Guide de planification de la mise en œuvre de services de mise en quarantaine avec Microsoft Virtual Private Network

  • Article

Chapitre 3 - Problèmes et conditions requises

Dernière mise à jour le 24 mai 2005

Sur cette page

Introduction
Scénario "Woodgrove National Bank"
Implémentation de l'accès VPN pour les télétravailleurs
Utilisation de Microsoft Operations Framework

Introduction

Le recours à la quarantaine VPN en vue de mieux sécuriser l'accès distant exige d'une organisation la mise en œuvre de plusieurs technologies capables de s'intégrer et de fonctionner avec fiabilité. Pour réussir, il est nécessaire de comprendre problèmes éventuels et les besoins sous-jacents de chaque technologie, ainsi que la manière dont elles interagissent entre elles.

Ce chapitre analyse le scénario solution pour la Woodgrove National Bank et les questions connexes. Le chapitre 4, « Conception de la solution », incorpore ensuite ce schéma dans une solution acceptable et adaptée.

Scénario "Woodgrove National Bank"

La Woodgrove National Bank est une banque d'investissement mondiale fictive au service de clients institutionnels, d'entreprises, de gouvernements et de particuliers comme intermédiaire financier. Ses activités incluent la garantie de fonds, les opérations sur les actions et obligations, les services de conseil financier, la recherche de placements et les services de courtage pour les institutions financières.

La Woodgrove National Bank est une filiale à part entière de la WG Holding Company. La WG Holding Company est une entreprise internationale majeure de services financiers dont le siège social est basé à Londres (Angleterre). La société WG possède les cinq entreprises suivantes : Woodgrove National Bank, Northwind Trading, Contoso, Ltd., Litware Financials et Humongous Insurance. Toutes ces entreprises sont de grandes organisations, comptant chacune plus de 5 000 personnes.

Situation géographique

La Woodgrove National Bank emploie plus de 15 000 personnes, dans plus de 60 bureaux répartis dans le monde entier. Elle possède des sièges sociaux (sites satellites) qui comptent un grand nombre d'employés, à New York (5 000 personnes), à Londres (5 200 personnes) et à Tokyo (500 personnes). Chaque site satellite a en charge plusieurs bureaux.

Chaque région contrôlée par les sièges sociaux dispose de plusieurs sites secondaires de tailles plus modestes (par exemple, Boston et Atlanta pour l'Amérique du Nord). Outre ses sites satellites, deux autres sites principaux, respectivement basés à Sydney et à Johannesburg, possèdent leurs propres serveurs de fichiers, d'impression et d'applications.

Profil informatique de l'organisation

La Woodgrove National Bank est dotée d'un environnement serveur mixte sous Microsoft® Windows® et UNIX, mais son infrastructure est exécutée sur une dorsale Windows Server. La plupart des serveurs sont répartis dans les trois sièges sociaux de l'entreprise à New York, Londres et Tokyo. La figure ci-après présente l'agencement des sites géographiques de l'entreprise et les liens entre eux.

Dd491976.PGFG0301_1(fr-fr,TechNet.10).gif

Figure 3,1 Environnement réseau de la Woodgrove National Bank

La Woodgrove National Bank exploite actuellement divers produits et technologies Microsoft pour des services d'Intranet et d'Extranet. La Woodgrove National Bank utilise une infrastructure de service d'annuaire Windows 2000 Active Directory® et procède actuellement à la mise à niveau de tous ses contrôleurs de domaine vers Microsoft Windows Server™ 2003. La société ne dispose pas de systèmes clients d'ancienne génération : tous les ordinateurs de bureau et portables sont équipés de Windows 2000 Professionnel avec Service Pack 4 (SP4) ou version ultérieure, de Windows XP Professionnel avec SP2 ou ultérieurs. Le service informatique de la Woodgrove National Bank possède une grande expérience de Windows Server 2003.

Prise en compte des exigences de la réglementation en vigueur

La Woodgrove National Bank doit respecter le cadre réglementaire financier en vigueur pour chaque pays/région où elle exerce ses activités. Elle doit également se conformer à toutes les législations applicables en matière de protection des données et montrer une sécurité opérationnelle efficace.

Accès distant sécurisé pour les employés

La Woodgrove National Bank offre à ses commerciaux, son équipe informatique et ses dirigeants un accès distant à son réseau d'entreprise. La solution d'accès distant actuelle utilise un accès réseau à distance via des circuits privés vers des serveurs d'accès distant dédiés équipés de modems ou de cartes RNIS. En comparaison aux connexions haut débit, ce type de connexion est lent et onéreux, surtout pour les utilisateurs qui voyagent à l'étranger.

L'accès Internet haut débit est de plus en plus répandu et permet aux entreprises d'utiliser un réseau privé virtuel (VPN) pour leur accès distant. Bien que cette approche permette de réaliser des économies et garantisse une meilleure expérience utilisateur, la vulnérabilité face à des attaques malveillantes s'accroît puisque les données propriétaires utilisent Internet pour leur transport.

Respect des exigences de la réglementation en vigueur

En tant qu'institution financière, la Woodgrove National Bank doit respecter les réglementations strictes en vigueur dans différents pays/régions. La banque doit également préserver la confiance de ses clients en protégeant les ressources de l'entreprise et de ses clients. La Woodgrove National Bank a mis en œuvre une initiative visant à sécuriser ses ordinateurs et a défini des stratégies de sécurité strictes pour tous les ordinateurs qui ont accès au réseau de l'entreprise, qu'ils soient connectés au réseau local ou à distance.

Vérification des mises à jour logicielles

Avec la solution d'accès distant existante, il est difficile de s'assurer que les ordinateurs distants disposent des dernières mises à jour de sécurité et des mises à jour disponibles pour les applications et les systèmes d'exploitation. Le service informatique de la Woodgrove National Bank ne parvient pas à empêcher l'accès d'ordinateurs non autorisés équipés de programmes antivirus obsolètes ou infectés de virus actifs et donc susceptibles de contaminer le réseau. Ceci constitue une faiblesse et représente une menace sur le réseau de l'entreprise. La Woodgrove National Bank a donc été contrainte à restreindre la connectivité à un petit nombre d'utilisateurs.

Le service informatique de la Woodgrove National Bank doit relever ces défis et fournir un service fiable et sécurisé aux employés sans mettre en péril le réseau de l'entreprise. Le reste de ce document décrit les facteurs et les choix auxquels la Woodgrove National Bank a été confrontée en matière de planification au moment de gérer les questions liées à la mise en œuvre de la quarantaine VPN.

Implémentation de l'accès VPN pour les télétravailleurs

Comme nombre d'organisations, la Woodgrove National Bank a constaté que beaucoup de cadres et de gestionnaires de comptes sont plus productifs s'ils ont la possibilité de travailler depuis leur domicile, au moins une journée par semaine. Par exemple, les gestionnaires de comptes peuvent rédiger des propositions, planifier des réunions et modifier les informations de contacts clients lorsqu'ils ne sont pas au bureau. La Woodgrove National Bank souhaite étendre cette option de travail à domicile à d'autres divisions et services mais s'inquiète des risques de voir des ordinateurs non conformes aux spécifications de son service informatique se connecter au réseau de l'entreprise. C'est pourquoi le service informatique de la Woodgrove National Bank autorise uniquement les employés équipés d'ordinateurs joints à des domaines à se connecter depuis des sites distants.

Défis commerciaux

L'équipe chargée de la mise en œuvre de l'accès VPN pour les télétravailleurs a identifié les problèmes suivants :

  • Cohérence. Afin de développer et déployer un service d'accès distant sécurisé et fiable à l'échelle de l'entreprise, toutes les sociétés et les filiales de la Woodgrove National Bank doivent suivre un cadre de sécurité clairement défini et homogène.

  • Définition des rôles et responsabilités. Divers groupes au sein de l'équipe informatique de la Woodgrove National Bank ont éprouvé des difficultés liées aux définitions peu précises des rôles et des responsabilités lors du développement du service sécurisé. À mesure que la stratégie de sécurité prenait forme, il est apparu que l'organisation devait décider qui aurait la responsabilité du réseau d'accès distant. Les discussions sur les processus à adopter ont abouti à l'évaluation des responsabilités des équipes d'administration informatiques.

Problèmes techniques

La planification et les premières phases d'expérimentation ont permis d'identifier les problèmes techniques suivants :

  • Stockage des mises à jour de sécurité et des correctifs. Le service informatique de la Woodgrove National Bank a décidé de faire appel au service Microsoft Update pour s'assurer que les ordinateurs d'accès distant disposent des dernières mises à jour de sécurité. Étant donné que SUS (Microsoft Software Update Services) utilise le Service de transfert intelligent en arrière-plan (Background Intelligent Transfer Service - BITS), la Woodgrove National Bank a jugé que la mise à jour des ordinateurs d'accès distant par les serveurs SUS exposés à Internet était trop lente. La Woodgrove National Bank a constaté que le fait de démarrer Internet Explorer et d'orienter l'utilisateur vers le service Microsoft Update permettait la récupération rapide des mises à jour sans nécessiter la mise en place et la gestion de serveurs supplémentaires.

  • Absence d'alertes, d'outils de contrôle ou de mesure détaillés. Pour pouvoir gérer avec efficacité les exigences de sécurité, de qualité et de coût, l'équipe informatique de la Woodgrove National Bank a besoin de mesurer avec précision la qualité de service de la solution d'accès distant. La Woodgrove National Bank peut contrôler les aspects essentiels liés aux performances du serveur d'accès distant et le fonctionnement général au niveau du système d'accès distant, mais pas au niveau des connexions VPN.

  • Délai lié à la quarantaine. L'exécution d'un script de quarantaine crée un délai entre la connexion initiale et le moment où l'ordinateur client sort de quarantaine. La durée du délai dépend du temps nécessaire à l'exécution du script de quarantaine et à l'envoi de la notification, puis au serveur d'accès distant pour lever les restrictions de quarantaine. Néanmoins, certaines applications tentent d'établir des connexions dès que l'ordinateur client a établi la première connexion avec le réseau. Dans l'hypothèse où les filtres de quarantaine VPN n'autorisent pas le trafic lié à l'application, celui-ci est bloqué et peut entraîner un échec au niveau de l'application. Les utilisateurs d'accès distant doivent être formés pour leur éviter de démarrer les applications tant que la connexion n'est pas entièrement établie.

Problèmes de sécurité

Les problèmes suivants affectent la stratégie de sécurité pour la mise en œuvre de la quarantaine VPN au sein de la Woodgrove National Bank :

  • Impossibilité de gestion des clients distants. La Woodgrove National Bank souffre actuellement de l'absence de normes concernant ses ordinateurs clients et ne possède pas les ressources nécessaires à la mise en place de configurations distantes (par exemple, l'activation du pare-feu Windows) comme élément inhérent au processus de connexion.

  • Validation des mises à jour de logiciels. La Woodgrove National Bank ne dispose pas de moyen de valider l'état des mises à jour du logiciel antivirus et des mises à jour de sécurité d'un ordinateur client avant sa connexion au réseau de l'entreprise. Cette situation peut aboutir à des ordinateurs clients distants infectés représentant des vecteurs d'attaque contre des ressources de l'entreprise, entraînant notamment des indisponibilités et coûts afin de rétablir un service nominal.

Conditions requises

La solution de quarantaine VPN mise en œuvre par la Woodgrove National Bank doit satisfaire les exigences suivantes :

  • S'assurer que toutes les exigences de sécurité de l'accès distant respectent une période d'exécution prédéterminée avant d'autoriser une connexion sans restriction au réseau de l'entreprise.

  • S'assurer qu'au moment où ils se connectent au réseau de l'entreprise, les périphériques ne sont pas accessibles à partir d'autres ordinateurs du réseau.

  • Chaque ordinateur se connectant au réseau d'entreprise doit être conforme à la politique de sécurité réseau. Cette politique intègre l'utilisation d'un programme antivirus à jour et la présence des mises à jour de sécurité approuvées.

  • Garantir une expérience utilisateur non intrusive, rapide et simple d'utilisation.

  • Favoriser un déploiement de logiciels clients simple et rentable.

  • Contrôler et enregistrer les activités d'accès distant.

  • Garantir un service fiable et hautement disponible.

Grâce à la mise en œuvre de ces objectifs, la Woodgrove National Bank a pu étudier ses options de conception. Le chapitre 4, « Conception de la solution » présente les résultats de cette étude.

Utilisation de Microsoft Operations Framework

La Woodgrove National Bank se base sur les principes du Microsoft Operations Framework (MOF) pour gérer et appliquer des modifications au sein du réseau de l'entreprise. MOF propose un ensemble de méthodes conseillées, de principes et de modèles fournissant des instructions sur les moyens de garantir une disponibilité, une fiabilité et une sécurité optimales. Les deux principaux domaines concernés par MOF sont la gestion des modifications et les opérations.

Pour plus d'informations sur l'architecture MOF, consultez les pages de Microsoft Technet sur Microsoft Operations Framework à l'adresse suivante : https://www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx.

Implémentation de la gestion des modifications

Les architectes système de la Woodgrove National Bank souhaitent que tous les projets de cette taille suivent des procédures de planification et de gestion efficaces. Un comité de pilotage doit surveiller le budget, les plannings et le développement de solutions et garantir l'approbation à chaque phase du projet.

Le service informatique de la Woodgrove National Bank souhaite tester la solution et mettre en place des déploiements pilotes avant de procéder à un déploiement dans l'environnement de production. La Woodgrove National Bank opère dans un environnement international et exprime le besoin d'adopter des processus précis en vue de planifier des modifications et garantir un système de communication clair aux dirigeants, aux utilisateurs et au personnel du support technique.

Pour garantir un déploiement en douceur de la quarantaine VPN, la Woodgrove National Bank envisage de mettre sur pied des équipes virtuelles dans le monde entier. Ces équipes doivent travailler en étroite collaboration afin de concevoir, développer et tester la conception et les technologies dans le cadre de scénarios différents. Ces mêmes équipes peuvent ensuite planifier, communiquer et gérer les modifications apportées à l'environnement d'accès distant au cours du déploiement.

De plus, le service informatique de la Woodgrove National Bank doit travailler avec les équipes de support opérationnel pour planifier les modifications, en se basant sur l'heure locale susceptible d'avoir l'impact le plus faible sur les utilisateurs et les divisions commerciales. Dans la plupart des scénarios d'accès distant, le moment le plus opportun pour procéder à des modifications importantes est au cours des heures ouvrées de 9 h à 17 h, du lundi au vendredi, puisque les connexions d'accès distant sont principalement utilisées en dehors de ces heures. Néanmoins, avec une utilisation accrue de l'accès distant visant à prendre en charge la stratégie commerciale pendant les plages horaires fixes à la Woodgrove National Bank, ce n'est pas toujours le cas. Une analyse efficace site par site est donc nécessaire pour s'assurer que les modifications ont un impact réduit sur les opérations menées.

Contrôle des opérations

La Woodgrove National Bank bénéficie d'une structure de contrôle et d'alerte en place couvrant la totalité du réseau de l'entreprise qui utilise Microsoft Operations Manager (MOM) 2005. Son service informatique doit étendre cette structure pour faciliter le déploiement des solutions d'accès distant. Avant de pouvoir contrôler la quarantaine VPN, vous devez installer le Pack d'administration de service d'accès distant et de routage pour MOM disponible à l'adresse suivante : https://www.microsoft.com/downloads/details.aspx?FamilyId=D1005486-2EEB-44A5-8196-5D4EB24F6EA0.

Pour identifier les domaines posant des problèmes lors des déploiements, la Woodgrove National Bank fait appel à des méthodes d'analyse et de collecte des données. Le service informatique de la Woodgrove National Bank utilise un élément clé du processus qui favorise la gestion de la santé du service. Cet élément consiste en un tableau de bord de l'accès distant (une série d'outils de mesure visuels) chargé de surveiller les données en direct. Le tableau de bord peut capturer, retracer et mettre en évidence les incidents utilisateur signalant des problèmes de connectivité.

L'analyse et la collecte de données sont primordiales pour la gestion des services en cas de modifications importantes et dans le cadre des fonctions de gestion des services. En associant les données collectées et les rapports avec les données du support technique, le service informatique de la Woodgrove National Bank peut à tout moment déterminer l'état de santé global d'un service avec un degré de confiance élevé. Les équipes chargées des opérations peuvent exploiter ces données pour passer en revue tous les événements affectant les services, mettre les effets et le service en corrélation, établir des plans de réponse proactifs et définir la prévisibilité future du service.

L'enregistrement de ces données est crucial car il permet de mesurer l'utilisation quotidienne ou d'identifier des tendances à long terme. Les équipes de support opérationnel de la Woodgrove National Bank utilisent Microsoft SQL Server™ 2000 et la technologie OLAP (On-Line Analytical Processing) pour générer des rapports permettant de suivre, mesurer et analyser les éléments suivants :

  • L'état de santé global du service en se concentrant éventuellement sur des domaines spécifiques.

  • Les données d'infrastructure reflétant l'état de santé et les performances du serveur.

  • Les données des clients illustrant des expériences utilisateur spécifiques, comme par exemple : temps pour se connecter, réussite à la première tentative, actions spécifiques susceptibles d'échouer, situation géographique des utilisateurs et numéro d'accès du fournisseur de services Internet.

  • Les problèmes qui affectent à la fois le service et la productivité des utilisateurs.

  • Le détail des coûts opérationnels les plus élevés pour des besoins budgétaires et de planification.

  • La résolution des tickets du support technique conformément aux accords de niveau de service en vue d'améliorer les processus ou la documentation.

Ce cadre de contrôle et de production garantit à la Woodgrove National Bank un environnement adapté à la mise en œuvre d'une solution de quarantaine VPN. Le dernier chapitre de ce guide décrit la manière par laquelle la Woodgrove National Bank a planifié cette mise en œuvre et les décisions prises avant le processus de déploiement.

Téléchargez

Dd491976.icon_exe(fr-fr,TechNet.10).gifGuide de planification de la mise en œuvre de services de mise en quarantaine avec Microsoft Virtual Private Network