Faire face aux défis de l utilisation de périphériques personnels sur le lieu de travail. (Bring Your Own Device - BYOD)

Transcription

1 Faire face aux défis de l utilisation de périphériques personnels sur le lieu de travail (Bring Your Own Device - BYOD)

2 Table of Contents Cadre applicatif pour la réussite du déploiement d initiatives BYOD 3 Limites des solutions actuelles 4 Vision de la gestion d accès BYOD 5 Un accès différencié et sécurisé pour tous les utilisateurs et périphériques 6 Identification et remédiation des périphériques compromis 8 Gestion des politiques au sein de toute l entreprise 9 La solution BYOD Aruba ClearPass 10 ClearPass Policy Manager 10 ClearPass QuickConnect 12 Répondre aux défis de BYOD avec Aruba 12 About Aruba Networks, Inc. 12 Aruba Networks, Inc. 2

3 Cadre applicatif pour la réussite du déploiement d initiatives BYOD La demande croissante d un accès réseau aux ressources de l entreprise en tout lieu et à tout moment s étend à présent à l utilisation de périphériques portables personnels, notamment les ordinateurs portables, tablettes, smartphones, lecteurs électroniques, etc. Du cadre possédant un iphone pour booster sa productivité personnelle au professeur de lycée qui a adapté ses cours aux nouvelles applications éducatives sur tablettes, les utilisateurs de tous types d entreprises apportent une multitude de périphériques portables grand public sur leur lieu de travail. Ils s attendent naturellement à accéder à des applications et du contenu professionnel, et non pas uniquement à Internet. En réponse à cette consumérisation de l informatique, de nombreuses entreprises permettent aux employés de choisir leurs ordinateurs portables et d utiliser leurs propres smartphones et tablettes au travail, dans le cadre d initiatives BYOD (Bring Your Own Device). Les entreprises ont toujours besoin d un accès aux ressources confidentielles via un périphérique propriétaire, mais elles sont en train de créer un nombre croissant de politiques flexibles pour autoriser l accès via des périphériques personnels. En conséquence, le nombre de périphériques par employé augmente, et la nature de leur utilisation est en train de passer d une relation «one-to-one» à «one-to-many». Actuellement, l utilisateur va se connecter au réseau en utilisant indifféremment un ordinateur portable, un smartphone et une tablette dans la même journée. Les entreprises adoptant les initiatives BYOD bénéficient d un certain nombre d avantages : réponse rapide aux besoins des utilisateurs, optimisation de la productivité des utilisateurs et, dans de nombreux cas, réduction des dépenses. Mais l autorisation d un accès des périphériques personnels aux ressources de l entreprise présente des conséquences directes en termes de sécurité, de contrôle du réseau, et même des ressources du centre d assistance. Les défis relatifs à la sécurité sont nombreux : identification des personnes et ressources présentes sur le réseau, préservation de ce même réseau contre les logiciels malveillants, mise en application appropriée des politiques d accès, maintien de la conformité, et impératifs d audit. De même, les ressources du centre d assistance peuvent être rapidement submergées, le département informatique peinant à trouver le temps de configurer les périphériques des utilisateurs en vue d une authentification sécurisée et d une utilisation professionnelle sur le réseau. Les solutions d accès au réseau qui ne permettent pas de simplifier adéquatement l utilisation de périphériques personnels tendent à ralentir l adoption complète du principe BYOD par les départements informatiques. Les entreprises ont besoin d un cadre applicatif simplifié pour le déploiement d une politique BYOD sécurisée, adaptable à tout type de périphérique, et Any Device compatible avec l infrastructure existante. Une solution BYOD doit automatiser le processus d intégration des périphériques pour les employés et les invités, ainsi que l administration et la mise en application de politiques, en rassemblant les informations sur le contexte du périphérique, ainsi que sur l utilisateur et la connexion. Le concept de BYOD nécessite également la visibilité et la production de rapports en temps réel, afin d accélérer les projets de quantification, de mise en application et de respect des objectifs de conformité. Galaxy Tab MacBook iphone ipad Droid Any Network VPN Figure1. The Aruba BYOD solution Aruba Networks, Inc. 3

4 Pour répondre à ces défis, Aruba a développé le système ClearPass Access Management System. Élément clé de l architecture MOVE (Mobile Virtual Enterprise) d Aruba, ClearPass fournit un cadre applicatif indépendant de l utilisateur et du périphérique, et adapté à toute initiative BYOD, quelle qu en soit la taille. Les avantages sont les suivants : Mise en application cohérente d une politique multifournisseurs pour périphériques câblés, sans fil et virtuels (VPN). Identification du périphérique dans une optique d optimisation du trafic et de renforcement de la sécurité du réseau. Provisioning en libre service de tous les périphériques mobiles majeurs. Accès et remédiation contrôlés des périphériques compromis. Accès invité sécurisé avec simplification des flux de travail. Amélioration de la sécurité, de la production de rapports et de la mise en conformité vis-à-vis des réglementations. Limites des solutions actuelles De nombreux produits d accès réseau sont actuellement disponibles, et beaucoup de ces produits sont présentés comme des solutions BYOD. Toutefois, la plupart ne parviennent pas à fournir la couverture nécessaire pour englober les infrastructures câblées, sans fil et virtuelles (VPN), avec prise en charge des employés, agents contractuels et invités, avec la multitude de périphériques dont ils disposent. Les solutions des fabricants d infrastructure par exemple, ignorent la nature multifournisseurs de la plupart des réseaux d entreprise, et laissent ainsi des failles dans la couverture qui pourraient nécessiter l ajout d autres solutions spécifiques. Un certain nombre de solutions de sécurité BYOD sont des produits à usage spécifique, fournissant une solution pour les ordinateur portables, une autre pour les périphériques mobiles, etc. Cette approche en silo de la gestion de la politique d accès au réseau et du principe de BYOD est complexe et coûteuse à implémenter, obligeant le département informatique à acheter et prendre en charge plusieurs composants qui pourraient ne pas assez bien interagir avec l infrastructure réseau existante. Une telle complexité peut également représenter un obstacle pour les utilisateurs, de par sa nécessité de provisioning manuel du périphérique, qui cause souvent une forte augmentation du nombre d appels au centre d assistance. Le provisioning doit être simple pour les utilisateurs, afin de ne pas les inciter à trouver des moyens de le contourner. Les utilisateurs ont besoin d une flexibilité suffisante pour prendre eux-mêmes en charge le provisioning de leur périphérique, ce qui simplifie la phase d intégration du périphérique par tout utilisateur, sans intervention majeure du département informatique. Le département informatique a besoin d une flexibilité suffisante pour définir des politiques basées sur de multiples variables, notamment : Où et quand utiliser un type de périphérique donné (un smartphone, par exemple). À quelles ressources un utilisateur spécifique est autorisé à accéder via un périphérique spécifique. Quels services et applications peuvent être utilisés. Quelle quantité de bande passante un périphérique ou une application donnée est autorisée à consommer. Ce n est qu avec une telle rigueur de contrôle que le département informatique pourrait par exemple permettre aux étudiants d une université d accéder au même réseau Wi-Fi sur le campus, tout en différenciant leurs privilèges d accès de ceux d un enseignant ou d un administrateur. Autre cas d utilisation dans un environnement d entreprise : le contrôle dynamique d une tablette ou d un smartphone fonctionnant en itinérance, et passant de la Wi-Fi au 4G. Dans un tel cas, les entreprises doivent préserver la sécurité et le contrôle sur un tel périphérique, si celui-ci accède à des ressources d entreprise. Aruba Networks, Inc. 4

5 Élément tout aussi important : le département informatique a besoin d une solution fournissant des capacités de visibilité et de production de rapports pour les périphériques appartenant à l entreprise et les périphériques personnels, après leur admission sur le réseau. La visibilité en temps réel, y compris le profilage de périphérique, est une obligation pour assurer le contrôle d accès granulaire, ainsi que pour la production de rapports, la planification, l audit et la conformité. Ce n est qu avec de tels outils que le département informatique peut vérifier si le smartphone perdu du directeur financier n a pas été utilisé pour accéder à des données sensibles, par exemple. La simplicité et l automatisation sont également des éléments clés de la productivité informatique, en permettant aux entreprises de passer plus de temps sur des projets critiques pour l entreprise, et moins de temps sur l exécution de tâches de dépannage et de diagnostic manuel. La prise en charge du principe de BYOD peut sembler fastidieuse, mais les entreprises peuvent adopter cette tendance en adoptant une approche holistique, visant à automatiser les processus et tenant compte des nécessités du service informatique et des utilisateurs, ainsi que des habitudes de travail. Vision de la gestion d accès BYOD Aucune entreprise ne se ressemble exactement. C est pourquoi le BYOD est compris différemment suivante la personne à qui vous vous adressez. Pour un médecin par exemple, cela signifie qu il peut apporter son ordinateur portable ou sa tablette au travail, et accéder ainsi à des informations confidentielles, notamment les dossiers de ses patients. En revanche, pour un chargé de budget, cela signifie qu il peut être en mesure d accéder à Internet et à des informations commerciales relatives au client où qu il se trouve, à l aide de son smartphone. Pour un professeur d université, cela peut signifier qu il sera à même de mener une conférence en attribuant facilement un accès invité à chaque utilisateur et un accès sécurisé quel que soit le type de périphérique. Une solution efficace de gestion d accès BYOD doit disposer de la flexibilité nécessaire pour satisfaire la majorité des exigences d utilisation que l entreprise veut prendre en charge, et leur donner la possibilité d autoriser ou d interdire le BYOD en fonction du rôle de l utilisateur ou du type de périphérique. Une telle solution doit être indépendante du fabricant et basée sur des normes ouvertes, et elle soit rationaliser la sécurité, la gestion des identités et l infrastructure réseau de l entreprise. Figure 2. ClearPass Policy Manager dashboard Aruba Networks, Inc. 5

6 Les initiatives BYOD peuvent englober de nombreux aspects, mais les entreprises doivent choisir des solutions BYOD présentant les caractéristiques suivantes : 1. Une architecture ouverte pouvant être déployée sur l infrastructure sans fil, câblée et distante de tout fabricant, et prenant en charge une vaste gamme de périphériques fixes et mobiles. 2. Des capacités de provisioning de périphériques automatisant la configuration des paramètres de sécurité et de productivité sur le périphérique, et fournissant des services de révocation d une grande convivialité. 3. Un système de politiques assurant une mise en application cohérente des privilèges d accès basée sur la confiance, les rôles des utilisateurs et les types de périphériques, tout en fournissant une évaluation des risques et une remédiation continue des périphériques. Une solution présentant ces caractéristiques fournira la flexibilité nécessaire à la gestion de toute une série de cas d utilisation de périphériques personnels (BYOD). Par exemple, une université peut centraliser la gestion des privilèges d accès pour les étudiants, les enseignants et les invités sur un réseau de campus géographiquement dispersé, quel que soit le type de périphériques et le système d exploitation. Dans l exemple cité plus haut, les politiques peuvent être mises en application sur tous réseaux (sans fil, câblé et VPN), magasins d identités, rôles d utilisateurs et méthodes d authentification, et mises à jour dès réception par le système d informations de profilage et de visibilité en temps réel. De même, il peut être attribué au personnel des services financiers ou des ressources humaines des accès différenciés en fonction de leurs rôles, des périphériques spécifiques utilisés, ainsi que de l endroit et de la méthode utilisés pour la connexion au réseau (au bureau, via un réseau sans fil ou distant avec connexion VPN, pendant les heures de travail normales ou pendant le weekend-end) Un accès différencié et sécurisé pour tous les utilisateurs et périphériques À ce jour, la plupart des solutions d accès au réseau ont utilisé des méthodes d authentification basées sur le périphérique ou l utilisateur pour fournir un accès différencié. Toutefois, dans un environnement BYOD, les utilisateurs disposent de périphériques différents, et il n est plus suffisant d utiliser d une politique générale applicable à tous. Que les périphériques proviennent du département informatique ou qu ils appartiennent aux utilisateurs, des politiques différenciées seront probablement nécessaires. Ces politiques seront basées sur le rôle de l utilisateur, de l endroit et de la méthode utilisés pour la connexion, et de la nature du périphérique utilisé. Pour mettre en application ce niveau d accès différencié dans un environnement BYOD, la solution idéale doit comprendre les capacités suivantes : Provisioning et gestion dynamiques des périphériques. Pour décharger le département informatique du travail nécessaire pour réaliser un provisioning manuel, une solution BYOD doit prendre en charge l intégration dynamique de périphériques, et automatiser l inscription de l utilisateur, ainsi que les affectations de références, tout en permettant au service informatique de révoquer facilement et automatiquement les privilèges et les certificats d un périphérique. Une solution BYOD exhaustive comprendra des fonctionnalités couvrant le profilage du périphérique, le provisioning, l inscription et l intégration, et la révocation. Les outils de provisioning doivent simplifier la configuration des SSID (Service-Set Identifiers), du type de protocole EAP (Extensible Authentication Protocol), en distribuant des certificats et en permettant les configurations de postures. L inscription de mécanismes d enregistrement de périphériques doit laisser aux utilisateurs la possibilité de charger des informations personnelles, comme des adresses MAC (Media Access Control) et des versions de système d exploitation, dans un système de gestion de politique. Dans certains cas (un environnement gouvernemental hautement sécurisé par exemple), le département informatique aura besoin de garder le contrôle sur l intégration des périphériques. Mais dans la plupart des cas, le provisioning dynamique permet aux utilisateurs de configurer eux-mêmes leurs périphériques pour un accès sécurisé. Aruba Networks, Inc. 6

7 Profilage robuste de périphériques. Une solution BYOD doit être en mesure d identifier chaque périphérique, afin de comprendre à partir de quel endroit celui-ci se connecte au réseau, et de déterminer qui l utilise. Le service informatique doit être en mesure de créer des politiques d accès uniques pour l ordinateur portable professionnel et l ipad d un même employé. Au vu de la diversité des périphériques grand public disponibles et de la vitesse à laquelle ils changent, le profilage dynamique de périphériques donne la visibilité nécessaire pour déterminer si un nouveau périphérique ou une nouvelle version d un système d exploitation pose problème. La capture dynamique d informations sur les périphériques fournit également des données exhaustives sur ceux-ci, pouvant être utilisés pour la création de politiques plus granulaires que celles basées uniquement sur l adresse MAC. Les méthodes devraient comprendre une prise d empreinte DHCP (Dynamic Host-Configuration Protocol) de référence et une détection du navigateur, ainsi que la collecte d informations détaillées provenant de sources comme les agents, les serveurs d authentification RADIUS et les données Active Directory. Figure 3. ClearPass profile accuracy En optimisant le trafic et en implémentant des paramètres de sécurité uniques adaptés à des périphériques spécifiques, une entreprise dispose d un contrôle bien plus étendu sur le réseau. De même, la capacité de profiler instantanément des périphériques peut s avérer une bénédiction pour le centre d assistance informatique. Cela comprend la capacité d indiquer si un périphérique est un iphone, un ordinateur portable Windows ou un Kindle Fire, et si le système d exploitation est ios, Mac OS X, Windows 7 ou Android. Accès Wi-Fi invité. La définition d un utilisateur invité est à présent bien plus complexe, le terme pouvant décrire un employé intérimaire comme un client effectuant ses achats dans un magasin. En conséquence, les demandes du réseau relatives aux invités ont changé, et une solution de gestion d accès BYOD doit fournir les mêmes possibilités aux invités qu aux employés, y compris le provisioning dynamique, le profilage et la différenciation de rôles, indispensables pour avoir l assurance que les normes sont bien respectées. Aruba Networks, Inc. 7

8 De nombreuses entreprises limitent les invités à un segment de réseau isolé, en utilisant un SSID distinct de celui de l entreprise, et fournissent uniquement l accès à Internet. Toutefois, la solution d accès BYOD devrait donner au département informatique la flexibilité nécessaire à la création de règles pour différents types de visiteurs. En supplément, une solution d accès BYOD doit être facile à utiliser, prendre en charge une administration multiniveaux et des capacités de sponsorat, et automatiser la possibilité d inclure aux politiques des éléments contextuels tenant compte des privilèges relatifs à l heure du jour et au jour de la semaine. Par exemple, lorsqu un invité saisit des informations demandant l accès, la solution d accès BYOD doit pouvoir créer un compte de statut désactivé, jusqu à ce qu un sponsor agréé ait vérifié et approuvé la demande. Des méthodes automatisées doivent délivrer des références d accès une fois l approbation reçue par le système. Identification et remédiation des périphériques compromis Le provisioning des périphériques de nœuds d extrémité doivent comprendre la capacité à activer les vérifications de posture et d état de santé pendant le processus de configuration, afin d identifier tout périphérique compromis et posant un problème de sécurité. Dans l idéal, il devrait s agir d un processus automatisé non récurrent utilisant un package de provisioning généré par le département informatique, au lieu de nécessiter la configuration manuelle de chaque périphérique. Les solutions d accès BYOD devraient fournir des fonctionnalités d évaluation de posture et de remédiation de niveau professionnel, supérieures aux offres NAC (Network Access Control) ordinaires, comprenant non seulement les vérifications d état de santé traditionnelles mais aussi l examen de la configuration et des applications exécutées sur un périphérique, ainsi que l autorisation ou l interdiction des périphériques de stockage USB. Successful Authentication Failed Policy Figure 4. Automated posture and health remediation La capacité d accepter un supplicant ou un agent disposant de toutes les fonctions possibles sur un périphérique est également important pendant le provisioning des nœuds d extrémité personnels, les supplicants natifs ne permettant que les vérifications élémentaires d anti-virus, anti-spywares et pare-feu logiciels. La capacité à exécuter des évaluations de posture dans un environnement BYOD en utilisant des agents permanents et temporaires est un élément important, de nombreux périphériques devant être gérés administrativement par l utilisateur. Les agents temporaires pour BYOD réduisent les frais administratifs, car ils sont téléchargés lors d une connexion à un portail captif, et supprimés une fois la page web fermée. De plus, les solutions d évaluation de posture de niveau professionnel comparent généralement les informations de posture/santé avec les politiques centralisées définies dans un PDP (Policy Decision Point). Pour qu une solution de gestion d accès BYOD soit efficace, le PDP doit disposer de la capacité de mettre automatiquement en quarantaine les BYOD non conformes et les périphériques provenant du département informatique en utilisant des mécanismes basés sur les rôles ou des méthodes de canalisation VLAN. Aruba Networks, Inc. 8

9 Dans le cadre d une évaluation totale de posture, une solution d accès BYOD doit : Exécuter des vérifications automatiques via des agents persistants et temporaires. Vérifier que les logiciels antivirus, antispyware et de pare-feu sont à jour. Vérifier la présence périphériques de stockage USB et d applications et services P2P comme Skype et BitTorrent. Fournir des options de contrôle, y compris l accès réseau protégé, une remédiation manuelle et automatique via des URL dirigées, et le déni de service. Enfin, la liaison des informations de posture avec les données d identité et autres données contextuelles permet aux entreprises de mettre en application des politiques différenciées en fonction des besoins de l entreprise. Gestion des politiques au sein de toute l entreprise Des capacités de gestion de politiques de niveau professionnel sont essentielles pour un déploiement BYOD. L unification de politiques sur des infrastructures câblées, sans fil et VPN permet au département informatique de consolider plusieurs silos de solutions de gestion de politique en une plate-forme unique. Cela assure une plus grande cohérence dans la gestion de politiques s étendant sur toute l entreprise, et le respect des règles de conformité. Une solution efficace de gestion d accès BYOD doit assurer un déploiement, une mise en application et des capacités de gestion de politiques sur une grande échelle, comprenant les éléments suivants : Gestion de politiques au sein de toute l entreprise Le département informatique doit définir et gérer les politiques à partir d un emplacement centralisé, tout en maintenant la cohérence de l expérience utilisateur, quelle que soit la méthode de connexion au réseau. Le personnel informatique de Los Angeles par exemple, devrait être en mesure de définir des politiques pour des travailleurs distants opérant en Inde ou en Chine. Les économies en temps et en frais sont aisément identifiables : il est inutile de disposer d un budget pour les ressources et les voyages pour prendre en charge les nouveaux utilisateurs et cas d utilisation, ou pour exécuter un dépannage. En outre, un système de gestion de politiques centralisé doit donner accès à plusieurs magasins et bases de données d identités pour pouvoir réaliser indépendamment des authentifications et des autorisations. Par exemple, pour des raisons de sécurité, une société peut stocker des informations d utilisateurs dans un service d annuaire Active Directory et des informations de périphérique dans une base de données SQL. Niveaux d administration multiples et accès basé sur les rôles. La gestion de politiques doit être centralisée, dans un souci de cohérence, mais les entreprises ont besoin d une flexibilité suffisante pour l administration distribuée de ce type de gestion. Une solution d accès BYOD doit prendre en charge toute une gamme de niveaux d administration, ainsi qu une administration basée sur les rôles, pour les départements de sécurité, services informatiques et centres d assistance. Gestion basée sur le Web. La fourniture au personnel informatique d un accès web à l intégralité du système de gestion de politiques sans nécessiter d appareil ou de licence spécifiques assure la simplicité d utilisation et la réduction du coût total de possession. Le nivellement des privilèges administratifs permet au personnel informatique et du centre d assistance de visualiser et gérer certains aspects du système dans leur zone de responsabilité sans compromettre la sécurité de l intégralité du système. Accès aux analyses et au rapports. La visibilité de l activité relative à l accès est cruciale pour le respect des règles de conformité et pour le renforcement de l efficacité des politiques d accès au réseau. Une solution d accès BYOD doit fournir au département informatique des capacités avancées de production de rapports permettant de surveiller l activité d accès actuelle et historique, de générer divers types de rapports et d analyser des données en fonction des paramètres d accès, notamment par rôle, classe de périphérique et emplacement d accès. Le département informatique doit également disposer de la capacité d agréger des données, d appliquer des filtres et d effectuer des recherches en profondeur, afin d en avoir une vision détaillée. Aruba Networks, Inc. 9

10 Options de matériel et de machine virtuelle (VM). Une solution BYOD doit apporter aux entreprises la flexibilité en termes de facteur de forme, et la possibilité de combiner les implémentations de matériel et de VM sans décalage au niveau des caractéristiques et des fonctionnalités. L utilisation de VM par exemple, peut réduire les frais et la complexité, en limitant la consommation d énergie et les nécessités de refroidissement, tout en simplifiant le câblage. De même, les appareils peuvent être l option idéale dans des centres de données de grande taille, alors que l option VM peut être ajoutée à un serveur dans des bureaux distants, lorsque le coût du matériel est un facteur de décision majeur. Redondance et basculement. Un haut degré de disponibilité est obligatoire pour un serveur de politique opérant sur toute l entreprise. Au lieu de placer un appareil dédié complètement redondant en attente passive dans le cadre d un modèle actif/passif, la solution d accès idéale devrait prendre en charge la tolérance aux pannes en utilisant un modèle publication/abonnement. Dans un tel modèle, un serveur primaire duplique ou publie tous les changements sur un ou plusieurs serveurs secondaires. Cette approche est plus flexible que les autres modèles en grappe. La solution BYOD Aruba ClearPass Aruba Networks comprend les défis rencontrés par les entreprises, lors de l implémentation d une solution d accès robuste, tout en étant assez flexible pour gérer la nouvelle tendance que représente le concept de BYOD. Aruba ClearPass est la seule solution BYOD basée sur des normes, fournissant un contrôle d accès sous forme de couche non perturbatrice sur le réseau existant de l entreprise. Une entreprise peut ainsi rationaliser son infrastructure existante de réseau, d identité et de sécurité, et activer la fonctionnalité ClearPass si nécessaire. Il s agit d une approche économique et adaptable, permettant aux entreprises de déployer une solution BYOD adaptée à leurs besoins particuliers. Le système ClearPass Access Management System comprend les modules ClearPass Policy Manager et ClearPass QuickConnect. ClearPass Policy Manager est une plate-forme centralisée définissant et contrôlant les politiques d accès au réseau basées sur l identité de l utilisateur et les types de périphériques sur réseaux câblés, sans fil et virtuelles (VPN). ClearPass QuickConnect simplifie la configuration de l authentification 802.1X sur périphériques Windows, Mac OS X, ios, Android et Linux, pour un accès réseau plus sécurisé. ClearPass Policy Manager Le système ClearPass Policy Manager combine toutes les capacités d une solution BYOD robuste en une seule plate-forme. Ce serveur de politiques centralisé fournit un contrôle d accès différencié, basé sur le contexte, ainsi que des utilitaires opérationnels conçus pour réduire les frais informatiques. Avec ClearPass Policy Manager, le département informatique peut facilement automatiser et déployer les politiques d authentification et d autorisation sur l intégralité de l entreprise, pour les applications sans fil, câblées, virtuelles ou à accès invité. En plus de ses serveurs RADIUS et TACACS+ intégrés pour prise en charge AAA, le système ClearPass Policy Manager peut consulter de multiples identités et bases de données, dont celles basées sur Microsoft Active Directory, LDAP, SQL et Kerberos, fournissant ainsi un modèle de politique unifié assurant que les contrôles d accès sont appliqués de manière cohérente au sein de toute l entreprise. ClearPass Policy Manager offre un accès différencié basé sur divers attributs, notamment le rôle de l utilisateur, le matériel, l heure et l emplacement. Pour les besoins de conformité et de réglementation, le système collecte également des données de transaction pour chaque session d utilisateur, et propose au personnel informatique et aux responsables des opérations diverses options de production de rapports. Aruba Networks, Inc. 10

11 La plate-forme ClearPass Policy Manager prend en charge de nombreuses caractéristiques supplémentaires, grâce à ses modules logiciels riches en fonctionnalités pour le modèle BYOD : ClearPass Onboard. Le module logiciel de provisioning d entreprise ClearPass Policy Manager automatise complètement l intégration de périphérique pour le département informatique, via une interface d administration intégrée. ClearPass Onboard propose un provisioning automatisé en libre service pour périphériques Windows, Mac OS X, ios et Android, comprenant la configuration de paramètres 802.1X, ainsi que la distribution et la révocation de références uniques de périphériques. Les fonctionnalités supplémentaires comprennent la possibilité de pousser les applications requises, et des paramètres de configuration pour la messagerie mobile avec clients Exchange ActiveSync et VPN pour certains types de périphériques. ClearPass Profile. Le module logiciel de profilage de périphériques pour ClearPass Policy Manager utilise un système à cinq niveaux comprenant le DHCP et d autres méthodes avancées, ainsi que les informations de prise d empreinte et de profil pour utilisateur final et périphérique. Les informations au Figure 5. ClearPass Onboard niveau du périphérique comprennent des détails comme la version du système d exploitation, le fabricant et la catégorie du périphérique. Ces informations contextuelles sont ensuite stockées et utilisées pour améliorer les décisions relatives aux politiques et identifier les changements d un profil d appareil, pour changer de façon dynamique les privilèges d autorisation. Par exemple, les politiques peuvent être utilisées pour différencier l accès d un périphérique attribué à un employé par l entreprise, par rapport à un périphérique personnel de ce même employé. ClearPass Guest. Le module logiciel ClearPass Guest software pour ClearPass Policy Manager permet au service informatique et au personnel non technique de gérer les comptes Wi-Fi invités et d intégrer les tâches relatives aux références d accès pour les visiteurs, quelle que soit la taille de l environnement. En plus de permettre aux employés et aux invités d enregistrer eux-mêmes leurs propres périphériques, ClearPass Guest prend en charge les contrôles d accès basés sur les rôles, la surveillance d activité dans un esprit de conformité et d audit, ainsi que des fonctionnalités uniques comme la publicité et les services de point d accès commercial. ClearPass OnGuard. Le module logiciel ClearPass OnGuard pour ClearPass Policy Manager permet des évaluations de posture complètes qui minimisent le risque de virus et la mauvaise utilisation d applications et de services avant la connexion des périphériques au réseau. Avec la prise en charge des agents persistants et temporaires, notamment les agents spécifiques aux fabricants comme les supplicants natifs Microsoft Windows, ClearPass OnGuard exécute des évaluations de posture sur des appareils fonctionnant avec les systèmes d exploitation Windows, Mac OS X et Linux, et s assurant de la présence des anti-virus, anti-spywares et pare-feu de plus de 80 fabricants. En outre, ClearPass OnGuard vérifie les services autorisés, processus, applications P2P comme Skype, périphériques de stockage USB, clients VM, et points d accès, et fournit des services de remédiation automatique ou de quarantaine, selon les exigences des politiques de l entreprise. Aruba Networks, Inc. 11

12 ClearPass QuickConnect ClearPass QuickConnect est un service basé sur le cloud fournissant une fonctionnalité de configuration 802.1X en libre-service pour périphériques Windows, Mac OS X, ios et Android, réduisant ainsi la charge de travail du département informatique. Le département informatique configure des variables de nœuds d extrémité pour créer des packages d authentification du réseau, tandis qu il est présenté aux utilisateurs un assistant de configuration via un portail web captif, un GPO (Group Policy Object) Active Directory, un périphérique USB ou un CD. Les utilisateurs lancent simplement l assistant, saisissent leurs références et se connectent au réseau en quelques minutes seulement. Répondre aux défis de BYOD avec Aruba Avec la prolifération des initiatives BYOD, les entreprises subissent une pression importante concernant la connexion de nouveaux utilisateurs et de nouveaux appareils, tout en maintenant un haut niveau de sécurité. Le système ClearPass Access Management System d Aruba, la première solution de sécurité BYOD de l industrie, adopte une approche basée sur l utilisateur mobile et le périphérique, fournissant une solution complète basé sur les normes et indépendante des fabricants, pouvant mettre en application les politiques d accès sur tout réseau, tout périphérique et tout utilisateur. Qu il s agisse d automatiser l intégration du périphérique et la mise en application des vérifications de posture de périphérique, d appliquer des politiques d accès différenciées ou de créer des rapports pouvant subir un audit, ClearPass d Aruba fournit une approche simple et économique pour la connexion et la sécurisation des périphériques personnels des utilisateurs et des périphériques gérés par le département informatique. Des fonctionnalités comme l enregistrement en libre service réduisent la charge de travail du département informatique, apportent aux utilisateurs une plus grande autonomie, et accélère la consumérisation de l informatique dans une optique de déploiement d une stratégie BYOD. Les entreprises peuvent rationaliser leur infrastructure existante, et bénéficient de la flexibilité nécessaire pour déployer des stratégies BYOD selon une approche progressive, basée sur les besoins de l entreprise et les exigences des cas d utilisation. A PROPOS D ARUBA NETWORKS : Aruba Networks est un leader dans le développement de solutions d accès réseau de prochaine génération pour le secteur de la mobilité et du Wifi. L architecture Mobile Virtual Entreprise (MOVE) rassemble les infrastructures réseaux filaires et sans fil en une solution transparente. Cette approche unifiée en matière d accès au réseau permet aux départements informatiques de répondre de manière sécurisée au phénomène Bring Your Own Device (BYOD) tout en augmentant considérablement la productivité et en réduisant les investissements et les coûts d exploitation. En savoir plus: Tour Egée. 17 Avenue de l Arche Courbevoie Cedex Tel. +33 (1) info@arubanetworks.com 2013 Aruba Networks, Inc. Aruba Networks trademarks include AirWave, Aruba Networks, Aruba Wireless Networks, the registered Aruba the Mobile Edge Company logo, Aruba Mobility Management System, Mobile Edge Architecture, People Move. Networks Must Follow, RFProtect, and Green Island. All rights reserved. All other trademarks are the property of their respective owners. WP_BYOD_A4_FR_012513