Business et contrôle d'accès Web

Transcription

1 Business et contrôle d'accès Web Un livre blanc d Evidian Augmentez vos revenus et le ROI de vos portails Web Sommaire Description du cas client Solution mise en place par le client Contrôler et sécuriser l'accès utilisateur avec SAM Web

2 2013 Evidian Les informations contenues dans ce document reflètent l'opinion d'evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'evidian qui ne peut garantir l'exactitude de ces informations passé la date de publication. Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT. Les autres noms de produit ou d'entreprise cités dans ce document sont des marques déposées de leurs sociétés respectives.

3 Table des matières Description du cas client... 5 Solution mise en place par le client... 7 Protéger et gérer les accès Internet de l'entreprise...7 Augmenter le retour sur investissement de votre portail Web en l'étendant aux applications de l'entreprise...8 SAM Web contrôle les accès aux applications de la compagnie d'assurance...9 Contrôle des accès en central ou contrôle des accès auprès de applications...9 Garantir une liste de contrôle d'accès à jour...9 Simplifier les accès avec un Web SSO et une page d'accueil personnalisée...9 SAM Web accélère le déploiement de nouveaux services Web 10 Contrôler et sécuriser l'accès utilisateur avec SAM Web Mettre en place le contrôle d'accès à toutes les applications...11 Contrôler les accès aux applications et aux URL...11 Des autorisations dynamiques...11 Authentification de l utilisateur...12 Tracer l'activité de tous les utilisateurs...12 Chiffrer les données confidentielles...12 Protéger les ressources du Web contre les attaques...13 La création des comptes utilisateurs...13 Utilisation des annuaires LDAP de l'entreprise...13 Création du compte par l'utilisateur...13 Réinitialisation du mot de passe primaire...13 La prise en compte des identités multiples...13 SSO universel...14 Améliorer le confort des utilisateurs et la sécurité via une connexion unique...14 La connexion unique vers des sites Web extérieurs...14 Personnaliser l'environnement Web de l'utilisateur final...15 L'utilisateur peut choisir de gérer lui-même les mots de passe sensibles...15 Extensible aux accès projets J2EE, SOA et Web Services..15 Extensible aux accès non-web et aux applications propriétaires F2 08LT Rev02 3

4 La sécurité instantanée pour un faible coût d'acquisition...16 Une solution non intrusive pour un déploiement simplifié...16 Une administration plus efficace...16 Des coûts de possession plus bas F2 08LT Rev02 4

5 Description du cas client Une grande compagnie européenne d'assurance a développé un nouveau service Web payant pour ses clients, augmentant ainsi son chiffre d'affaire et diminuant ses coûts internes. Ce nouveau service permet aux entreprises clientes de gérer directement les contrats ainsi que la déclaration des sinistres au sein même de leur propre organisation. Fonctions proposées par ce nouveau service Le département des ressources humaines des entreprises clientes peut gérer, au travers d'une application Web, la liste des employés à protéger ainsi que les attributs des contrats. Les employés peuvent faire via le web leurs propres déclarations de sinistres ou obtenir les informations qu'ils désirent sur leurs dossiers personnels. Le DRH a toujours la possibilité de suivre et de contrôler les opérations effectuées. Figure 1. Nouveau service Entreprise cliente Authentification forte Déclare un nouvel employé Modifie les attributs des contrats Suit les dossiers des employés Responsable DRH Authentification Déclare un sinistre Consulte ses dossiers Employés Gains pour l'entreprise cliente, avec ce nouveau service L'accès direct à l'application Web par le DRH accélère et améliore de façon conséquente la gestion et le suivi des opérations d'assurance, ainsi que la mise à jour des listes des employés et de leurs couvertures. La déclaration et le suivi des dossiers effectués directement via le Web par les employés diminuent le coût en central de la gestion des sinistres. Les données manipulées par les clients dans le cadre de ce nouveau service engendrent des risques pour la compagnie d'assurance : en cas de fraude, les conséquences peuvent avoir des répercussions sur le compte de résultats. La responsabilité légale de la compagnie peut être engagée puisque les informations gérées sont des données personnelles pouvant avoir trait, par exemple, à des accidents du travail ou des maladies professionnelles. 39 F2 08LT Rev02 5

6 Risques potentiels détectés pour la compagnie d'assurance à la mise en place d'un tel service Les utilisateurs de ce nouveau service n'étant pas des employés de la compagnie d'assurance, certaines données circulent sur Internet sans protection. La compagnie d'assurance ne maîtrise pas la politique de sécurisation des postes de travail de ses clients. Sans protection du portail, les utilisateurs de l'entreprise cliente peuvent accéder à toutes les applications de la compagnie d'assurance via Internet. Dans une deuxième phase, la compagnie d'assurance souhaite pérenniser les investissements de son projet Web en l'étendant au personnel de son entreprise et à leurs applications Web distribuées dans plusieurs organisations. Afin de limiter ses coûts, minimiser les vulnérabilités et maximiser l'efficacité des employés, ces nouveaux services Web devront s'appuyer sur les services d'authentification et d'administration mis en place lors de la première phase du projet. La protection des données et leur accès via le Web sont rapidement identifiés comme des points clef à maîtriser pour le succès de ce nouveau service. 39 F2 08LT Rev02 6

7 Solution mise en place par le client Protéger et gérer les accès Internet de l'entreprise Pour protéger les données, cette compagnie d'assurance à mis en œuvre un point de contrôle d'accès Web sécurisé intégrant 3 fonctions : Filtrage réseau par pare-feu (firewall) Filtrage de contenu HTML par analyse à haut niveau du code HTML entrant Contrôle des accès des utilisateurs avec mise en œuvre d'une solution d'authentification et d'autorisation des accès. Figure 2. Point de contrôle d'accès Web sécurisé LDAP Entreprise cliente Firewall Firewall Administration des accès Responsable DRH Authentification forte Analyse du code HTML Clients et contrats Authentification Calcul de prime Employés Secure Access Manager - Web Edition 39 F2 08LT Rev02 7

8 Augmenter le retour sur investissement de votre portail Web en l'étendant aux applications de l'entreprise Pour contrôler les accès de ses employés et protéger les données des applications Web distribuées de ses organisations, cette compagnie d'assurance a mis en œuvre des modules appelés «Web agents» sur chacun des serveurs Web cibles. Figure 3. Architecture Web agents de SAM Web SAM Web Audit Employés Employés SSL Authentification Page d'acceuil SSO Web Agents SSO MySAP Entreprise Navigateurs SSL Web Agents WebLogic Dans le cas présent, les Web agents sont installés sur les serveur Web de deux organisations : Finance et Publication Internes. Les Web agents de l'organisation Finance sécurisent l'accès à MySAP et ceux de l'organisation Publication Internes sécurisent les accès aux serveurs WebLogic. Cette architecture utilise le même serveur d'authentification et d'administration que celui déployé avec la passerelle de sécurité Evidian. Le serveur d'administration permet de définir et d'appliquer une politique de sécurité propre à la compagnie. La base LDAP des employés est par contre différente de celle utilisée pour les accès des partenaires. Les fonctions de sécurité mises en œuvre sont : Authentification des utilisateurs par mot de passe, en fonction de leur profil pour accès direct aux URL Finances et Publications Interne et Authentification unique (Single Sign-On). Dans un souci de toujours plus d'efficacité et de coopération avec d'autres partenaires, la solution mise en place permettrait l'extension de cette architecture aux Web Services de ses partenaires. Cette solution permettrait également à cette compagnie de déployer des applications serveurs J2EE du marché ou en open source. 39 F2 08LT Rev02 8

9 SAM Web contrôle les accès aux applications de la compagnie d'assurance SAM Web est une solution de sécurité qui authentifie les utilisateurs puis contrôle pour chaque requête HTML les droits d'accès aux URL demandées. Contrôle des accès en central ou contrôle des accès auprès de applications Pour chaque URL demandée par un utilisateur, SAM Web vérifie les droits d'accès de l'utilisateur et autorise ou bloque, si nécessaire, la requête. Les modules de contrôle des accès de SAM Web peuvent se positionner soit à l'entrée de la zone la plus protégée du système d'information (mode passerelle), soit sur le serveur sur lequel se trouve l'application à protéger (mode Web agent). Dans la première phase du projet, la compagnie d'assurance utilise SAM Web en mode passerelle au sein de la DMZ. C'est ainsi un point de passage obligé pour atteindre les applications. Tous les accès aux applications sont filtrés. Dans la deuxième phase, la compagnie déploie des Web agents sur ses serveurs d'applications distribuées dans ses diverses organisations. Garantir une liste de contrôle d'accès à jour La compagnie d'assurance a délégué aux responsables des ressources humaines des entreprises clientes le rôle d'administrateur des accès utilisateurs pour ses employés. Ce sont donc ces responsables de ressources humaines qui peuvent déclarer/modifier/supprimer les droits d'accès de leurs employés. L'application de délégation de l'administration, dans le cadre de ce service Web, a été développée par la compagnie d'assurance et alimente la base de données de gestion des accès (LDAP) qu'utilise SAM Web. Simplifier les accès avec un Web SSO et une page d'accueil personnalisée SAM Web simplifie les accès grâce à : une authentification primaire lors de la connexion de l'utilisateur, une page d'accueil personnalisée qui présente les seules applications autorisées, un accès automatique aux applications avec re-authentification secondaire transparente auprès de l'application. Cette fonction est aussi appelée Single Sign-On (SSO). 39 F2 08LT Rev02 9

10 SAM Web accélère le déploiement de nouveaux services Web L'architecture de SAM Web est un facteur clef dans le déploiement sécurisé de nouvelles applications Web. Fonctions SAM Web Solution non-intrusive et intégration avec les annuaires LDAP Authentification robuste, SSO et contrôle d'url Architecture Reverse Proxy ou Web Agent Administration centralisée Console d'administration SAM Web Audit centralisé Mise en œuvre de nouveaux services Web Accélère la création d'accès Web disponibles 24x7. Garantit la sécurité et la confidentialité de l'information. L'accès à l'information est mis en œuvre dynamiquement en fonction des caractéristiques de chaque utilisateur. Isole les fonctions de sécurité des applications Web et permet de déployer l'architecture Web de son choix. Simplifie l'ajout de nouveaux serveurs et applications Web Permet de bloquer en quelques clics les accès d'un utilisateur. Analyse les activités des utilisateurs et des administrateurs. 39 F2 08LT Rev02 10

11 Contrôler et sécuriser l'accès utilisateur avec SAM Web Généralement, quand les entreprises évoluent vers l'accès en ligne, il incombe aux administrateurs de chaque application de mettre en œuvre la sécurité. Avec l'ajout d'applications, le nombre d'administrateurs et les règles de sécurité deviennent rapidement impossibles à gérer. Ce type d'approche "puzzle" de la sécurité aboutit à des problèmes de sécurité et à la frustration des utilisateurs finaux. Mettre en place le contrôle d'accès à toutes les applications SAM Web permet de définir et de gérer les applications et les ressources auxquelles peuvent accéder les utilisateurs. Afin d'éviter que chaque administrateur de ressources ne contrôle la sécurité sur ses serveurs, SAM Web centralise la gestion du contrôle d'accès aux ressources Web. A l'aide d'une console facile à utiliser, un administrateur peut contrôler l'accès des utilisateurs de façon dynamique. Les nouveaux employés peuvent être ajoutés aux groupes appropriés et avoir immédiatement accès aux diverses applications. Avec SAM Web, il suffit d'un clic de souris pour interdire l'accès aux services de l'entreprise aux anciens employés et partenaires. En outre, SAM Web permet de suivre l'activité de tous les utilisateurs. Avec SAM Web, vous pouvez mettre en œuvre une politique de sécurité complète pour l'ensemble des ressources Web, internes et externes. Contrôler les accès aux applications et aux URL Des autorisations dynamiques Les modules de contrôle des accès aux URL de SAM Web peuvent être positionnés, soit sur une passerelle de sécurité qui vient en coupure de ligne, soit auprès des applications elles-mêmes sur les mêmes serveurs. SAM Web permet de mettre en place trois types d'architecture : Purement "passerelle" dans laquelle le contrôle des accès se positionne en coupure de ligne sur un point de passe obligé unique Purement "Web agent" dans laquelle le contrôle des accès se positionne sur les serveurs des applications à protéger Mixte "Web agent"/"passerelle" dans laquelle, en fonction de la politique de sécurité, de l'architecture réseau et applicative et de l'optimisation des flux réseaux, les points de contrôle peuvent se positionner soit en coupure soit sur les serveurs Les autorisations d'accès aux URL et aux applications peuvent être calculées de manière dynamique en utilisant des règles simple du type And, Or, Not appliquées aux attributs de l'utilisateur disponibles dans l'annuaire LDAP. Ces règles sont définies en central par l'administrateur puis appliquées par les modules de contrôles des accès. 39 F2 08LT Rev02 11

12 Authentification de l utilisateur SAM Web peut authentifier les utilisateurs via différentes méthodes comme: L identifiant et le mot de passe Le clavier virtuel. Ce clavier virtuel permet à un utilisateur de fournir son identifiant et son mot de passe en cliquant sur un clavier positionné aléatoirement à l écran. Ce clavier virtuel offre une protection supplémentaire contre les «key loggers» sans nécessiter de périphérique ou de logiciel supplémentaire. OTP (mot de passe à usage unique) Carte à puce avec certificat X.509 Jeton Kerberos Jeton SAML Méthode d authentification à base du protocole Radius Tracer l'activité de tous les utilisateurs Toute politique de gestion d'accès requiert un contrôle. SAM Web suit tous les accès des utilisateurs ou toutes les tentatives d'accès afin de protéger les ressources Web, permettant ainsi aux administrateurs de savoir qui a accédé à quelle application et quand. Administre simplement et rapidement de multiples accès Web 1. Séparation entre l'infrastructure de sécurité et les applications. 2. Solution non intrusive sur les serveurs qui ne demande pas de développements spécifiques. 3. Capacité de monté en puissance. SAM Web est compatible avec les outils d'analyse de connexion tel que NetlQ WebTrends, afin de simplifier l'analyse des rapports d'audit de sécurité faite par les administrateurs. Chiffrer les données confidentielles Pour garantir la confidentialité des données échangées sur Internet, les partenaires doivent ouvrir des sessions chiffrées. Comme de plus en plus d'entreprises travaillent désormais en ligne, le chiffrement de chaque application Web devient problématique, car toutes les applications ne permettent pas le chiffrement. Avec SAM Web, toutes les communications avec le navigateur peuvent être chiffrées. Les clients, employés et partenaires peuvent dialoguer en toute confiance au sein de la communauté de sites gérés par SAM Web. 39 F2 08LT Rev02 12

13 Protéger les ressources du Web contre les attaques SAM Web aide à prévenir les attaques des ressources Web exposées sur Internet. La passerelle de SAM Web cache l'adresse réelle des ressources Web : cela modifie l'url des applications Web pour empêcher les pirates de connaître la topologie du réseau. SAM Web contrôle également les entrées pour tous les accès Web. Cela facilite la protection des applications Web nécessitant un code d'accès contre les vers ou toute autre attaque provenant d'internet. La création des comptes utilisateurs SAM Web s'intègre de manière cohérente dans les processus de gestion des utilisateurs existants. Utilisation des annuaires LDAP de l'entreprise SAM Web réutilise la définition des utilisateurs de l'entreprise dans les différents annuaires LDAP de l'entreprise. Les annuaires LDAP peuvent être de fournisseurs différents, avoir des schémas différents et résider sur des sites différents. Création du compte par l'utilisateur En fonction de la politique de sécurité mise en place, l'utilisateur peut être autorisé à créer son propre compte dans un annuaire LDAP prédéfini en se connectant à SAM Web. Son compte peut alors être intégré par un administrateur à la politique générale de contrôle des accès de l'entreprise. Réinitialisation du mot de passe primaire Lorsque l'utilisateur a oublié son mot de passe primaire, SAM Web lui offre la possibilité de réinitialiser ce mot de passe primaire grâce à l'utilisation d'un formulaire de type question/réponse. L'utilisateur n'a pas besoin de faire appel au help desk. La politique de création des mots de passe définie par l'entreprise (nombre de caractères, non réutilisation d'un mot de passe déjà utilisé, ) est alors appliquée. La prise en compte des identités multiples Un utilisateur peut avoir accès à de multiple domaines sous le même nom. Chaque identité est alors définie dans un annuaire LDAP différent. Nous parlons alors de domaines différents. Ces différents domaines peuvent par exemple correspondre à des entreprises, filiales ou organisations différentes. SAM Web permet à l'utilisateur de choisir son domaine lors de l'authentification initiale. Il hérite alors des droits associés à l'identité du domaine qu'il a choisi. 39 F2 08LT Rev02 13

14 SSO universel Les solutions de sécurité traditionnelles perturbent l'efficacité et le confort des utilisateurs. Pour sa part, SAM Web repose sur une approche simplifiée qui renforce la fidélité des utilisateurs. En facilitant la navigation par la connexion unique et en améliorant le confort des utilisateurs grâce à des contenus personnalisés, SAM Web optimise leur productivité et leur confiance. Améliorer le confort des utilisateurs et la sécurité via une connexion unique Lorsque les utilisateurs doivent fournir un mot de passe à chaque fois qu'ils veulent accéder à une application interne ou externe, la mise en œuvre de la sécurité entrave forcément leurs activités. La gestion de multiples informations de connexion est une activité frustrante qui prend beaucoup de temps. Pour aller plus vite, les utilisateurs choisissent des mots de passe faciles à détecter ou les laissent à la vue de tous. Les appels liés à des problèmes de mot de passe qui sont adressés au "help desk" représentent une part importante des coûts de ce service. La multiplication des mots de passe entrave non seulement les activités, car elle perturbe le confort et la productivité des utilisateurs, mais elle favorise également l'insécurité. Avec SAM Web, les clients, partenaires ou employés accèdent aux ressources Web internes et externes avec un seul nom d'utilisateur et un seul mot de passe. Après la procédure d'authentification initiale par SAM Web, ils peuvent naviguer librement parmi les ressources auxquelles ils sont autorisés à accéder. Transparent pour l'utilisateur, SAM Web fournit à chaque application l'identifiant et le mot de passe appropriés, notamment par l'intermédiaire des formulaires. La connexion unique vers des sites Web extérieurs L'activité des organisations s'étendant au-delà du pare-feu vers des domaines multiples, le SSO doit aussi suivre le même chemin : les portails Intranet offrent souvent l'accès à des sites Web d'achat ou des services d'abonnement et l'extranet peut couvrir plusieurs sites partenaires. Avec SAM Web, les gestionnaires de portail peuvent contrôler leur environnement Web en ajoutant et en déplaçant des ressources de façon dynamique. Les utilisateurs peuvent accéder aux ressources à distance de l'entreprise sans être obligés de fournir un autre mot de passe. La solution SAM Web améliore la sécurité, la satisfaction des utilisateurs et réduit le nombre d'appels adressés au "help desk". 39 F2 08LT Rev02 14

15 Personnaliser l'environnement Web de l'utilisateur final Parce que la navigation sur le Web est impersonnelle, les utilisateurs ont souvent des liens non pertinents sur leur page d'accueil. SAM Web personnalise cette navigation en donnant aux utilisateurs le sentiment d'appartenir à une communauté. Avec SAM Web, les utilisateurs de certains secteurs de l'industrie situés dans des zones géographiques prédéfinies peuvent obtenir un accès et des informations personnalisés. Les clients et partenaires qui accèdent aux services sont sécurisés à plusieurs niveaux. Grâce à cette aptitude de SAM Web à répondre à leurs besoins, les utilisateurs se sentent membres d'une communauté sécurisée. La connexion unique vient renforcer ce sentiment en permettant aux utilisateurs de naviguer de façon transparente au sein des applications autorisées. L'utilisateur peut choisir de gérer lui-même les mots de passe sensibles Les mots de passe peuvent être gérés par l'administrateur ou par un utilisateur. Les mots de passe de groupe peuvent être transparents pour les utilisateurs finaux. Par exemple, l'administrateur peut autoriser les membres d'un groupe défini à accéder à des rapports d'analyste sans leur communiquer le mot de passe de l'entreprise concernée. De même, si les employés accèdent à leur compte de messagerie Web, l'administrateur de portail ne connaîtra pas leur mot de passe. Extensible aux accès projets J2EE, SOA et Web Services Grâce à l'architecture modulaire d'accessmaster, le module SAM J2EE étend les fonctionnalités de SAM Web en offrant une solution intégrée de SSO aux environnements J2EE, SOA et Web Services. En s'appuyant sur un serveur d'authentification et d'administration commun, SAM Web et SAM J2EE coopèrent pour offrir aux utilisateurs un Single Sign-On aussi bien pour les environnement Web que les environnement J2EE et Web Services. Grâce aux technologies SAML, SAM J2EE étend simplement les fonctions de contrôle d'accès de SAM Web pour interconnecter les portails ou applications Web aux serveurs J2EE ou aux Web Services internes et externes. Extensible aux accès non-web et aux applications propriétaires Lorsque les applications n'ont pas toutes un accès Web, la solution Secure Access Manager Standard Édition pour les applications non-web vient en complément de SAM Web afin de fournir une solution complète et intégrée pour sécuriser et simplifier les accès aux applications non-web et les applications propriétaires. 39 F2 08LT Rev02 15

16 La sécurité instantanée pour un faible coût d'acquisition Avec SAM Web, il n'est pas nécessaire de sacrifier la commodité à la sécurité. SAM Web ne requiert aucune modification ou ajout de composant sur les postes de travail des utilisateurs et ni aucune modification des systèmes cibles. Les autres solutions actuellement disponibles sur le marché sont extrêmement complexes, nécessitent des mois de mise en œuvre et consomment de précieuses Gardez le contrôle de la sécurité ressources informatiques. 1. L'administration centrale minimise les coûts et les tâches associées à la sécurité. 2. La flexibilité de l'administration permet d'ajouter ou révoquer les droits d'un utilisateur en quelques clics. 3. L'audit central permet de suivre à la trace toutes les connexions. Une solution non intrusive pour un déploiement simplifié Grâce à son architecture non intrusive, SAM Web peut être déployé intégralement en quelques heures et permet à l'entreprise d'évoluer aussi rapidement que le marché. Téléchargeable depuis le Web, SAM Web est un logiciel complet qui repose sur des standards. Une administration plus efficace SAM Web permet aux administrateurs de portail ou de serveurs Web de gérer de manière transparente l'accès à n'importe quelle application Web sans avoir à déployer de logiciel ou à réorganiser les répertoires. SAM Web ne perturbe ni les processus d'administration en place ni les applications. SAM Web réutilise les annuaires utilisateurs LDAP existants pour appliquer une politique de sécurité sur les ressources de l'entreprise. Des coûts de possession plus bas SAM Web permet de limiter au maximum les coûts annexes informatiques. Pas besoin de redéfinir ou de modifier les annuaires utilisateurs. Permet d'augmenter le retour sur investissement des projets Web en facilitant l'extensions des projets portails aux environnement Java et SOA. Pas besoin de mettre à jour SAM Web quand une application protégée est mise à jour. Le résultat final est une solution de sécurité complète simplifiant l'accès des utilisateurs finaux avec le coût de propriété le plus. 39 F2 08LT Rev02 16

17 Pour plus d'informations, consultez le site