Guide d évaluation. Appliances Modèles: ES1000, ES5000 and ES8000. PureMessage for Windows/Exchange Product tour

Transcription

1 Guide d évaluation Appliances Modèles: ES1000, ES5000 and ES8000 PureMessage for Windows/Exchange Product tour

2

3 guide d évaluation : SoPhoS APPLIANCES

4 bienvenue BIENVENUE Bienvenue dans le guide d évaluation des Sophos Appliances. Ce guide est structuré de manière à refléter un jour type dans la vie d un administrateur de messagerie. Il propose une analyse des fonctionnalités principales de nos Appliances, soulignant leur efficacité et leur simplicité d utilisation. Grâce à ce guide, vous allez acquérir une compréhension approfondie de la manière dont les Appliances fournissent la protection la plus intelligente et la plus fiable des passerelles de messagerie. L ES1000, l ES5000 et l ES8000 font partie de Sophos Security and Data Protection qui inclut des appliances de sécurité administrées de la messagerie et une protection logicielle pour les serveurs Exchange, UNIX et Domino à la passerelle et au niveau des groupwares. Chaque solution de messagerie Sophos propose une intégration unique de fonctions antivirus, antispam, antiphishing et de prévention de la fuite des données pour sécuriser et contrôler le contenu de la messagerie. Comme toutes nos solutions, les Sophos Appliances sont le produit de plus de 20 ans d expérience de protection des entreprises, des établissements à caractère éducatif et des organismes gouvernementaux. Elles bénéficient du savoir-faire interne des SophosLabs, notre réseau global de centres d analyse des menaces, en matière d antivirus, d antispam et d antispyware. La détection et la protection préemptive contre les menaces de sécurité toujours plus complexes et plus rapides à se propager est l une des raisons du succès de la société Sophos, reconnue pour l excellent niveau de satisfaction de ses clients et sa protection optimale. Toutes nos licences incluent un support technique complet 24h/24 assuré par un réseau international d ingénieurs disponibles tous les jours de l année et ce, sans frais additionnel. Security and Data Protection est disponible séparément ou peut être incorporé dans une licence Sophos Security and Data Protection unique avec Web Security and Control, Endpoint Security and Data Protection et Sophos NAC Advanced. Pour obtenir des informations sur les tarifs et la disponibilité de tous nos produits, veuillez contacter votre représentant Sophos local. Pour connaître le représentant de votre région, consultez la page : Si vous souhaitez évaluer l ES1000 ou l ES4000, veuillez remplir notre formulaire de demande en ligne à l adresse suivante :

5 guide d évaluation : SoPhoS APPLIANCES

6 table des matières Table des matières 1 introduction 6 Points forts de l administration 7 Fonctions et avantages principaux 8 2 fonctionnalités du produit 9 Architecture logicielle 9 Prévention de la fuite des données 16 3 paramétrage 17 Configuration 17 Paramétrage de Directory Services 17 Préférences de l utilisateur final 18 Stratégies 19 4 administration des appliances 25 Vérifications de l état 25 Mises à jour 26 Sauvegardes 27 Quarantaine 27 Recherche de messages de bout en bout 28 Options de l utilisateur final 30 5 édition de rapports 32 Rapports du tableau de bord 32 Page des rapports 33 Edition de rapports détaillés 34 6 support technique 36 L appliance administrée 36 Garantie 38 Support technique Sophos 24/7 38 Annexe I Paramètres par défaut d une stratégie 39 II Spécifications matérielles 40

7 guide d évaluation : SoPhoS APPLIANCES 1 : introduction Les Sophos Appliances sont des solutions sécurisées pour passerelles de messagerie assurant une protection intégrée contre le spam, les malwares, le phishing et la fuite de données. Basées sur le concept de l appliance administrée, elles combinent le contrôle et la visibilité d une appliance avec la simplicité et la facilité d emploi d un service administré. Les trois modèles ES1000, ES5000 et ES8000 sont bâtis sur de robustes plates-formes matérielles, assurant sur les réseaux des entreprises une protection à grande capacité et à haute disponibilité. Capacités des différents modèles : L ES1000 peut traiter jusqu à messages par heure L ES5000 peut traiter jusqu à messages par heure L ES8000 peut traiter jusqu à messages par heure Les composants incluent : La technologie avancée de détection des menaces : cette technologie de contrôle largement primée bénéficie du savoir-faire des SophosLabs, notre réseau global de centres de détection et d analyse des menaces. La mise au point automatisée utilise une gamme de techniques de détection, s adaptant ainsi aux menaces émergentes et à la protection contre les pannes. La technologie Sender Genotype surveille tout comportement indicateur de la présence de botnets lors de la connexion et empêche les spammeurs d envoyer des courriels avant même que leur réputation ait été établie. Les nouvelles définitions de menaces et les règles antispam sont automatiquement téléchargées toutes les cinq minutes, fournissant ainsi la protection la plus à jour possible. La technologie SXL réduit davantage l écart entre la détection et la protection, en mettant à disposition en temps réel les données les plus récentes des SophosLabs, plutôt que d attendre la prochaine mise à jour. Protection efficace de la messagerie Les Sophos Appliances fournissent une protection optimale de votre messagerie et limitent les tâches administratives. La prévention de la fuite des données : les Sophos Appliances contiennent des outils puissants utiles contre la perte d informations confidentielles et pour la conformité à la réglementation. Grâce à un assistant simple, vous pouvez rapidement et facilement créer des règles personnalisées de surveillance dans le courrier entrant et sortant des mots-clés, pièces jointes, types de fichiers, tailles et autres attributs. L encodage TLS garantit une protection supplémentaire à travers le chiffrement des messages sortants pour que seuls les destinataires visés puissent les lire. Si des politiques de chiffrement plus précises sont nécessaires, Sophos Appliances s intègre facilement aux systèmes tiers.

8 1 : introduction La surveillance et les alertes : toutes les appliances Sophos proposent un système intégré de surveillance et d alerte pour une résolution des problèmes plus rapide et une plus grande sérénité. Plus de 40 situations et paramètres différents sont surveillés en permanence pour assurer des performances optimales. Les alertes sont envoyées à la fois à l administrateur système et à Sophos afin que des actions correctrices soient mises en place le plus rapidement possible. Si nécessaire, l administrateur peut également profiter de l assistance à distance à la demande et laisser Sophos se charger directement du dépannage de l appliance. La console d administration : l administration de ces technologies puissantes est simple grâce à une console intuitive de type web qui simplifie les tâches administratives et offre une meilleure compréhension et un meilleur contrôle de l infrastructure de messagerie. La console à navigation simple en trois clics permet un accès immédiat aux informations pertinentes et décisonnelles pour un choix éclairé des administrateurs quant aux performances du système et aux besoins à venir en matière de capacité. Principales fonctionnalités d administration Pour simplifier l administration de la messagerie, les Sophos Appliances offrent les fonctionnalités suivantes : Une console d administration de type web en trois clics Des stratégies configurables pour la gestion des virus, du spam, du contenu des messages et des pièces jointes Un chiffrage TLS et une prise en charge des certificats personnalisés pour un accès sécurisé à la console d administration et à l interface web utilisateur Le suivi des messages en continu avec un accès à la quarantaine, aux journaux de messages et aux files d attente des messages La possibilité de mettre en cluster jusqu à 10 appliances, en un seul clic L intégration avec Microsoft Active Directory et d autres systèmes LDAP pour faciliter la configuration, l application des stratégies de sécurité et l authentification Un digest de messagerie ou une interface web pour une auto-gestion de la quarantaine par l utilisateur Des listes de blocage et d autorisation communes et par utilisateur Un système de maintenance et d alerte matérielle/logicielle intégrée Une surveillance continue proactive Assistance à la demande à distance Un cluster de basculement actif/passif à deux unités Une protection récompensée L excellence des solutions Sophos est continuellement reconnue suite aux tests réalisés par de nombreux organismes indépendants : ICSA, West Coast Labs, Veritest, evision IT Labs, av-test.org et autres publications spécialisées telles que IT PRO et SC Magazine.

9 guide d évaluation : SoPhoS APPLIANCES Fonctionnalités et avantages principaux Fonctionnalité principale Indépendance vis-à-vis de la plateforme Détection inégalée du spam et des malwares Protection proactive avec Genotype Behavioral Genotype Protection Prévention de la fuite des données Service Sender genotype Défense antispam SXL en temps réel Haute précision Haute disponibilité Haute capacité Respect des règlements Chiffrement Protection multilingue Mise à jour automatique Contrôle de l utilisateur Support exhaustif Avantage principal Intégration aisée à une infrastructure existante Technologies antispam et antimalware totalement intégrées (prises en charge par les SophosLabs) Blocage de près de 90 % des nouvelles menaces sans signatures spécifiques Prévention des intrusions pré-runtime pour détecter et bloquer le code malveillant avant qu il ne s exécute Commandes d analyse de contenu puissantes et chiffrage TLS pour une protection contre la fuite d informations confidentielles Blocage de près de 90 % du spam à la connexion, grâce au filtrage sur réputation et à la détection proactive des réseaux zombies (botnets). L accès en temps réel aux données antispam les plus récentes des SophosLabs permet d arrêter les dernières campagnes de spam Détection de plus de 99 % du spam et protection contre les messages d arnaques (scam), y compris les attaques de phishing. Précision permanente avec un nombre négligeable de faux positifs Aucune interruption de fonctionnement grâce à des disques durs et des modules d alimentation électriques extractibles à chaud (modèle ES4000 uniquement) Capacité de stockage et traitement optimisés dans une structure rack 1U compacte Intégration d un environnement de stratégies configurables visant à respecter les exigences de conformité de l entreprise ou le respect des règlements Fonction de chiffrement TLS pour une sécurité optimale Protection des organisations contre le spam et les virus via des flux de données disponibles en plusieurs langues Protection à jour grâce à des mises à jour automatiques fournies par les SophosLabs, réseau international de centres d analyse des menaces Réduction des tâches administratives avec gestion de la quarantaine par l utilisateur, listes d autorisation et de blocage fournies Support téléphonique, en ligne et par courriel illimité 24 h/24, 365 jours par an

10 2 : fonctionnalités du produit 2 : FONCTIONNALITES DU PRODUIT Présentation Les Sophos Appliances ES1000, ES5000 et ES8000 sont des solutions de sécurité pour passerelles de messagerie simples à installer. Elles s adaptent aisément à toutes les configurations de réseau. Dotées d un système d exploitation intégré, aucune connaissance d UNIX, Linux, Solaris ou de tout autre langage de plate-forme de serveur n est nécessaire. Firewall Sophos Appliance Mail server Company boundary Figure 1 : installation classique d une Sophos Appliance Ces appliances pour passerelles sont généralement installées dans la zone démilitarisée (DMZ), à savoir la zone neutre située dans le pare-feu du réseau, en amont du ou des serveurs de messagerie. Cette section présente l architecture logicielle des appliances et examine la stratégie de respect des règlements et la sécurité de la messagerie interne. Architecture logicielle Le logiciel embarqué comporte cinq principaux éléments : 1 Système d exploitation FreeBSD consolidé 2 Système de filtrage de messagerie très performant - Postfix MTA (agent de transfert de messagerie) - Moteur antispam - Moteur antivirus - Contrôle avancé à la connexion Sender Genotype - Moteur de stratégie 3 Console d administration et tableau de bord 4 Quarantaine embarquée 5 Système d administration, d alerte et de notification

11 guide d évaluation : SoPhoS APPLIANCES Système d exploitation FreeBSD consolidé Les Sophos Appliances reposent sur un système d exploitation FreeBSD consolidé et optimisé pour la plate-forme matérielle et pour le logiciel Sophos embarqué. Extrêmement stable et fiable, le système FreeBSD offre une vitesse et des performances considérables pour les appliances de sécurité du réseau. Reportez-vous à l Annexe II pour les spécifications matérielles complètes. Figure 2 : Sophos Appliance contrôle les messages entrants et sortants Système de filtrage de courriels haute performance Le système de filtrage de courriels effectue les tâches suivantes : Trafic de messages entrants : L agent de transfert des messages (MTA) intégré intercepte les messages entrants à la passerelle de messagerie. Les messages et pièces jointes sont analysés pour rechercher d éventuels spams, virus et autres menaces définis par la stratégie de filtrage. Les messages sont soumis à des actions et à des tests définis. Les messages sont acheminés et remis au destinataire, mis en quarantaine pour être analysés, ou éliminés. Trafic de messages sortants : Les messages sont acheminés à partir des serveurs de messagerie internes vers l appliance. Les messages et pièces jointes sont analysés pour rechercher d éventuels spams, virus et autres menaces définis par la stratégie de filtrage. Les messages sont soumis à des actions et à des tests définis. Les messages sont relayés vers l agent de transfert des messages intégré qui effectue une transmission externe des messages ou une mise en quarantaine pour analyse. Remarque Les Sophos Appliances ne transmettent ou ne libèrent jamais de la quarantaine un message entrant ou sortant contenant un virus connu. Lors de la configuration initiale, l administrateur peut choisir d activer les stratégies et les actions par défaut conseillées, y compris le chiffrement TLS pour les messages sortants. Grâce à la console d administration de type web, les paramètres par défaut peuvent être modifiés à tout moment et des actions et des tests peuvent être mis en place (pour plus d informations, reportez-vous au paragraphe Stratégies dans la section 3). 10

12 2 : fonctionnalités du produit Les options de remise de message comprennent : Entrant et sortant (sauf si spécifié) : Continuer le traitement Rejeter (sortant seulement) Transmettre immédiatement Rediriger Mettre en quarantaine Ajouter une bannière Mettre en quarantaine et continuer Ajouter/remplacer en-tête Mettre en quarantaine, laisser la ou Notifier les pièce(s) jointe(s) et continuer Réacheminer Libeller l objet et continuer Copier Supprimer Opérations en trois clics Reposant sur une exigence stricte de navigation minimale, chaque fonction de la console d administration s exécute en moins de trois clics et l accès par lignes de commande n est plus nécessaire. Console d administration et tableau de bord La console d administration est une interface graphique sécurisée de type web entre l administrateur système et l appliance, qui permet les actions suivantes : Configuration des paramètres du système et du réseau Possibilité de mettre en cluster jusqu à 10 appliances ou d ajouter une nouvelle appliance à un cluster existant Configuration et gestion des stratégies antispam, antivirus et de contenu Surveillance de l état du système et diagnostic des interruptions Gestion de la quarantaine Recherche dans les journaux, les listes de messages en attente et les quarantaines pour retrouver les messages égarés Génération de rapports en temps réel Délégation de certaines tâches administratives et gestion des fonctionnalités de l interface utilisateur Mise en place et administration de la configuration de basculement à deux unités Figure 3 : tableau de bord de la console d administration Le tableau de bord, page d accueil de la console visible sur la figure 3, donne un récapitulatif immédiat des performances générales du système. A partir du tableau de bord, l administrateur peut déterminer l état de la protection, vérifier le flux et le volume de courriels et assurer la disponibilité du système. Pour plus de détails sur ces outils d administration puissants et faciles à utiliser, reportez-vous à la section 4. 11

13 guide d évaluation : SoPhoS APPLIANCES Clustering La mise en cluster de plusieurs appliances permet de gagner en évolutivité, disponibilité et simplicité d administration. Evolutivité : la mise en cluster permet à l administrateur d ajouter des appliances en toute simplicité et rapidité, pour mieux répondre au volume croissant du trafic à la passerelle. Disponibilité : le clustering permet la redondance du traitement de la messagerie. La défaillance d une appliance n affecte en aucun cas le flux des messages à travers les autres appliances du cluster. Les sauvegardes de configuration FTP, la synchronisation des répertoires et la quarantaine des utilisateurs finaux continuent d être disponibles même en cas de problème sur l une des appliances. Simplicité d administration : la gestion centralisée de toutes les appliances d un même cluster permet aux administrateurs de visualiser le tableau de bord, les rapports, la mise en quarantaine, les journaux et les informations en attente sur l ensemble du cluster, comme s il s agissait d une seule grande appliance. (Chaque appliance peut être aussi être visualisée séparément.) Les fonctions utilisateurs, tels que l accès aux résumés de quarantaine et l accès aux quarantaines du web fonctionnent de la même façon que dans un environnement à appliance unique. Mise en quarantaine La quarantaine permet de stocker en toute sécurité les messages entrants et sortants non sollicités ou indésirables. Tout message qui viole une stratégie de sécurité (par exemple, virus, spam, mot-clé ou correspondance avec du contenu) peut être mis en quarantaine en vue d une analyse par l administrateur système et éventuellement par le destinataire du message (message entrant) ou par l expéditeur (message sortant). La personne qui effectue l analyse peut alors choisir de libérer ou d éliminer le message mis en quarantaine, à l exception des messages contenant des virus. Stockage embarqué La quarantaine embarquée possède des capacités de stockage importantes permettant de gérer des millions de messages. Contrairement à d autres solutions de nos concurrents, la mise en quarantaine est effectuée sur l appliance et pas sur un autre serveur. Cela présente le double avantage d éliminer, d une part, le besoin de stockage supplémentaire séparé et, d autre part, d éviter le recours à une interface et à un système de gestion de mise en quarantaine supplémentaires. L administrateur peut accéder à la mise en quarantaine à l aide de la console d administration utilisée pour gérer toutes les autres fonctions du système. Administration déléguée L administrateur peut également créer des comptes d assistance dédiés afin de déléguer la gestion des quarantaines à d autres administrateurs du système sans exposer la totalité des options de configuration du système. L administrateur des services d assistance peut alors traiter toutes les demandes internes concernant les messages perdus ou égarés, ce qui permet à l administrateur principal de se concentrer sur d autres priorités. L administrateur peut autoriser les destinataires des courriels entrants et les expéditeurs des courriels sortants à consulter les messages mis en quarantaine via un digest de messagerie ou une interface web. Dans les deux cas, les destinataires ou les expéditeurs peuvent uniquement consulter leurs propres messages. Lorsque l interface web est activée, l administrateur peut aussi permettre aux destinataires de mettre en place des listes d autorisation et de blocage personnelles et proposer la possibilité de ne pas analyser le spam. Sécurité simplifiée Si aucune alerte n est générée par l appliance, la sécurité de la messagerie fonctionne comme prévu et aucune intervention n est nécessaire. 12

14 2 : fonctionnalités du produit Surveillance, alerte et notification Reposant sur le principe de gestion par exception, les Sophos Appliances comportent une technologie avancée destinée à réduire ou éliminer les charges administratives au maximum. L auto-gestion automatisée et le système de surveillance complet, permettant de contrôler plus de 40 fonctions, assurent des performances optimales tout en réduisant les efforts nécessaires. Actions préventives Dans le cas d une interruption du système, l appliance envoie un courriel à l administrateur pour lui demander de résoudre le problème et modifie la couleur de l indicateur principal du System Status (Etat du système) sur la console d administration. Lorsqu une situation vitale requiert une assistance extérieure (par exemple, en cas de défaillance de l alimentation), une alerte est également envoyée à Sophos. La résolution d une telle situation peut souvent être mise en place avant même que l administrateur n en soit averti (par exemple, envoi d une alimentation de rechange*). Pour assurer une sécurité et une confiance accrues, la société Sophos effectue une surveillance continue à distance innovante pour s assurer que toutes les appliances installées téléchargent des définitions de menaces à jour et des mises à jour logicielles en temps et en heure. Si une appliance ne parvient pas à télécharger ou à appliquer une mise à jour, elle en avertit l administrateur. Si cet échec a lieu plus de trois fois en quinze minutes, l appliance avertit également le support technique de Sophos. Si une appliance n a pas téléchargé de mise à jour depuis plus de deux heures, Sophos vous contacte par téléphone. Protection contre le spam La méthode d identification du spam unique de la société Sophos intègre la technologie de détection la plus avancée de l industrie, délivrée par les SophosLabs 24 heures sur 24, 365 jours par an. Les SophosLabs possèdent un réseau international de pièges à spam qui traite des millions de messages par jour, fournissant ainsi une visibilité en profondeur et une compréhension du trafic international des messages. Deux types de spam sont identifiés grâce à cette surveillance continue : haut et moyen. L administrateur peut choisir les règles de traitement du spam par défaut pour ces types ou définir des règles spécifiques reposant sur des besoins internes. Cette approche simplifiée signifie que Sophos s attaque au spam pendant que vous vous consacrez à d autres priorités. Filtrage sur réputation La protection à la connexion constitue la première ligne de défense contre le spam et les malwares. La technologie Sender Genotype surveille tout comportement indicateur de la présence de botnets lors de la connexion et empêche les spammeurs d envoyer des courriels avant même que leur réputation ait été établie. L appliance permet de terminer la connexion au champ d adresses IP des spammeurs connus au niveau de l agent de transfert de messagerie, avant l analyse. De cette manière, 90 % des messages de spam entrants peuvent être éliminés, augmentant ainsi considérablement le transfert de messages sans nécessiter d investissements en infrastructure. L appliance peut également autoriser le message à passer au travers de l agent de transfert de messagerie et effectuer un filtrage sur réputation juste avant l analyse (voir ci-après). Un courriel identifié à ce stade comme provenant d expéditeurs malveillants connus sera géré de la même manière que d autres messages de spam identifiés par Sophos grâce aux tests de spam, et sera traité selon la stratégie de sécurité spécifiée. Une protection antispam qui a fait ses preuves Les Sophos Appliances détectent jusqu à 99,4 % du spam au niveau de la passerelle de messagerie. evision IT Labs, octobre 2007 * modèles ES5000 et ES8000 uniquement 13

15 guide d évaluation : SoPhoS APPLIANCES Le moteur d analyse utilise une vaste gamme de méthodes de filtrage, qui associe des centaines de tests différents afin de mettre en évidence les tactiques d évitement de l analyse. L un des tests consiste à rechercher les différentes manières dont les spammeurs épellent le mot Viagra. On dénombre plus de 5,6 milliards de différentes façons erronées de l écrire. Si un indicateur de spam est déclenché, cette information contribue au calcul du score de spam final du message. Les en-têtes, la structure, le contenu et les URI (identifiant uniforme de ressource, par exemple, page web, adresse électronique, nom de fichier, etc.) d incitation à l action sont également analysés à la recherche de milliers de situations différentes. Les techniques de détection de spam comprennent l utilisation des éléments suivants : Des capteurs de menaces à la sécurité connus pour une protection contre les escroqueries, comme le phishing, qui trompe l utilisateur en l invitant à soumettre ses informations personnelles ou financières. L analyse Sender Genotype pour éliminer le spam en provenance de réseaux zombies à connexion IP Une analyse de campagne par génotype afin d identifier des campagnes de spam complexes en reconnaissant les caractéristiques communes à une série de messages. Des capteurs de contenu offensant pour cibler le contenu pornographique ou sensible. Des techniques de signature numérique qui détectent et bloquent le spam image et le spam utilisant le format PDF, Excel ou d autres types de pièces jointes répandus. Le pistage de l équipement informatique du spammeur afin d identifier les opérateurs du site web et de bloquer les messages non sollicités. Le filtrage des URI contenus dans les messages pointant vers des sites détournés, des sites freeweb (sites anonymes) et d autres sites dont le lien figure dans le courriel. Des capteurs d obscurcissement afin d identifier les techniques utilisées par les spammeurs pour cacher leurs messages aux filtres de spam. La technologie Sophos SXL Seules les solutions Sophos Security and Data Protection y compris les Sophos Appliances, proposent la technologie SXL. SXL assure une protection antispam à la minute en activant des vérifications du réseau en temps réel à la recherche des toutes dernières informations antispam des SophosLabs. Non seulement les serveurs SXL contiennent les plus récentes informations des SophosLabs, ils conservent aussi des renseignements antispam qui peuvent être au repos (comme des adresses IP botnet ou des URL de destination) mais qui prennent de l espace de stockage local précieux. La technologie SXL permet à chaque installation de bénéficier de la masse croissante d informations antispam sans avoir recours au stockage local en croissance régulière. SophosLabs analyse continuellement le flot de messages de spam passant par son réseau de pièges, intégrant les données de protection dans les serveurs SXL et mettant à jour automatiquement les appliances toutes les cinq minutes. Vous disposez ainsi en permanence de la protection la plus récente contre les dernières activités des spammeurs, sans avoir à effectuer de tâches administratives. Une dernière option (activée par défaut) est disponible pour l administrateur, à savoir la protection automatique contre le déni de service (DoS) et la collecte d adresses électroniques (DHA). Lorsque cette option est activée, l appliance peut ralentir le trafic entrant et bloquer les connexions entrantes qui sont souvent le signe d une telle attaque. 14

16 2 : fonctionnalités du produit Paramètres de spam personnalisés supplémentaires Pour une personnalisation avancée de la stratégie de messagerie des messages entrants, les appliances proposent deux mécanismes antispam : les listes d autorisation et les listes de blocage. Listes d autorisation : l administration d une liste d autorisation de l entreprise est un élément facultatif du filtrage du spam : la liste des adresses des expéditeurs ou des domaines considérés comme sûrs n est pas filtrée. L ajout d adresses et de domaines d expéditeurs de confiance à la liste d autorisation élimine le risque de blocage par erreur des courriels lors du filtrage de spams. Renforcé, le filtre testera alors uniquement les messages suspects. Les listes d autorisations peuvent être appliquées à tous et, si cette option est activée, aux comptes de messagerie individuels. Listes de blocage : contrairement à la liste d autorisation, la liste de blocage contient la liste des adresses d expéditeurs ou de domaines considérés comme dangereux ou indésirables qui sont, par conséquent, bloqués. L ajout d adresses à la liste de blocage réduit le volume de messages à analyser intégralement, améliorant ainsi le transfert et la capacité du système. Les listes de blocage peuvent être appliquées à tous et, si cette option est activée, aux comptes de messagerie individuels. Protection du jour zéro La technologie de réduction des menaces vous protège contre les menaces à déplacement rapide comme les vers Internet qui peuvent causer des dégâts, avant même qu une détection spécifique ne soit disponible. L administrateur peut aussi autoriser les utilisateurs à ne pas effectuer de contrôle du spam mais l analyse virale ne peut en aucun cas être désactivée. Protection virale Il est beaucoup plus probable qu une entreprise reçoive un virus via sa passerelle de messagerie que par n importe quel autre point d entrée. La protection virale au niveau de la passerelle est une première ligne de défense importante, qui protège toute l organisation en un seul point et fournit une protection continue nécessitant une seule mise à jour. Intégré aux Sophos Appliances, le moteur de détection virale de pointe de la société Sophos protège les entreprises des intrusions virales via la messagerie. Les appliances vérifient la totalité du trafic de courriels traversant le serveur de messagerie en temps réel, vous protégeant ainsi du publipostage de vers et de virus et des dernières menaces hybrides qui associent les virus, le spam et les attaques par déni de service. Protection du jour zéro Avec la protection proactive étendue assurée par les SophosLabs, vous êtes en à l abri des menaces et des irruptions du jour zéro. La technologie par génotypes détecte de nouvelles variantes de familles de virus, assurant une protection préemptive contre près de 90 % des nouvelles menaces avant même qu une détection spécifique ne soit disponible. Les appliances vérifient automatiquement les fichiers et le contenu exécutable à la recherche de code malveillant et appliquent la stratégie appropriée de traitement des actions des messages, assurant ainsi une protection rapide et fiable. Protection du périmètre Les attaques par déni de service (DoS) et les attaques de collecte de répertoires (DHA) sont des menaces de sécurité qui se traduisent par une surcharge des systèmes internes et de la passerelle. Afin de vous protéger contre ces menaces, les Sophos Appliances mesurent la vitesse des messages pour détecter les structures de trafic anormales qui excèdent le volume de messages légitimes, en provenance de tous les expéditeurs ou d expéditeurs spécifiques, généralement reçu par l organisation. Grâce à cette surveillance, il est possible de détecter et de répondre de manière appropriée aux attaques par déni de service et de collecte d adresses électroniques. 15

17 guide d évaluation : SoPhoS APPLIANCES Prévention de la fuite des données La violation de la confidentialité, la responsabilité légale, la perte de productivité et de crédibilité peuvent générer chaque année des coûts considérables pour les entreprises. Les contextes de règlements complexes et évolutifs exigent la protection des organisations grâce à la mise en place, la surveillance et l application de stratégies et de procédures appropriées au niveau de l utilisateur et de l infrastructure. La stratégie des appliances vous permet d appliquer une stratégie claire aux messages et au contenu qui entrent et sortent de la passerelle. Un éventail d actions sur les stratégies peut être configuré par l administrateur à partir de la console d administration. Les stratégies standard appliquées par les organisations sont les suivantes : Le rejet des messages provenant d expéditeurs malveillants connus La mise en place de listes d autorisation et de blocage (communes et individuelles) La mise en quarantaine des messages au contenu offensant ou vulgaire La mise en quarantaine et l analyse des messages contenant des mots-clés ou pièces jointes spécifiques afin d éviter la fuite de propriété intellectuelle ou d informations importantes L ajout de bannières sur l en-tête et sur le pied de page du message La réorientation des messages en fonction de leur contenu La surveillance et la journalisation du trafic suspect pour détecter les abus du système Protection continue Les SophosLabs, réseau international de centres d analyse des menaces, recherchent et identifient 24h/24 les menaces émergentes. Pour obtenir une liste complète des paramètres de stratégie par défaut, reportez-vous à l Annexe I. Récapitulatif Les Sophos Appliances offrent la combinaison idéale d automatisation et de contrôle, destinée à prendre en charge les besoins de l entreprise en administration de messages. Elles forment une association entre la mise à jour des définitions de menaces automatisées, les capacités administratives simples et rapides et les alertes par exception. Cette combinaison de fonctions réduit la charge administrative quotidienne et fournit une véritable sécurité et surveillance. Les Sophos Appliances reposent sur les ressources complètes du réseau international SophosLabs. L exposition continue des SophosLabs à des menaces diffusées par courriel permet une protection proactive grâce à l analyse rapide de nouvelles menaces, les techniques de détection et de mises à jour multiples (de virus, de spam ou de stratégie) et l administration du cycle de vie complet des menaces. Les organisations qui utilisent les Sophos Appliances bénéficient des avantages suivants : Une protection fiable contre les nouveaux virus, menaces, variantes de virus et campagnes de spam évolutives Une réduction de la charge de travail administratif La tranquillité d esprit grâce à la protection de l infrastructure de messagerie 16

18 3 : paramétrage 3 : paramétrage Présentation Cette section explique l installation de base de l appliance : la configuration, le paramétrage des services d annuaire, les préférences de l utilisateur et les paramètres de la stratégie par défaut. Même si elle ne se substitue pas au guide d installation, elle démontre cependant la simplicité des appliances et leur facilité d administration. Configuration La configuration des Sophos Appliances est simple. L assistant d installation guide l administrateur au travers du processus d installation de base et active en moins de quinze minutes l analyse des messages en direct. Les catégories de configuration sont détaillées dans la figure 4. L administrateur peut modifier ces paramètres à tout moment à partir de la console d administration. Installation rapide et simple Un assistant d installation simple vous aide à installer l appliance et à la faire fonctionner en moins de quinze minutes. Figure 4 : page d origine de la configuration Paramétrage des services d annuaire Les appliances permettent une configuration rapide des utilisateurs et des groupes d utilisateurs grâce à l intégration du protocole LDAP avancé (Lightweight Directory Access Protocol) avec Microsoft Active Directory. Cette méthode fournit une validation simplifiée des expéditeurs de même que la mise en place de stratégies de messages destinées à des utilisateurs et groupes d utilisateurs spécifiques. Sur la page de configuration Directory Services, l administrateur peut automatiquement détecter et importer des paramètres LDAP ou saisir les» J ai mis plus de» temps à déballer l appliance qu à l installer et à la faire fonctionner. Noe Arzate, directeur du centre de traitement de l information, groupe scolaire Mount Pleasant Independent School District (Texas, Etats-Unis) 17

19 guide d évaluation : SoPhoS APPLIANCES paramètres manuellement. L appliance stocke une version locale d Active Directory afin de conserver les fonctionnalités et d éviter les temps d arrêt si le serveur Active Directory devait être indisponible. L administrateur peut définir une planification de la synchronisation afin de s assurer que l appliance utilise la version la plus à jour. Les groupes d utilisateurs peuvent être définis manuellement ou à l aide de LDAP. Préférences de l utilisateur Figure 5 : configuration des services d annuaire Les appliances comportent des fonctions intelligentes de réglage et de traitement des utilisateurs de la messagerie. Grâce à l intégration LDAP complète, l administrateur peut définir aisément et rapidement des privilèges d utilisateur, tels que : L authentification Des listes d autorisation et des listes de blocage L accès à la quarantaine via un digest de messagerie ou une interface web La préférence linguistique dans l interface utilisateur La fréquence de transmission des courriels L exclusion de la vérification du spam. Pour obtenir des détails supplémentaires sur les options d accès à la quarantaine par l utilisateur, reportez-vous au paragraphe Options de l utilisateur de la section 4 : Administration des appliances. 18

20 3 : paramétrage Stratégies Figure 6 : préférences de l utilisateur Les Sophos Appliances sont conçues pour assurer le maximum de sécurité et de souplesse tout en réduisant la charge administrative. Reposant sur l expérience étendue de la société Sophos en matière de détection de virus, spams et autres types de malwares, les appliances comportent des paramètres de stratégie par défaut qui fournissent un niveau de protection optimal : le hasard n a pas sa place lors de la configuration du système. Cependant, si une personnalisation est nécessaire, la console d administration la simplifie et l accélère (voir P.19 pour voir l assistant des stratégies). Stratégie antivirus Les messages entrants contenant des virus peuvent être traités selon la nature de la menace : Virus Pièce jointe non analysable Pièce jointe chiffrée Pièce jointe suspecte. Vous pouvez gérer jusqu à 20 règles et actions distinctes pour le courrier entrant et sortant. Une variété d actions est disponible comme la notification (par exemple, le service des ressources humaines lorsque du contenu offensant est détecté ou le service juridique lorsque des informations relatives à des brevets sont détectées), les bannières et la modification des en-têtes. Ces actions permettent d appliquer de manière exhaustive la politique d utilisation acceptable de la messagerie dans votre entreprise. Pour obtenir une liste complète des paramètres de stratégie par défaut, reportez-vous à l annexe I. 19

21 guide d évaluation : SoPhoS APPLIANCES Stratégie antispam Figure 7 : page principale de la stratégie antivirus Par défaut, les appliances éliminent les messages provenant d expéditeurs malveillants connus et au score de spam élevé et mettent en quarantaine les messages au score moyen. Vous pouvez modifier ces paramètres selon des groupes Active Directory ou des listes personnalisées. La figure 8 représente la page principale de la stratégie antispam dans la console d administration. A partir de là, vous pouvez créer et gérer jusqu à 20 règles antispam différentes avec la garantie que votre Sophos Appliance correspondra parfaitement aux besoins de votre entreprise. Figure 8 : page principale de la stratégie antispam 20

22 3 : paramétrage Stratégie de contenu Les courriels peuvent souvent contenir du contenu pouvant exposer les entreprises à des problèmes internes et de responsabilité en matière de conformité. Il est indispensable que votre solution de sécurité applique une politique d utilisation acceptable. Pour empêcher une mauvaise utilisation, le système de filtrage contrôle les courriels (corps des messages et pièces jointes) à la recherche de langage offensant, de mots-clés spécifiques et de certains types de fichiers, vous permettant d avoir un contrôle ferme sur tout le contenu des messages. Figure 9 : personnalisation de la politique de sécurité du contenu sortant A l aide de l assistant de stratégies intégré (voir la figure 9), vous pouvez personnaliser jusqu à 40 règles permettant de surveiller des attributs comme le type et le contenu d une pièce jointe (dans des expressions standard et des chaînes de caractères avec des jokers) spécifiques à votre entreprise ou à votre domaine. Etape 1 : description de la règle Sélectionnez le type de règle de contenu. Les options sont bannière, mot-clé, pièce jointe, langage, liste de surveillance, nom d hôte/liste d adresses IP ou attributs de message comme la taille par exemple. 21

23 guide d évaluation : SoPhoS APPLIANCES Etape 2 : configuration de la règle Spécifiez les détails de la règle, par rapport au type choisi. Par exemple, si la règle concerne les mots-clés, cette page est la page où la liste des mots-clés sera gérée. Etape 3 : attributs de messages C est là que d autres attributs de message comme la taille sont spécifiés. Etape 4 : utilisateurs et groupes Spécifiez les utilisateurs et/ou les groupes soumis à la règle. Vous pouvez gérer des listes distinctes pour les expéditeurs et les destinataires. 22

24 3 : paramétrage Etape 5 : action principale Spécifiez quelles actions doivent avoir lieu lorsque la règle est déclenchée. (Reportez vous à la page 9 pour la liste des actions disponibles). Etape 6 : actions supplémentaires C est là que sont gérées des actions supplémentaires comme l ajout de bannières, la modification des en-têtes ou la détermination des alertes. Etape 7 : description de la règle Attribuez un nom à la règle et choisissez de l activer ou non. L activation et la hiérarchisation des règles se gèrent aussi depuis les pages principales des virus, du spam et du contenu. 23

25 guide d évaluation : SoPhoS APPLIANCES Pour chaque type de filtrage de contenu et pour les messages entrants et sortants, l administrateur peut mettre en place les actions suivantes : Continuer le traitement Transmettre immédiatement Supprimer Mettre en quarantaine Mettre en quarantaine et continuer Rediriger Libeller l objet et continuer Réacheminer Copier Lorsque vous définissez ces règles et actions, vous pouvez choisir de les appliquer à des utilisateurs spécifiques et/ou à des groupes d utilisateurs de votre organisation, selon ce qui est déterminé par le serveur Active Directory ou par une liste personnalisée. Des exceptions peuvent également être définies pour des groupes individuels et certains groupes. Vous pouvez également choisir de copier, de mettre en cci (pour copie cachée invisible) ou de rediriger des messages présentant une violation du contenu vers une adresse électronique spécifique (par exemple, la personne chargée de la conformité), de copier l expéditeur ou le destinataire et d ajouter un message de notification. Une bannière personnalisée peut également être ajoutée en haut ou en bas du message. Vous pouvez également définir une taille limite des messages (2 à 50 Mo) afin de préserver l espace sur l appliance et sur les serveurs en aval. Clustering Figure 10 : Ajout d une appliance à un cluster Si vous installez plus d une seule appliance, il vous suffit de saisir le nom d hôte ou l adresse IP de la première appliance que vous avez configurée et de cliquer sur join dans la section Clustering de l assistant d installation. Toutes les configurations sont automatiquement synchronisées. 24 Récapitulatif Les Sophos Appliances comportent de solides paramètres de stratégie par défaut pour l antivirus, l antispam et le contenu des messages. Aisément personnalisables, ces stratégies s adaptent aux besoins spécifiques de votre organisation. Que vous cherchiez une protection de base contre le spam et les malwares ou une prévention plus étendue contre la fuite de données par courriel, le résultat est complet, une sécurité de la messagerie à hauteur de l entreprise sans gros efforts.

26 4 : administration des appliances 4 : administration des appliances Présentation Avec les Sophos Appliances, l administration et le contrôle de la passerelle de messagerie n ont jamais été plus faciles. Elles comportent une grande variété d outils et de paramètres destinés à éliminer ou à automatiser la grande majorité des tâches administratives, selon une logique stricte d administration par exception. Tout commence avec ce que nous appelons l expérience de l Appliance administrée. En termes simples, si vous ne recevez pas d alertes ou de notifications de l appliance (ou de Sophos), on peut supposer que tout fonctionne comme prévu et qu aucune interaction ou intervention n est nécessaire. Votre appliance vous avertira seulement si votre attention est requise. Ainsi, vous pouvez vaquer à vos occupations quotidiennes tout en étant assuré que votre passerelle fonctionne efficacement, en toute sécurité. Dotées d un réseau très élaboré comptant plus de 40 capteurs intégrés au système, les appliances réduisent les tâches administratives. Lorsqu un capteur se déclenche, une alerte du tableau de bord et/ou une alerte par courriel est alors envoyée à l administrateur. Lorsque vous vous connectez au système et que vous cliquez sur le bouton System Status (Etat du système), vous obtenez un aperçu rapide de la situation ainsi que les démarches recommandées pour résoudre le problème. Réduction des tâches administratives Ne vous préoccupez pas de l appliance, plus de 40 capteurs du système s en chargent à votre place. Cette section examine brièvement les tâches administratives quotidiennes nécessaires à la gestion de votre appliance. Vérifications du statut Vous pouvez déterminer instantanément l état général de votre appliance en vous connectant à la console d administration et en vérifiant l indicateur System Status, qui figure en haut à droite de chaque page (reportez-vous à la Figure 11). Vert indique que tous les systèmes sont normaux ; jaune, une perturbation temporaire ou de peu d importance ; et rouge, une perturbation vitale (dans le cas d une perturbation vitale, l appliance envoie une alerte par courriel au contact chargé du support technique, de même qu à Sophos). Figure 11 : vérification de l état du système sur la console d administration 25

27 guide d évaluation : SoPhoS APPLIANCES Un clic sur l indicateur System Status vous dirige vers la page correspondante, où vous obtenez des détails concernant les caractéristiques environnementales suivantes : Mail flow : pics de volume de courrier, messages bloqués, spam et virus Quarantine : taille du stock de messages embarqué Software : santé du processus, état de la protection, connexion à Sophos, redémarrage du système, mises à jour du système Hardware : performances des composants matériels, température, utilisation de la mémoire, etc. Certificates : statut des certificats utilisés pour le chiffrage TLS ou l authentification des utilisateurs finaux. Licensing : temps restant avant l expiration de la licence Figure 12 : page System Status Comme le montre la figure 12, la page System Status affiche un indicateur pour chaque élément de surveillance, de même qu un message indiquant l état actuel du système, fournissant des solutions permettant de résoudre le problème et donnant des détails sur la dernière exception survenue (date et heure). Si une exception se produit, vous pouvez cliquer dessus pour consulter des détails supplémentaires sur l incident et savoir si des actions ont eu lieu. Vous pouvez examiner chaque opération vitale de l appliance à partir de cette page unique de la console d administration. La page System Status facilite l analyse spontanée et complète des performances générales et de l état de la protection et permet d obtenir des instructions sur la manière de corriger les interruptions du système. Si vous administrez plusieurs appliances, la page de statut du cluster fournit également de précieuses informations sur les différentes appliances, ainsi que les tâches planifiées telles que les résumés de quarantaine de la messagerie, les sauvegardes de configuration FTP et la synchronisation des répertoires. Mises à jour Les Sophos Appliances se connectent à Sophos à intervalles réguliers pour télécharger les mises à jour logicielles et de définitions de menaces. 26

28 4 : administration des appliances Elles sont téléchargées et appliquées automatiquement par défaut. L administrateur peut télécharger et appliquer des mises à jour logicielles non vitales selon un calendrier prédéfini ou effectuer des mises à jour simples, à la demande. Les mises à jour non vitales peuvent être reportées d une durée maximale de sept jours. L application des mises à jour logicielles vitales comme les patches contre la vulnérabilité, est instantanée. Comme le mentionne la page 12, l accès aux plus récentes informations sur le spam est disponible en ligne et en temps réel entre les téléchargements via le réseau SXL des SophosLabs. Sauvegardes L administrateur peut programmer l appliance pour qu elle procède au lancement de sauvegardes FTP automatiques des données de configuration et des journaux système. Les sauvegardes peuvent avoir lieu selon le calendrier suivant : Figure 13 : page System Backup A expiration Toutes les demi-heures Toutes les heures Tous les jours, à minuit Une fois par semaine, le vendredi à minuit Une fois par mois, le premier jour du mois à minuit Les données de configuration peuvent également être sauvegardées manuellement et très simplement sur la page System Backup (Sauvegarde du système) sur la console d administration, comme indiqué à la Figure 13. Mise en quarantaine Les appliances comportent une quarantaine embarquée capable de stocker des millions de messages électroniques. En fonction des modèles du trafic de messagerie et des paramètres de stratégie de votre entreprise, cette capacité de stockage peut se traduire en semaines de messages stockés. Vous pouvez vérifier rapidement l état de la quarantaine à partir du tableau de bord. Au bas de la section Summary Statistics tout à gauche de l écran, figurent des mesures dynamiques de performances : Quarantine Age et Quarantine 27