoft. Ce guide contient des techniques de gestion et de prise en charge utilisées régulièrement par les administrateurs du système informatique interne de Microsoft. Des notes particulières ont été ajoutées lorsque les exigences et le personnel de la Woodgrove Bank différaient de ceux de la conception propre à Microsoft.
Qu'est-ce que la Woodgrove Bank ?
La Woodgrove National Bank est une organisation fictive de démonstration utilisée par Microsoft comme exemple de client tangible pour vous aider à déployer la solution. Microsoft a tiré parti de sa longue expérience avec ses clients professionnels pour dresser la liste des exigences de la Woodgrove Bank. Comme la Woodgrove Bank est une banque, elle s'appuie sur une solution de sécurité pour assurer la sécurité de ses ressources monétaires et des données privées de ses clients. La Woodgrove Bank doit également respecter les obligations réglementaires émises par le gouvernement et les groupes industriels. Dans cet exemple, les obligations réglementaires et législatives ne sont pas abordées pour éviter que la solution présentée ne soit spécifique à un pays ou une région.
La Woodgrove Bank est une importante banque d'investissement mondiale au service d'instituts, d'entreprises, du gouvernement et de particuliers dans son rôle d'intermédiaire financier. Ses activités incluent les hypothèques, les ventes et le commerce, les services de conseil financier, la recherche de placements, le capital de risque et les services de courtage pour les institutions financières.
La Woodgrove Bank est une filiale appartenant intégralement à la société WG, entreprise de services financiers mondiale majeure, dont le siège social est basé à Londres (Angleterre). La société WG possède les cinq entreprises suivantes : Woodgrove National Bank, Northwind Trading, Contoso, Ltd., Litware Financials et Humongous Insurance. Toutes les entreprises de la société WG sont de vastes organisations, comptant chacune plus de 5 000 personnes.
Situation géographique
La Woodgrove Bank emploie plus de 15 000 personnes, dans plus de 60 bureaux répartis dans le monde entier. Elle possède des sièges sociaux (sites satellites) qui comptent un grand nombre d'employés, à New York (5 000 personnes), à Londres (5 200 personnes) et à Tokyo (500 personnes). Chaque site satellite prend en charge des sites secondaires de petite taille (par exemple, le siège de New York prend en charge les sites de Boston et d'Atlanta). Outre ses sites satellites, la Woodgrove Bank possède également deux autres sites principaux, respectivement basés à Sydney et à Johannesburg, chacun possédant ses propres serveurs de fichiers dédiés, d'impression et d'applications.
Connectivité entre les sites
Tokyo et Londres sont connectées aux sièges de l'entreprise à New York via des connexions Internet privées. Les bandes passantes allouées sont respectivement de 6 mégabits par seconde (Mbits/s) et de 10 Mbits/s. Tous les sites satellites sont connectés aux sièges et bénéficient d'une connexion de 2 à 10 mégaoctets (Mo). Les filiales autonomes bénéficient d'une connexion de 2 Mo. Les micro-fililales ont généralement une connexion de réseau étendu (WAN) de 1 Mo. La figure 3.1 du chapitre 3, « Détermination de l'état actuel de votre infrastructure informatique », de ce guide détaille ces connexions.
Défis informatiques de l'entreprise
La Woodgrove Bank est confrontée aux mêmes défis que la plupart des entreprises. Elle souhaite en effet augmenter son chiffre d'affaires et réduire les coûts tout en diminuant le coût des immobilisations. Ces défis ont toujours des répercutions sur les services informatiques. La Woodgrove Bank est confrontée à un certain nombre d'initiatives d'entreprise qui affectent également les services informatiques. Parmi ces initiatives figurent les suivantes :
Conquérir de nouveaux marchés via des fusions et des acquisitions
Gagner la satisfaction des clients
Améliorer la productivité des employés
Améliorer les processus et le fonctionnement
Fournir un environnement sécurisé
Ces initiatives affectent les services informatiques, mais les responsables informatiques sont également confrontés à d'autres défis spécifiques, tels que les suivants :
Réduire le coût global des services informatiques.
Réduire les frais d'exploitation ; améliorer la gestion et réduire ses coûts ; réduire le nombre de serveurs dans l'environnement ; regrouper des applications et services hétérogènes sur des serveurs uniques.
Tirer parti des investissements informatiques existants.
Créer une infrastructure informatique souple.
Améliorer le retour sur investissement.
Accroître l'utilisation.
Améliorer la disponibilité et la fiabilité.
Exploiter de nouvelles plates-formes matérielles.
S'assurer que les employés, partenaires et clients utilisent l'environnement le plus sûr.
Autoriser les accords sur le niveau de service (en interne et en externe).
Améliorer la souplesse de l'entreprise en fournissant un véritable accès en temps réel aux informations, quel que soit l'endroit.
Profil informatique de l'organisation
La Woodgrove Bank est dotée d'un environnement serveur mixte sous Windows et UNIX, mais son infrastructure est exécutée sur une dorsale Windows Server. Elle compte au total 1 712 serveurs Windows. La plupart d'entre eux exécutent Windows 2000 ou une version ultérieure :
Serveurs de fichiers et d'impression 785
Serveurs Web 123
Serveurs d'infrastructure 476
Serveurs Microsoft Exchange 98
Serveurs Microsoft SQL Server™ 73
Serveurs de développement 73
Serveurs d'analyse 33
Autres (Lotus Notes, Oracle) 51
La plupart des serveurs sont répartis dans les trois sièges sociaux de l'entreprise (New York, Londres et Tokyo).
Environnement PC
La plupart des employés de la Woodgrove Bank possèdent au moins un ordinateur personnel. Les employés sont généralement équipés d'ordinateurs de bureau. Quant aux commerciaux, ils sont équipés d'ordinateurs portables. Au total, la Woodgrove Bank possède plus de 17 000 ordinateurs personnels. Environ 85 % de ces ordinateurs sont des ordinateurs de bureau et 15 % sont des ordinateurs portables. Plus de 95 % des ordinateurs personnels sont dotés de la technologie Intel et exécutent une version de Windows. Pour les applications LOB (Line of Business), des services spécifiques utilisent des postes de travail Macintosh et quelques postes de travail UNIX.
Présentation de l'architecture du système et de l'architecture de gestion
Le réseau de la Woodgrove Bank est constitué de plusieurs zones informatiques : un centre de données d'entreprise, deux sites satellites, deux succursales et un réseau de périmètre permettant d'assurer la prise en charge des utilisateurs distants. Pour centraliser la gestion des serveurs et des ordinateurs de bureau à New York, la Woodgrove Bank applique un modèle de gestion centralisée (voir figure ci-dessous).
.gif)
Figure 1.2 Modèle de gestion informatique centralisée de la Woodgrove Bank
Service d'annuaire
Pour sa structure Active Directory, la Woodgrove Bank a opté pour un modèle de forêt du fournisseur de service. Ce modèle offre en effet la possibilité de mettre en place une forêt pour le périmètre et une forêt partagée distincte pour les ressources internes. Cette souplesse permet de répondre aux exigences d'isolation des serveurs dans le réseau de périmètre. La Woodgrove Bank n'a pas choisi le modèle de forêt unique car celui-ci ne permet pas d'isoler les serveurs du périmètre des données stratégiques de l'entreprise. La figure suivante représente la structure logique Active Directory utilisée par la Woodgrove Bank :
.gif)
Figure 1.3 Configuration du service Active Directory de la Woodgrove Bank
La forêt du périmètre utilise le modèle de domaine de forêt unique. Il suffit en effet à assurer la gestion des serveurs du périmètre. Dans le périmètre, les exigences de réplication sont faibles ; il n'est donc pas nécessaire de mettre en place des limites de réplication ou d'avoir recours au modèle de domaines régionaux multiples pour segmenter la forêt. Notez bien que la Woodgrove Bank a choisi cette configuration uniquement pour la gestion des serveurs du périmètre. Si les comptes d'utilisateurs avaient été placés dans le périmètre et que ce dernier s'était trouvé dans plusieurs sites, une autre configuration de domaine aurait été requise.
La forêt interne est basée sur un modèle de domaines régionaux multiples. La Woodgrove Bank a créé trois domaines régionaux : Amérique, Europe et Asie. Par ailleurs, la Woodgrove Bank a implémenté une racine de forêt dédiée pour gérer les fonctionnalités au niveau de la forêt. Ce modèle permet de gérer la topologie de la réplication et de déléguer à chaque région l'administration de l'autonomie au niveau du domaine.
La topologie de site de la Woodgrove Bank est partagée en trois zones régionales : Amérique, Europe et Asie (Asie-Pacifique). New York, Londres et Tokyo sont les routeurs principaux de l'ensemble de la topologie.
Les concepteurs de la configuration de la Woodgrove Bank ont opté pour une unité d'organisation (UO) principalement orientée objet. La structure d'UO est répliquée dans son intégralité dans chaque domaine régional, et un sous-ensemble de la structure d'UO est créé dans la racine de la forêt. La figure 3.2 du chapitre 3 de ce guide représente en détail la structure d'UO utilisée par la Woodgrove Bank.
Stratégie de déploiement de l'isolation de serveurs et de domaines de la Woodgrove Bank
Pour définir au mieux la configuration qui répond à ses attentes, la Woodgrove Bank a créé un projet de laboratoire. Ce projet consiste en l'implémentation d'un petit laboratoire qui permettra de tester la configuration prévue par la Woodgrove Bank (voir figure suivante).
.gif)
Figure 1.4 Configuration expérimentale de la Woodgrove Bank
Ce schéma représente le sous-ensemble des ordinateurs utilisés dans le scénario de la Woodgrove Bank pour tester les scénarios présentés dans ce guide. L'objectif de ce projet de démonstration était de fournir une diversité de configuration suffisamment importante dans le laboratoire pour s'assurer que la solution fonctionne comme prévu, tout en évitant les répercutions sur les serveurs de production et les utilisateurs.
Les exemples proposés dans ce guide sont basés sur les résultats de l'infrastructure expérimentale représentée dans la figure 1.4.
Remarque : comme l'isolation modifie plusieurs aspects du réseau, Microsoft recommande vivement de tester, dans un premier temps, chaque scénario d'isolation dans un environnement de laboratoire afin d'éviter les répercutions sur les environnements de production. Les administrateurs du système informatique doivent se reporter aux chapitres 6 et 7 pour obtenir des informations sur la prise en charge, les procédures opérationnelles et le dépannage.
Lorsqu'un projet d'implémentation en laboratoire s'était déroulé avec succès, un groupe de serveurs était identifié pour implémenter un scénario élémentaire d'isolation de serveurs. Ces serveurs correspondent à ceux qui ont le moins de répercutions sur l'entreprise, en cas problème de connexion. Les administrateurs du système informatique et les techniciens du support technique ont suivi un entraînement aux techniques de dépannage. Ces serveurs ont été étroitement surveillés pour mesurer l'impact de l'implémentation sur les performances et sur les appels au support technique. Les rôles de gestion organisationnelle, les processus et les méthodes de support ont été testés. Ensuite, l'un des plus petits domaines de la Woodgrove Bank a été choisi pour tester l'isolation de domaines. Il a été possible de réduire l'impact de ce projet d'isolation de domaines en utilisant IPSec uniquement pour les sous-ensembles du réseau dans lesquels se trouvait la majorité des membres du domaine. Par ailleurs, il a également été possible de réduire l'impact sur l'entreprise en autorisant les communications non-IPSec lorsque les membres de ce domaine communiquaient avec des ordinateurs n'appartenant pas au projet expérimental. Une fois ces tests terminés, l'équipe de projet possédait toutes les informations nécessaires à la création et à l'implémentation d'une configuration complète pour l'ensemble de l'organisation.
Résumé
Ce chapitre constitue une introduction à l'isolation logique. Il explique comment l'isolation de serveurs et de domaines peut être utilisée pour créer une solution de niveau entreprise avec IPSec et des stratégies de groupe. En outre, il comprend une synthèse et une brève description de chaque chapitre de ce guide. Grâce à l'ensemble des informations de ce chapitre, vous pouvez comprendre les avantages que représente cette solution pour votre entreprise, comprendre comment elle s'intègre dans une infrastructure informatique type et cerner les compétences nécessaires à la réussite de sa mise en œuvre.
Télécharger la solution complète
Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe