VMware Zimbra et la Sécurité

Transcription

1 Protégez votre environnement de messagerie collaborative VMware Zimbra LIVRE BLANC TECHNIQUE

2 Table des matières Politique de VMware Zimbra en matière de la sécurité... 3 Engagement open-source... 3 Conception flexible et orientée objet... 4 Conformité aux standards... 4 Architecture de déploiement flexible...5 Etapes d'accès à la solution et sécurité... 6 Se loguer... 6 Accéder aux données... 7 Partager les données et envoyer des s... 8 Monitoring et suivi des accès et de l'usage... 9 Réponse en cas d'incident Sécurité intégrée et fonctionnalités d'archivage légal...11 L'écosystème sécuritaire de Zimbra...12 Intégration au niveau de la passerelle Intégration par les Zimlets Questions-Réponses...13 LIVRE BLANC TECHNIQUE 2

3 Politique de VMware Zimbra en matière de la sécurité Les entreprises d'aujourd'hui doivent gérer des impératifs contradictoires en matière de facilité d'accès et de sécurité. Les utilisateurs doivent pouvoir travailler et collaborer depuis n'importe où et à partir d'équipements informatiques divers. Par ailleurs, les règles en vigueur sur la sécurité et la protection des données privées sont de plus en plus contraignantes, alors que les menaces sécuritaires n'ont de cesse d'évoluer. La DSI doit être constamment vigilante pour assurer la protection des informations et des applications de l'entreprise. En tant que plate-forme de messagerie, calendrier et collaboration, VMware Zimbra est au cœur de la collaboration et de la communication qui anime l'entreprise. La messagerie est une application critique pour quasiment toutes les entreprises. C'est pourquoi VMware comprend parfaitement l'importance de mettre à la disposition des entreprises différentes options en matière de sécurité et de conformité aux lois, d'autant plus que chaque entreprise à des besoins qui lui sont propres. Ce document se propose d'examiner les mesures de sécurité inhérentes au serveur de messagerie collaborative VMware Zimbra; ainsi que les différentes façons d'intégrer Zimbra avec les solutions et les pratiques de l'entreprise concernant la sécurité, l'archivage légal et les processus de gestion. La sécurité et l'archivage légal des données sont au cœur même de la philosophie et des technologies sur lesquelles sont basés Zimbra. Aussi VMware s'engage à développer une solution de messagerie qui soit open-source et qui bénéficie d'une conception orientée objet, d'une compatibilité étendue grâce au respect des standards de l'industrie, et enfin d'options de déploiement flexibles. Engagement open-source Zimbra est une plate-forme de messagerie collaborative open-source destinée aux entreprises. Le serveur Zimbra est construit à partir de briques open-source reconnues et éprouvées, telles que le système de gestion de fichiers Linux (message store), Jetty (serveur web et conteneur de servlets JavaTM), MySQL (meta-données), Apache Lucene (recherche), Postfix (agent de transfert de mails), OpenLDAP (données de configuration) et d'autres encore. Chacune de ces technologies s'appuie sur d'importantes communautés open-source, lesquelles imposent un niveau constant d'exigences en matière de contrôle de la qualité (QA) et de révision du code source. VMware contribue au code des projets open source qu'il reverse à la communauté. Cela permet non-seulement de repayer quelque peu la communauté pour ses contributions de grande valeur, mais cela permet aussi aux clients de Zimbra de participer à l'amélioration de l'architecture et de la valider, par le biais de la communauté. Cet engagement envers l'open-source protège l'investissement que les entreprises effectuent dans la technologie utilisée par la messagerie collaborative Zimbra. Il est possible à tout moment de repasser de la version commerciale du serveur Zimbra à la version opensource. Même si cela veut dire perdre des fonctionnalités riches supplémentaires, les fonctionnalités essentielles seront, quant à elles, toujours présentes. LIVRE BLANC TECHNIQUE 3

4 Conception flexible et orientée objet Une des règles de base de la conception de Zimbra est que tout élément (comptes, domaines, dossiers de mails, calendriers, etc.) est un objet au sein d'une hiérarchie, et que chaque objet est associé à une liste de contrôles d'accès (Access Control List ou ACL). Cette conception permet une granularité importante des permissions qui sont définies et peuvent être utilisées pour créer des classes de service. Une classe de service est un objet spécifique à Zimbra qui définit par exemple les attributs et fonctionnalités par défaut qui seront activées ou non dans un compte mail. Ces attributs comprennent les paramètres des préférences par défaut, les quotas de boîtes mail, la durée de vie du message, les restrictions sur les mots de passe, les restrictions sur les pièces jointes et les lots de serveurs pour la création de nouveaux comptes. A chaque compte est assigné une classe de service. Les comptes peuvent alors être regroupés par classe de service. Le niveau de fonctionnalités des comptes est ensuite défini au niveau de la classe de service. Par exemple, une classe de service peut être assignée aux directeurs de l'entreprise pour les autoriser à utiliser le calendrier alors que celui-ci est bloqué pour les autres utilisateurs. En regroupant les comptes par classes de service spécifiques, les fonctionnalités des comptes peuvent être mises à jour en bloc. Si une classe de service n'est pas définie de manière explicite ou que l'utilisateur n'existe plus, les valeurs sont alors celles par défaut. Une classe de service n'est pas limitée à un domaine particulier ni à un ensemble de domaines. Des administrateurs délégués peut être créés à partir d'une classe de service ayant un contrôle d'accès défini par type de rôle. Le modèle de sécurité de Zimbra s'adapte à divers scenarii en entreprise tout en bénéficiant d'un déploiement simple et d'une administration simplifiée. Conformité aux standards Zimbra est conforme aux standards de l'industrie couramment utilisés tels que : Secure Sockets Layer/Transport Layer Security (SSL/TLS) Simple Mail Transfer Protocol (SMTP) Secure/Multipurpose Internet Mail Extensions (S/MIME) Security Assertion Markup Language (SAML) 2.0 Federal Information Processing Standard (FIPS) Cet engagement de conformité aux standards permet au serveur Zimbra d'être compatible avec tout poste de travail et client mobile. Cela LIVRE BLANC TECHNIQUE 4

5 permet également à VMware de s'entourer d'un écosystème de partenaires développant des solutions tierces. Les entreprises utilisatrices de Zimbra ont alors le choix entre développer leur propre solution intégrée à Zimbra et intégrer des applications tierces de sécurité et de conformité. Architecture de déploiement flexible Le serveur collaboratif Zimbra utilise une architecture modulaire supportant des déploiements flexibles et sûrs, avec des composants côté client déployés séparément des composants du serveur. Par exemple, il est possible de lancer le Serveur Proxy Zimbra et le MTA (Message Transport Agent), lequel gère le trafic externe, au sein du DMZ. Le LDAP (Lightweight Directory Access Protocol) et les composants du serveur de stockage des mails peuvent être installés derrière un autre pare-feu, les deux étant reliés par des adresses privées et non-routables.en protégeant le côté serveur et en offrant un chiffrage de bout en bout, Zimbra permet d'assurer la sécurité de la messagerie pour tous les utilisateurs, où qu'ils soient, même chez eux. LIVRE BLANC TECHNIQUE 5

6 Etapes d'accès à la solution et sécurité Pour mettre en œuvre une protection poussée de la messagerie, il convient d'insérer des couches de protection à chaque phase de la solution. Afin de décrire les couches de sécurité comprises dans la solution Zimbra, nous allons tout d'abord décrire les différentes étapes d'accès à l'application, en commençant par la perspective de l'utilisateur lors du login (authentification). Se loguer L'authentification permettant l'accès à l'application est la première étape de la sécurité de Zimbra. Zimbra fournit quatre options d'authentification. Authentification native Zimbra Zimbra supporte l'authentification grâce à son propre annuaire interne. Il s'agit là de la configuration la plus simple. Les administrateurs peuvent définir des politiques de mots de passe avec différentes contraintes en matière de longueur du mot de passe, de complexité ou encore de durée de validité. Depuis la version 7.2, le serveur Zimbra supporte l'authentification à deux niveaux par carte à puce, tel que le système du Ministère de la Défense des Etats-Unis, comme facteur d'authentification physique. En ajoutant le mot de passe (que l'utilisateur connait) à la carte à puce (que l'utilisateur a sur lui), l'authentification à plusieurs niveaux réduit la possibilité d'accéder au système par des moyens usurpés. Single Sign-On (SSO) Zimbra est compatible avec les systèmes de gestion des identités existants tels que Microsoft Active Directory et les annuaires supportant le protocole LDAP et utilisant Kerberos ou une clé de pré-authentification. Ainsi, les utilisateurs disposent d'un login unique pour s'authentifier sur les différents services de l'entreprise, tandis que les administrateurs peuvent gérer les accès et les identités depuis un seul annuaire centralisé. Fédération des identités Zimbra supporte également la fédération des identités basées sur SAML. Avec cette approche, un utilisateur s'authentifie par le bais d'un fournisseur d'identité SAML. Le fournisseur et le serveur Zimbra doivent échanger des certificats de sécurité ainsi que des preuves d'identité, LIVRE BLANC TECHNIQUE 6

7 avant que Zimbra n autorise l'accès. VMware Horizon Application Manager, par exemple, est un fournisseur d'identité SAML fonctionnant avec Zimbra. Zimbra supporte d'autres solutions d'identité fédérées utilisant le standard SAML 2.0. Enfin Zimbra supporte OAuth, un protocole d authentification au niveau de l'api utilisé par les fournisseurs de service de taille importante. Authentification mobile Dans le cas de certains équipements portables, le serveur Zimbra peut s'assurer que le matériel en question est compatible avec les politiques de sécurité avant d'accorder l'accès. Ces politiques peuvent inclure temps maximum autorisé pour se loguer, code d'accès personnel (PINs) et effaçage du matériel. Par exemple, l'utilisateur doit entrer un code d'accès (PIN) pour débloquer son smartphone ou sa tablette. S'il échoue après un nombre prédéterminé d'essais, un programme local efface le contenu du smartphone ou de la tablette. Accéder aux données Une fois que les utilisateurs sont connectés à Zimbra, les processus d autorisation contrôlent les données qui s'affichent ainsi que les opérations qu'ils peuvent effectuer. Par exemple, la plupart des utilisateurs peuvent utiliser leur propre messagerie et calendrier, tandis que certains utilisateurs peuvent également consulter ceux d'une autre personne. Tout ce qui est contenu dans Zimbra (y compris les comptes, domaines, dossiers de mails, contacts, calendrier, tâches et porte-documents) se présente comme un objet dont les attributs peuvent être sécurisés par des permissions au niveau de cet objet. Les administrateurs peuvent aisément créer des groupes et leur assigner des permissions d'accès correspondant aux besoins dictés par leur fonction. Zimbra supporte également des frameworks d'autorisation hautement modulaires et sûrs, lesquels utilisent le modèle des classes de service. Il est possible de définir des classes de service uniques ou spécialisées, selon les besoins spécifiques de l'entreprise. Chaque classe de service contrôle tout, qu'il s'agisse de fonctionnalités spécifiques à l'intérieur de Zimbra, ou des politiques de stockage et de l'accès aux solutions tierces intégrées à Zimbra grâce aux frameworks extensibles des zimlets. Partage des permissions Zimbra offre des niveaux de permissions très flexibles de partage des dossiers d' s, des contacts, des calendriers, des listes de tâches et des dossiers du porte-document. Il est possible d'accorder aux utilisateurs internes ou à des groupes d'utilisateurs internes la permission de voir, modifier ou partager des dossiers ou des éléments dans ces dossiers. Il est également possible d'accorder à des utilisateurs externes la LIVRE BLANC TECHNIQUE 7

8 permission de consulter des objets partagés, soit en lecture seule ou par le biais d'un accès protégé par un mot de passe. Par exemple, un utilisateur pourrait donner à un collègue la permission de créer, accepter ou supprimer des rendez-vous dans son calendrier, mais pas la permission de partager le calendrier avec d'autres utilisateurs. Administration déléguée, basée sur des rôles Zimbra permet de déléguer les tâches administratives par le biais de permissions hautement configurables. Le rôle d'un administrateur peut être aussi simple que de gérer une liste de diffusion ou de réinitialiser les mots de passe oubliés d'un groupe spécifique d'utilisateurs. Il est possible de créer des rôles pour à peu près tous les attributs et tâches contenus dans Zimbra. Zimbra fournit également des rôles prédéfinis pour les administrateurs de domaines et les gestionnaires de listes de diffusion. Partager les données et envoyer des s Une fois les utilisateurs connectés à leurs comptes, ceux-ci commenceront probablement par envoyer et recevoir des s, organiser des rendez-vous et collaborer avec leurs collègues. Ces interactions peuvent avoir lieu au sein du serveur (avec les autres utilisateurs du groupe) ou bien avec des utilisateurs externes, ou encore par le biais d'équipements informatiques mobiles ou situés en dehors du contrôle de l'entreprise. Zimbra intègre plusieurs stratégies pour protéger la confidentialité des données tandis que celles-ci circulent à travers l'application, entre les utilisateurs et de poste en poste. Chiffrage des messages Depuis la version 7.2, le serveur Zimbra supporte le protocole S/MIME de chiffrage et déchiffrage des s y compris lorsque le client webmail est utilisé. Zimbra peut également fonctionner avec les autorités publiques de certificats ou avec les certificats émis dans le cadre du déploiement d'une infrastructure de PKI (internal public-key infrastructure). Confidentialité des données en transit VMware recommande l'usage de TLS successeur de SSL pour toutes les communications entre les serveurs Zimbra et le client (qu'il s'agisse d'un client web ou mobile). TLS peut être défini comme valeur par défaut dans la console d'administration du serveur Zimbra. Zimbra utilise TLS/SSL pour chiffrer les communications avec les mobiles utilisant ActiveSync et Zimbra Mobile. Depuis la version 7.2 du serveur Zimbra, il existe une couche supplémentaire de sécurité grâce au chiffrage du contenu par S/MIME. LIVRE BLANC TECHNIQUE 8

9 Confidentialité des données stockées Les données contenues dans le store de stockage des messages sont aussi chiffrées grâce à S/MIME, depuis la version 7.2 du serveur Zimbra. Les données restent chiffrées jusqu'à ce qu'une personne possédant la clé privée adéquate ouvre l' . Des solutions tierces peuvent également être utilisées pour chiffrer le système de fichiers contenant les données de Zimbra. Par exemple, il est possible d'employer un chiffrage comprenant un composant matériel, lequel est intégré dans le stockage du système de fichiers. FIPS Dans le cas d'environnements devant fonctionner sous un mode conforme à la norme FIPS140-2, les bibliothèques de chiffrage et les clients lourds de Zimbra peuvent être configurés pour opérer obligatoirement avec des algorithmes et des clés conformes à FIPS Signatures numériques S/MIME permet également de signer numériquement les messages pour les authentifier à des fins légales. L'usage de la signature numérique garantit au destinataire que le message provient de la bonne personne et non pas de quelqu'un se faisant passer pour elle. Protection contre les coupures de services et les sinistres Il est possible de protéger l'ensemble du déploiement Zimbra contre les coupures de services et les sinistres, sans aucun impact sur l'application. Par exemple il est possible : d'utiliser la réplication des données afin d'éradiquer la vulnérabilité aux pannes de l'environnement de stockage. d'utiliser des sauvegardes pour permettre au site de repartir en cas de sinistre Installer Zimbra dans un environnement VMware vsphere est un moyen facile de mettre en œuvre une solution de haute disponibilité et de résilience aux pannes. Monitoring et suivi des accès et de l'usage LIVRE BLANC TECHNIQUE 9

10 Pendant que les utilisateurs envoient ou reçoivent des s, programment des rendez-vous et collaborent avec leurs collègues, Zimbra est constamment en train d'effectuer un audit et un suivi de tous les accès et usages. Les logs Zimbra couvrent une large gamme d'activités telles que : L'activité des utilisateurs et de l'administrateur Les échecs de login Les requêtes lentes L'activité des boîtes mail L'activité de la synchronisation mobile Les erreurs de la base de données Il est possible de définir plusieurs niveaux de logs. Le serveur Zimbra supporte le format syslog et le protocole SNMP (Simple Network Management Protocol). Les événements, alertes et traps des logs peuvent être envoyés aux systèmes de gestion des logs et de corrélation des événements pour créer des politiques centralisées et des notifications basées sur les besoins des entreprises en matière de sécurité et d'archivage légal. Ces logs peuvent être analysés, ce qui s'avérera utile pour l'étape suivante : la réponse en cas d'incident. Réponse en cas d'incident En dépit des couches de sécurité que nous venons de passer en revue, l'administrateur peut être amené à agir pour résoudre un problème ou minimiser un risque. Par exemple : Les moyens d'accès d'un utilisateur ont été volés Un directeur a laissé son smartphone dans un taxi L'analyse des logs révèle des activités suspectes sur le compte d'un administrateur Zimbra permet de répondre de plusieurs manières en cas d'incident. Effacer un équipement informatique par accès distant Si une tablette ou un smartphone se connectant à Zimbra est perdu ou volé, l'administrateur peut effacer son contenu à distance. Cela diminue le risque que quelqu'un puisse accéder aux données de Zimbra à distance, ou que les données contenues sur le smartphone ou la tablette soient compromises. LIVRE BLANC TECHNIQUE 10

11 Gel d'un compte Il est possible de configurer une politique qui gèle automatiquement un compte après qu'un certain nombre de tentatives d'accès aient échoué. L'administrateur peut aussi désactiver immédiatement un compte à tout moment. Un administrateur possédant les droits appropriés peut également passer en revue les messages du compte suspect afin de déterminer si un compte est compromis. L'utilisation d'une société fédérée de gestion d'identité (Single Sign On basé sur SAML), couplée au serveur Zimbra ou bien l'intégration du serveur Zimbra à des annuaires externes de type Active Directory pour implémenter le Single Sign On permet de désactiver l'accès à l'annuaire centralisé ou au store d'identité et d empêcher l'authentification du compte Zimbra. Sécurité intégrée et fonctionnalités d'archivage légal Le serveur Zimbra est fournit avec un antivirus, un anti-spam et une solution d'archivage afin d'assurer la protection indispensable des s. Antivirus ClamAV est un anti-virus open-source plébiscité et dont les définitions (de vers, virus and phishing) sont mises à jour plusieurs fois par jour. ClamAV peut être couplé à d'autres solutions antivirus; Zimbra fournit un framework sous forme de plug-in, supportant les antivirus. Antispam Le serveur Zimbra comporte également un filtre anti-spam utilisant la solution open-source SpamAssassin et les outils DSPAM. Ces outils peuvent apprendre à mieux identifier les spams (lorsque l'utilisateur déplace un message dans le dossier de spam ou au contraire, retire un message qui s'y trouve) et permettent aux entreprises d'optimiser leur productivité. Archivage légal Le module d'archivage légal («Archiving and Discovery») est une fonctionnalité disponible sur le serveur Zimbra. Cette solution intégrée permet de sélectionner les s à archiver et de définir la politique de stockage des archives et des s récents. Ce module comprend un indexage très performant afin de pouvoir effectuer des recherches tout en restant simple d'usage et de coût abordable. Des solutions tierce d'archivage peuvent également être intégrées dans Zimbra. LIVRE BLANC TECHNIQUE 11

12 LIVRE BLANC TECHNIQUE 12

13 L'écosystème sécuritaire de Zimbra Il est possible d'intégrer Zimbra avec d'autres solutions de sécurité et d'archivage légal, ou d'étendre les politiques de sécurité grâce à des solutions tierces. Zimbra s'intègre facilement avec de nombreuses autres solutions et supporte un large écosystème de partenaires. VMware a un programme de sécurité de messagerie appelé VMware Ready Mail Security, destiné aux partenaires, et apportant des solutions complémentaires dans les domaines suivants : Prévention de la perte des données Antivirus et anti-spam Archivage légal des s La politique d'ouverture de l'écosystème de partenaires de VMware permet aux entreprises d'investir et de déployer des mesures qui sont adaptées à leur environnement spécifique. Le serveur Zimbra supporte deux niveaux d'intégration avec les solutions tierces : Intégration au niveau de la passerelle Intégration par les Zimlets La liste de tous les partenaires est disponible sur mail-security.html. Intégration au niveau de la passerelle Grâce à son support du protocole SMTP, le serveur Zimbra fournit une intégration au niveau de la passerelle d'un grand nombre de solutions tierces. Par exemple, le serveur Zimbra peut être configuré pour envoyer tous les messages vers une passerelle SMTP, permettant ainsi d'archiver les s, de filtrer le contenu, de protéger contre la perte des données, de mettre en œuvre la politique concernant la sécurité des s, la prévention contre les virus et le spam, et ainsi de suite. Intégration par les Zimlets Le framework des zimlets fournit une intégration étroite avec le serveur Zimbra. Les Zimlets permettent aux utilisateurs d'interagir avec des applications tierces depuis le client Zimbra. LIVRE BLANC TECHNIQUE 13

14 Les partenaire de VMware tels que Proofpoint ont utilisé les Zimlets pour créer une intégration étroite entre leurs solutions de sécurité et le serveur Zimbra. Les entreprises peuvent également créer leurs propres Zimlets pour ajouter des fonctionnalités à leur déploiement. Les Zimlets (qu'ils soient développés par des partenaires ou par la communauté Zimbra) sont disponible depuis la Gallerie Zimbra ( Questions-Réponses Cette section se propose d'apporter des réponses aux questions les plus fréquentes sur Zimbra et la sécurité. Q Zimbra supporte-t-il les signatures numériques? R Depuis la version 7.2, le serveur Zimbra supporte les signatures numérique par le biais de S/MIME. Il est alors possible d'envoyer et de recevoir des messages chiffrés numériquement. Q Zimbra supporte-t-il le chiffrage des certificats? R Le serveur Zimbra supporte le chiffrage des certificats par le biais de S/MIME, ou de solutions partenaires telles que Proofpoint. Q Zimbra fournit-il des filtres de contenu? R Zimbra ne fournit pas de filtres de contenu mais ceux-ci sont disponibles à travers nos partenaires. Voir : Q Quels standards de chiffrage Zimbra supporte-t-il? R Le serveur Zimbra supporte S/MIME3.2, S/MIME3.1 et TLS/SSL. Q Comment Zimbra supporte l'authentification à deux facteurs? R Depuis la version 7.2, le serveur Zimbra supporte nativement les authentifications à facteurs multiples, en utilisant des jetons conformes aux normes PKCS#11, et stockant des certificats X.509, tels que les cartes à puce. Zimbra peut aussi être configuré pour utiliser le SSO lorsqu'il s'authentifie aux système de gestion des identités, soit localement ou bien à travers une passerelle d'accès sécurisé, requérant ainsi plusieurs facteurs d'authentification. Q Comment Zimbra supporte-t-il la fédération des identités? R Zimbra supporte la fédération des identités grâce au protocole SAML 2.0. Zimbra peut être utilisé avec un fournisseur d'identité tel que le gestionnaire d applications VMware Horizon, ou les services fédérés de Microsoft Active Directory. LIVRE BLANC TECHNIQUE 14

15 Q Comment faire fonctionner Zimbra en mode FIPS 140-2? R En utilisant un système d'exploitation (sur le poste ou le navigateur) qui supporte le mode FIPS 140-2, et en configurant la machine client pour fonctionner en mode FIPS. Zimbra respectera alors les algorithmes et longueurs de clés des normes FIPS Q Ai-je besoin Java pour faire fonctionner S/MIME? R Oui. Zimbra utilise une applet Java pour accéder aux clés stockées en local et aux bibliothèques cryptographiques sur le poste client, pour des raisons de sécurité, d'interopérabilité et de compatibilité entre les différents navigateurs. Q Zimbra supporte-t-il SPNEGO? R Oui. Zimbra utilise SPNEGO, si celui est supporté par le navigateur, pour authentifier par Kerberos. Acronyms ACL Access Control List ADFS Active Directory Federation Services COS Class-of-service FIPS Federal Information Processing Standard LDAP Lightweight Directory Access Protocol MBS Mailstore Server MTA Message Transfer Agent OSS Open source software SAML Security Assertion Markup Language S/MIME Secure Multipurpose Internet Mail Extensions SMTP Simple Mail Transfer Protocol SSL Secure Socket Layer SSO Single sign-on TLS Transport Layer Security ZCS Zimbra Collaboration Server Document traduit de l'anglais par StarXpert Premier partenaire Zimbra en France depuis 2006 LIVRE BLANC TECHNIQUE 15