Gestion de l identité, des justificatifs d identité et de l accès

Transcription

1 Services partagés Canada (SPC) Architecture de l infonuagique Gestion de l identité, des justificatifs d identité et de l accès Comité consultatif sur le cadre d architecture (CCCA) Transformation, stratégie de services et conception Le 29 août

2 Ordre du jour HEURE SUJETS RESPONSABLES 9 h à 9 h 10 Mot d ouverture, objectifs et revue de la rencontre de juillet 9 h 10 à 9 h 15 Infonuagique : Retour sur la rencontre du CCCA de juillet B. Long, président W. Daley, vice-président B. Long 9 h 15 à 9 h 40 Architecture de l infonuagique J. Danek 9 h 40 à 10 h h 20 à 10 h 30 Table ronde 10 h 30 à 11 h La gestion de l identité, des justificatifs d identité et de l accès (GIJIA) Tous Pause-santé 11 h à 11 h 45 Table ronde Tous R. Thuppal 11 h 45 à 12 h Mot de la fin Président 2

3 Services partagés Canada Architecture d entreprise Architecture de l infonuagique 2 e réunion du Comité consultatif sur le cadre d architecture (CCCA) Août 2013 Jirka Danek DG, Architecture d entreprise 3

4 Exigences de niveau élevé de Services partagés Canada (SPC) Mobilité des applications entre les environnements infonuagiques privés, publics et hybrides Capacité à gérer, à orchestrer, à administrer et à assurer la fourniture à partir d un seul cadre d architecture ouvert et interopérable Capacité à fournir un environnement de concurrence ouvert et équitable parmi les fournisseurs Garantie d une concurrence permanente (et non seulement au moment de l attribution du contrat), à faible coût et à valeur accrue pour l État pendant toute la durée du contrat Agilité : avoir une architecture suffisamment souple pour permettre une gradation, à la fois du point de vue des capacités et des changements dans les orientations technologiques découlant de nos exigences et des occasions offertes sur le marché 4

5 Architecture d orchestration de l infonuagique au GC, v. 1 Portail et catalogue libre-service Services de gestion à plusieurs nuages (orchestration, gouvernance, contrôle financier, courtage, GIJIA, déclaration) Services infonuagiques hybrides du GC Services infonuagiques publics du GC Service, sécurité, économies, agilité et mobilité Services infonuagiques communautaires du GC 5

6 Commentaires de juillet du CCCA sur l infonuagique OpenStack n était pas assez évolué pour l instant selon certaines personnes. OpenStack était perçu comme une option pour une interopérabilité infonuagique ouverte, mais on a fait remarquer que très peu de projets importants avaient été mis en oeuvre à ce jour. On a souligné qu OpenStack n était qu un des nombreux groupes de développement de solutions infonuagiques courantes, et qu aucun ne se démarquait du lot pour l instant. Le système OpenStack est complexe, et les personnes possédant les compétences nécessaires à sa mise en œuvre ne sont pas faciles à trouver. Défaillance rapide : essai de la mobilité des applications dans le cadre de petites itérations initiales. Certains membres du CCCA ont laissé entendre que le coût des travaux d intégration d OpenStack serait supérieur aux avantages apportés par la mobilité des applications. Selon certains participants, OpenStack conviendrait pour certaines charges de travail non essentielles à la mission. D autres estiment qu OpenStack serait un bon choix à long terme, mais qu il ne devrait pas être le seul outil envisagé par SPC en matière d interopérabilité infonuagique. Avons-nous bien compris ce que vous vouliez dire? 6

7 Exemple de défi de SPC relatif aux centres de données Win/Lintel uniquement Infonuagique Gestion Gestion Gestion Gestion Gestion Gestion Gestion Gestion Gestion Traitement Traitement Traitement Traitement SE SE SE SE Hyperviseur Hyperviseur Hyperviseur Hyperviseur Matériel Matériel Matériel Matériel 7

8 Exemple de défi de SPC relatif aux centres de données Win/Lintel uniquement Infonuagique VCE FlexPod vstart PureFlex CloudSystem Hitachi Gestion intégrée Gestion intégrée Gestion intégrée Gestion intégrée Gestion intégrée Gestion intégrée Systèmes d infrastructure intégrés Traitement SE Traitement SE Traitement SE Traitement SE Traitement SE Traitement SE Hyperviseur Hyperviseur Hyperviseur Hyperviseur Hyperviseur Hyperviseur 8

9 Exemple de défi de SPC relatif aux centres de données Win/Lintel uniquement Infonuagique IBM PureApplication Gestion intégrée HP AppSystem Gestion intégrée Oracle Exadata Gestion intégrée Systèmes d applications intégrés Traitement SE Traitement SE Traitement SE Hyperviseur Hyperviseur Hyperviseur SGBD 9

10 Feuille de route des services d infonuagique Multiservices, fournisseurs de services et niveaux de services Environnements infonuagiques privés, publics et hybrides La feuille de route comprend : Services d entreprise RH Services d entreprise Finances Services d entreprise Gestion des documents Service d entreprise Hébergement Web Services de réseau du gouvernement du Canada Services de communications unifiées Services d entreprise Centre de données (capacités d infrastructure-service [IaaS] et de plateforme-service [PaaS]) Mise en œuvre de services d abonnement à un logiciel sous licence (SaaS) axés sur les partenaires (à l exception de l Initiative de transformation des services de courriel [ITSC]) 10

11 Le rôle émergent de courtier Consommateur de services infonuagiques Vérificateur de services infonuagiques Vérification de la sécurité Vérification de l incidence sur la protection des rens. personnels Vérification du rendement Architecture de référence Fournisseur de services infonuagiques Couche de services IaaS SaaS PaaS Couche d abstraction et de contrôle des ressources Couche des ressources physiques Matériel Installations Gestion des services infonuagiques Soutien des activités Prestation/ Configuration Portabilité/ Interopérabilité Sécurité Opérateur de services infonuagiques Respect de la confidentialité Courtier de services infonuagiques Intermédiation des services Regroupement des services Arbitrage des services Rôles du courtier en services infonuagiques 1. Intermédiation des services Amélioration au moyen de services à valeur ajoutée 2. Regroupement des services Intégration des services provenant de plusieurs fournisseurs de services infonuagiques (CSP) 3. Arbitrage des services Gestion dynamique de la capacité ou gestion des services d un certain nombre de fournisseurs afin de respecter, par exemple, l accord sur les niveaux de service (ANS) ou les mesures optimales de coûts Architecture de référence infonuagique NIST (National Institute of Science and technology) : 11

12 Cas d utilisation du courtier 1. Gestion des nouveaux employés Un nouvel employé entre au GC. Ses données en matière de RH sont chez le fournisseur de services infonuagiques n 1 (CSP n 1), et ses données financières et celles provenant des systèmes de rémunération sont chez le CSP n 2. Son adresse courriel est chez le CSP n 3. Comment SPC orchestre-t-il l interopérabilité entre les systèmes? Cela relève-t-il du courtier? Comment réalisons-nous la gestion de l identité, des justificatifs d identité et de l accès (GIJIA) et les services d annuaire? Comment gérons-nous l interopérabilité sur mesure? 2. Reprise automatisée et reprise après catastrophe SPC met en place une application interne essentielle à la mission et souhaite une reprise automatisée en fonction des seuils de capacité vers un fournisseur de nuages hybrides ou publics. 3. Allocation dynamique SPC met en œuvre un service IaaS pour un site Web du GC qui devrait subir des changements importants de capacité qui ne peuvent pas être mesurés? Pouvons-nous mettre en place un bassin de fournisseurs de services infonuagiques et attribuer les tâches selon les seuils de capacité et de prix? 12

13 Questions 1. Quel modèle d'architecture devons-nous adopter pour gérer efficacement la situation dans l'avenir? 2. Notre modèle d'architecture permet-il d'utiliser des systèmes et processus de gestion et d orchestration distincts pour chaque service? 3. Existe-t-il des modèles d architecture d entreprises matures pouvant interconnecter les SaaS aux PaaS de différents fournisseurs de services? 4. Comment pouvons-nous garantir la neutralité des fournisseurs dans ce genre de situation? 5. Quel modèle d'architecture devons-nous adopter pour gérer «l étalement des nuages»? 13

14 Services partagés Canada Architecture d entreprise Gestion de l identité, des justificatifs d identité et de l accès (GIJIA) 2 e réunion du CCCA Le 29 août 2013 Raj Thuppal DG, Transformation de la cybersécurité et de la sécurité de la TI 14

15 Objectif Présentation du plan proposé de GIJIA du gouvernement du Canada (GC) et versions hâtives Sollicitation de commentaires Questions et discussion 15

16 Commentaires de juillet 2013 du CCCA sur la GIJIA Construire par étapes en fonction des besoins et des priorités; rendre le tout aussi simple que possible Avoir des objectifs opérationnels très clairs En faire quelque chose «d attrayant», pour que les utilisateurs veuillent l obtenir La mise à l échelle d une nouvelle identité peut s avérer difficile; relier progressivement les îlots et partir de ces îlots vers un objectif de regroupement Tenir compte de toutes les normes et protocoles ouverts (p. ex., Security Assertion Markup Language [SAML] et autres) Sensibilisation : un des effets de la GIJIA sur le coût est l administration des justificatifs d identité : regrouper les justificatifs d identité être rentable allouer autant de capacité que possible au centre d assistance (SPC et partenaires) Travailler sur le niveau de sécurité «Vie privée dès la conception»; certaines provinces ont certaines des meilleures pratiques en matière de confidentialité Avons-nous bien compris ce que vous vouliez dire? 16

17 Transformation de la sécurité de la TI (version provisoire) État actuel de la sécurité de la TI Ministère Ministè re Ministère Physique Appareils État visé pour la sécurité de la TI du GC Identités multiples Identités multiples Identités multiples Justificatifs d identité multiples Application Identité unique Justificatifs d identité unifiés Données en transit Applications Applications de de soutien soutien Contrôles Contrôles d accès d accès multiples multiples Données en traitement Données au repos Applications Applications propres la propres à la mission Données DÉFENSE EN PROFONDEUR Applications de Applications soutien de centralisées soutien regroupées Contrôles d accès Données centralisé Données au repos en transit Données en traitement Données au repos Applications Applications Applications propres à la Applications propres à la propres mission mission à la propres à la mission Accent sur le réseau, la protection périmétrique et l authentification réseau Accent sur les données, au moyen de niveaux de protection, de la séparation et de la détection active Le passage de domaines de réseau multiples à un domaine unique au GC exige le passage d une sécurité fondée sur le réseau vers une identification et une sécurité fondées sur des données 17

18 Défis et exigences de la GIJIA FACTEURS DÉFIS EXIGENCES ÉMERGENTES Renforcer la sécurité Améliorer les services Réaliser des économies Absence de contrôles d accès exhaustifs et de gestion des privilèges d administrateur, et comptes dormants Capacité limitée d appliquer les politiques et les normes du GC Absence d un référentiel d identité unique au GC GIJIA propre au partenaire, difficulté à mettre en œuvre des services pangouvernementaux La dépendance faisant partie intégrante des solutions de GIJIA empêche l évolution des services Chevauchement et technologies, processus et gestion des services fragmentés Le manque de capacités pangouvernementales force l application de solutions de GIJIA précises (p. ex. l ITSC) Initiatives de SPC BlackBerry 10 WiFi du GC du GC Communications convergentes du GC Infrastructure secrète du GC Regroupement des centres de données Appareils technologiques en milieu de travail Initiatives du SCT RH Web Finances GCDocs Mobilité 18

19 GIJIA du GC portée (proposée) Portée Une solution pour l ensemble du GC Travailleurs internes du GC (p. ex., employés, entrepreneurs, agents de l État, personnes intégrées, invités de confiance, retraités) et entités qui ne sont pas des personnes (comme les appareils et les applications) Gestion d accès logique (systèmes/applications informatiques) et physique (immeubles) Les identités, les justificatifs d identité et les ressources désignés (Protégé B*) et classifiés (Secret) seront gérés Les processus et technologies actuels liés à la GIJIA migreront vers la nouvelle solution de GIJIA, et de nouveaux processus seront créés au besoin Hors portée Les particuliers et les entreprises extérieurs au GC *Nota : Les exigences de niveau «Protégé C» sont traitées dans le cadre de l environnement classifié. 19

20 GIJIA du GC calendrier (proposé) État actuel Inventaire de l infrastructure et des systèmes Leçons apprises Exigences Besoins des partenaires et besoins pangouvernementaux État final Planification et achat Architecture et conception finales Stratégie de services, conception, modèle de prestation Analyse(s) de rentabilisation Feuille de route pour le regroupement et la transformation Plan de mise en œuvre Mise en œuvre Vn Plans détaillés ( ) Mise en œuvre Vn Gestion de programme : gestion de projets, production de rapports, communications, gouvernance, mobilisation des intervenants, finances ( ) Mise en œuvre de l état futur ( ) 2013 sept. juin 2014 sept. déc. avril

21 État actuel Gestion de l identité Gestion des justificatifs d identité Exigences et soutien aux programmes de transformation (p. ex, réseau, courriel, centres de données ) Gestion de l accès Programme de sécurité industrielle de TPSGC attributs de l attestation de sécurité des travailleurs Initiative de transformation des services de courriel attributs de l employé intégration de l ITSC Applications des RH (43 partenaires ++) attributs des employés SAGE attributs de l employé Service de GJI maclé clé ICP et intégration des personnes répertoire des services d ICP Ministères (MDN, GRC, ARC) clé ICP des personnes répertoire des services d ICP autres (p. ex. SSL, ) Applications des secteurs d activité justificatifs d identité intégrés Outils et politiques des ministères Accès à distance protégé Ministères gestion des installations Modernisation des systèmes de pensions attributs de l employé 21

22 Possibilités Des initiatives du Secrétariat du Conseil du Trésor (SCT) visant la modernisation des applications de soutien (RH, Finances, Web, GCDocs) Des solutions de GIJIA propres aux services de TI sont en cours de conception, en raison de l absence de solution pangouvernementale (p. ex. l ITSC); on a rapidement besoin d une solution de GIJIA pour l ensemble du GC (initiatives encadrées par SPC et le SCT) Le système de gestion des justificatifs d identité internes est déjà un service pangouvernemental pouvant être transformé (normes ouvertes, regroupement, découplage des applications, etc.) relativement rapidement en un service définitif Le répertoire de l ITSC pourrait être mis à profit pour fournir des données à la GIJIA du GC Selon les commentaires du CCCA et de l industrie et les tentatives précédentes du GC, il faudrait procéder par étapes en fonction des besoins et des priorités et rendre le tout aussi simple que possible 22

23 GIJIA du GC calendrier (proposé) État actuel Inventaire de l infrastructure et des systèmes Leçons apprises Exigences Besoins des partenaires et besoins pangouvernementaux État final Architecture et conception finales Stratégie de services, conception, modèle de prestation Plan tactique Planification et achat Analyse(s) de rentabilisation Feuille de route pour le regroupement et la transformation Plan de mise en œuvre État actuel Mise en œuvre Vn Exigences État final Plans détaillés ( ) Mise en œuvre Vn Planification et achat Mise en œuvre Vn 1 ( ) ( ) Mise en œuvre de l état futur ( ) Gestion de programme : gestion de projets, production de rapports, communications, gouvernance, mobilisation des intervenants, finances 2013 sept. juin 2014 sept. déc. avril

24 Stratégie de transformation de la GIJIA juillet 2013 déc janv déc Programme de la GIJIA du GC Version... : Gestion de l identité Version 1 de la GIJIA : Gestion de l identité : attributs sources autorisées processus d intégration gestionnaire de l identité Gestion des justificatifs d identité : authentification des applications (nom d utilisateur/mot de passe ou maclé) transformation de l ICP Gestion de l accès : Carte de vérification de l identité personnelle de SPC Ouverture de session simple Analyse des politiques, gestion de l accès à IOS Répertoire de la GIJIA Version 2 : Gestion de l identité Gestion des justificatifs d identité Gestion de l accès Politiques Processus Gouvernance Technologie Gestion des justificatifs d identité Gestion de l accès Politiques Processus Gouvernance Technologie 24

25 Version 1 de la GIJIA du GC (proposée) Principes Éviter le développement de services de GIJIA propres à l application Tirer profit des services d entreprise de GIJIA existants (ITSC, SGIC, etc.) Adopter des normes ouvertes Mettre l accent sur les éléments de base qui ouvrent la voie à l avenir de la GIJIA du GC Regrouper les identités Portée Gestion de l identité Établir les attributs et leurs sources autorisées Construire le répertoire de la GIJIA du GC en s appuyant sur les services d annuaire de l ITSC et d autres sources Déterminer le gestionnaire d identité du GC qui héberge les identités et mots de passe des utilisateurs Gestion des justificatifs d identité Transformation du système de gestion informelle des conflits (SGIC) et d autres services de l ICP Authentification/découplage des applications (en utilisant notamment SAML) Gestion de l accès Normes et pilotes relatifs aux cartes d accès aux immeubles Ouverture de session simple de l application Web 25

26 Version 1 du nouveau service de GIJIA du GC provisoire Gestion de l identité Gestion des justificatifs d identité Gestion de l accès Exigences et soutien aux programmes de transformation et aux initiatives du SCT (p. ex., RH, Web, finances, GCDocs, réseau, courriel, centres de données ) Programme de sécurité industrielle de TPSGC attributs de l attestation de sécurité des travailleurs Initiative de transformation des services de courriel attributs de l employé intégration de l ITSC Applications de RH (43 partenaires ++) attributs de l employé SAGE attributs de l employé Service de GJI maclé clé ICP et intégration des personnes répertoire des services d ICP Ministères (MDN, GRC, ARC) clé ICP des personnes répertoire des services d ICP autres (p. ex. SSL, ) Applications des secteurs d activité justificatifs d identité intégrés Outils et politiques des ministères Accès à distance protégé Ministères gestion des installations Modernisation des systèmes de pensions attributs de l employé Nouveaux services d entreprise Gestion de l identité : attributs sources autorisées processus d intégration gestionnaire de l identité Gestion des justificatifs d identité : authentification des applications (nom d utilisateur/mot de passe ou maclé) transformation de l ICP Gestion de l accès : carte de vérification de l identité personnelle de SPC ouverture de session simple 26

27 Questions et discussion Concernant la GIJIA du GC : 1. La portée proposée de la version 1 est-elle suffisante pour établir le fondement essentiel de la GIJIA du GC? 2. La stratégie de GIJIA interne doit-elle être fédérée ou non fédérée? 3. La stratégie des sources autorisées de GIJIA doit-elle être fédérée ou non fédérée? 27