Services à distance Xerox Dossier sur la sécurité Version 1.0.9 Services à distance mondiaux Gestion de l information Xerox Novembre 20122 702P01061
2012 Xerox Corporation. Tous droits réservés. Xerox, Xerox et le logo, CentreWare et PagePack sont des marques de commerce de Xerox Corporation aux États-Unis et/ou dans d autres pays. BR4136 Les autres marques de commerce associées à d autres entreprises sont également reconnues. Version du document : 1.0.9 (novembre 2012).
Préface Objet et destinataires du document Le présent document vise à décrire les composants, l utilisation et les fonctions offertes ayant trait à la sécurité des Services à distance intégrés aux produits Xerox. Il est également destiné à servir de guide pour le déploiement des Services à distance de Xerox dans un environnement réseau. Les destinataires sont essentiellement les clients dotés des rôles suivants : Rôle Fournisseur de technologie Équipe des TI Équipe responsable de la sécurité Description Exécute le déploiement de l équipement, sous la direction de l équipe des TI Certifie et exécute le déploiement des outils des Services à distance de Xerox. L équipe des TI est aussi responsable de l activation et de la désactivation de différentes fonctionnalités Évalue, certifie ou approuve les outils Services d impression gérés (MPS) utilisés dans l environnement du client, en fonction des politiques de l entreprise, des lois en vigueur et des normes de l industrie. Remarque : Les produits Xerox qui ne sont pas directement reliés à un réseau (appareil indépendant pour la télécopie, la numérisation, la copie, etc.) ne sont pas traités dans ce livre blanc. Comment utiliser ce document à profit Examinez l ensemble du présent document lors de la préparation de la certification de produits et de services de Xerox utilisés dans un environnement réseau. Consultez la section 2 du présent document pour comprendre les capacités générales des Services à distance de Xerox. Consultez la section 3 du présent document pour déterminer le modèle de déploiement qui correspond le mieux à vos politiques des TI. Consultez la section 4 du présent document pour comprendre les communications de données des produits Xerox. Consultez la section 5 du présent document pour comprendre les détails techniques des Services à distance de Xerox. Consultez la section 6 du présent document pour connaître les meilleures pratiques et les recommandations pour le déploiement et l utilisation des Services à distance de Xerox.
Table tes matières Objet et destinataires du document... 1-2 Comment utiliser ce document à profit... 1-2 1 Sommaire exécutif... 1-4 2 Le Continuum de Services MPS... 2-6 2.1 Services d impression à distance Xerox... 2-6 2.2 PagePack 3.0 de Xerox... 2-7 2.3 Services d impression des partenaires Xerox... 2-8 2.4 Services d impression Xerox... 2-8 2.5 Services d impression d entreprise... 2-9 3 Modèles de déploiement... 3-10 3.1 Direct-Connect... 3-10 3.2 Applications Remote Proxy... 3-11 3.3 Modèle de déploiement mixte... 3-11 4 Transmission des données et données utiles... 4-12 4.1 Sécuriser le canal de communication externe... 4-12 4.2 Sources de données... 4-13 4.2.1 Appareils pour le bureau de Xerox... 4-13 4.2.2 Appareils de production de Xerox... 4-14 4.2.3 Applications Remote Proxy de Xerox... 4-15 4.3 Utilisation par les systèmes finaux de Xerox... 4-20 5 Détails de la technologie... 5-21 5.1 Conception des logiciels... 5-21 5.2 Utilisation... 5-21 5.2.1 Utilisation des Services à distance de Xerox sur un réseau.. 5-21 5.2.2 Exigences pour les applications Remote Proxy... 5-28 5.2.3 Fonctionnalités de sécurité des applications Remote Proxy. 5-29 5.3 Protocoles, ports et autres technologies connexes... 5-30 5.4 Concepts de base ayant trait à la sécurité... 5-33 6 Recommandations... 6-35 7 Annexe A : Sélection du modèle de déploiement... 7-37 Dossier sur la sécurité des Services à distance de Xerox 1-3
1 Sommaire exécutif Gérer un parc d impression tout en préservant un niveau acceptable de sécurité présente une difficulté de taille. Le personnel des TI doit s efforcer d être à l affût des avancées technologiques en matière d impression et de vulnérabilités de sécurité. De plus, les cadres supérieurs doivent procéder à l amélioration incessante des processus d utilisation et des activités de réduction des coûts ainsi qu à l inspection des biens chaque année. Heureusement, Xerox a développé un ensemble de services à distance pour en faciliter la tâche. Les services à distance, nommés «Continuum de Services d impression gérés (MPS)», sont présentés sous forme d un ensemble de services d impression gérés. Xerox offre la possibilité au personnel des TI de maintenir un niveau d entretien et de sécurité acceptable, tout en réduisant les coûts et en facilitant la gestion du parc d impression. Les termes de sécurité utilisés, comme «confidentialité», «intégrité», «disponibilité», «imputabilité» et «acceptation obligatoire» sont tous définis à l intérieur du Continuum de Services MPS. Le Continuum de Services MPS Continuum de Services MPS peut être déployé en fonction de l un des modèles suivants : 1. Les appareils d impression communiquent directement avec les Serveurs de communication de Xerox. 2. Une application de Xerox est déployée sur le réseau du client afin d obtenir les attributs de description des appareils d impression. Les données sont ensuite envoyées vers les Serveurs de communication externes de Xerox (applications Remote Proxy). 3. Une combinaison des deux modèles précédents est utilisée. Le modèle de déploiement choisi est fonction de vos politiques des TI pour les transmissions des attributs concernant les appareils d impression. Le modèle de communication directe est normalement utilisé lorsqu il y a peu d appareils connectés sur un réseau de petite taille. Une application «mandataire» de collecte des attributs de vos appareils d impression et de transmission des données aux Serveurs de communication de Xerox est normalement déployée au sein d un réseau de petite, de moyenne ou de grosse taille et où les politiques des TI contraignent le nombre de connexions vers des sites Web externes. Peu importe le modèle de déploiement utilisé, le Continuum de Services MPS font appel aux protocoles Web et aux ports standards de l industrie afin d établir un canal de communication sécurisé et chiffré destiné à la transmission des attributs des appareils d impression vers les Serveurs de communication de Xerox. Les clients n ont habituellement pas à apporter des changements à leur pare-feu d entreprise, à leurs serveurs mandataires Web ou à toute autre infrastructure réseau reliée à la sécurité. Les appareils ainsi que les applications de Xerox procèdent à l authentification auprès des Serveurs de communication de Xerox avant que la transmission des attributs ait lieu. Les attributs concernés dans le Continuum de Services MPS comprend l identification de l appareil d impression, ses propriétés, ses statuts, ses niveaux de consommables, ses 1-4 Dossier sur la sécurité des Services à distance de Xerox
lectures de compteur et ses données de diagnostique détaillées. Aucune donnée d impression en tant que telle ou information personnelle identifiable n est transmise par défaut aux Serveurs de communication de Xerox. Manifestement, la quantité d attributs transmis dépend des capacités et du type d appareil utilisé (imprimante réseau de petite taille, appareils multifonctions réseau, appareil de production). Si les politiques des TI souhaitent restreindre un type d attribut pour la transmission (comme les données d adresse réseau), les outils de configuration du Continuum de Services MPS permettent de le faire. Dans les environnements de production à grande échelle qui font appel à des tâches d impression complexes, il peut être nécessaire de transmettre des données reliées à l impression vers les serveurs de Xerox afin de faciliter les activités de soutien de deuxième et de troisième niveaux. Seuls les produits d impression de production permettent cette capacité. De plus, le client peut choisir d activer ou non cette fonctionnalité. Si le client choisit de transmettre les données reliées à l impression à Xerox (sous forme de PostScript chiffré, et non de données image), celles-ci sont traitées conformément aux politiques de Xerox, aux politiques de confidentialité de Xerox ou en fonction des directives dictées par le client. Des analystes et des entreprises de recherche indépendants positionnent Xerox systématiquement parmi les meilleurs vendeurs de services d impression gérés à l échelle internationale. Xerox est ainsi considérée comme un leader par l évaluation Magic Quadrant de Gartner pour les services d impression gérés, par l évaluation Worldwide Managed Print Services d IDC MarketScape et par l évaluation Managed Print Services Vendor de Quocirca. Nous encourageons donc le personnel des IT et celui relié à la sécurité à lire l ensemble du présent document afin de bien comprendre le fonctionnement et les fonctionnalités du Continuum de Services MPS et de les utiliser de manière à ce qu ils soient conformes à vos politiques des TI. Dossier sur la sécurité des Services à distance de Xerox 1-5
2 Le Continuum de Services MPS Le Continuum de Services MPS de Xerox sont constitués des cinq offres suivantes : 1. Services d impression Xerox d impression à distance Xerox 2. PagePack 3.0 de Xerox 3. Services d impression des partenaires Xerox 4. Services d impression Xerox 5. Services d impression d entreprise Xerox Il est important de noter que les technologies et les outils utilisés par chacune des offres ont été développés à partir du même code de départ. Cela permet aux clients de recevoir un service uniformisé pour toutes les offres de Xerox. 2.1 Services d impression à distance Xerox Les Services d impression à distance Xerox (XRPS) sont compris avec les contrats pour les clients qui ont acheté ou loué des appareils d impression de Xerox. Les services XRPS automatisent plusieurs activités normalement associées à la gestion des appareils d impression sur un réseau. Les activités de gestion incluent les activités suivantes : Production automatisée de rapports de l utilisation des appareils d impression nécessaires à la facturation mensuelle. Production automatisée de rapports concernant les niveaux de consommables nécessaires à l expédition d approvisionnement aux clients si une réduction des stocks est détectée. Production automatisée de rapports d information de diagnostique permettant d aider Xerox à résoudre certains problèmes reliés aux appareils. Les services XRPS s appliquent aux appareils d impression Xerox et aux autres appareils d impression. Différentes ententes d entretien payantes (par exemple, CSC et e-click) ainsi que les ententes de garantie normales incluses à l achat des appareils Xerox sont offertes aux clients. 2-6 Dossier sur la sécurité des Services à distance de Xerox
Les produits Xerox intègrent des fonctionnalités pour les services à distance permettant l automatisation des services XRPS et d envoyer les données de chacun des appareils directement à Xerox. Reportez-vous à la section Modèles de déploiement pour plus de détails. Il est également possible d activer les services XRPS à distance au moyen d applications ayant accès au réseau du client. Ces applications font la collecte des données des appareils à partir du réseau du client et envoient ces données directement à Xerox. Reportez-vous à la section Modèles de déploiement pour plus de détails. CentreWare Web (CWW) et Device Agent (XDA) Lite de Xerox sont deux applications offertes à partir du site Web de Xerox (http://www.xerox.com). Ces applications permettent aux clients d acheminer, au moyen d un intermédiaire, des données d appareils d impression vers Xerox. CWW permet une gestion globale des capacités des appareils au sein d un réseau de petite, de moyenne ou de grande taille. Cette application Web offre des services de détection d appareil, de statut et de configuration, des services de mise à jour et des services de production de rapport. XDA Lite offre un ensemble limité de fonctionnalités au sein d un réseau de petite, de moyenne ou de grande taille. Cette application Windows sert essentiellement à la production automatisée de rapports concernant l utilisation des appareils d impression, le renouvellement des consommables et les données de diagnostique en cas de problème. 2.2 PagePack 3.0 de Xerox PagePack 3.0 (XPP) de Xerox est une offre de services du continuum des services MPS destinée à permettre aux partenaires autorisés de Xerox d effectuer des ventes à des petites ou à des moyennes entreprises. Ce programme de base offre aux partenaires autorisés de Xerox une occasion de tirer avantage du marché en pleine croissance des services d impression gérés grâce aux options suivantes : Le programme de coût fixe par page couvrant l approvisionnement et l entretien des nouveaux appareils de Xerox. Le programme de coût fixe par page couvrant l approvisionnement (et l entretien en option) de tous les appareils d impression, peu importe la marque. Le programme de coût fixe par mois qui offre une gestion complète du parc d impression, peu importe la marque des appareils. Pour plus de détails concernant l offre PagePack 3.0 de Xerox, consultez le site Web suivant : URL= http://bizzmail.com/pagepack/external/bizzmail.html. Une application nommée PagePack Assistant (PPA) est normalement déployée par les partenaires autorisés de Xerox pour surveiller les appareils d impression des environnements des clients. Cette application Windows sert à envoyer les données d utilisation, de consommables et de diagnostique en cas de problème des appareils aux partenaires autorisés de Xerox, comme convenu dans le cadre des services XPP. Dossier sur la sécurité des Services à distance de Xerox 2-7
2.3 Services d impression des partenaires Xerox L offre des Services d impression des partenaires Xerox (XPPS) est conçue pour les partenaires de revente certifiés de services d impression. Elle est destinée aux entreprises de petite, de moyenne et de grande taille. Les services XPPS servent à contrôler les coûts de gestion des appareils d impression en réseau et des appareils d impression reliés directement à un ordinateur, peu importe le fabricant. Cette offre permet des processus centralisés pour l installation, l entretien de routine, le réapprovisionnement des consommables, la réparation et le soutien de tous les appareils d impression. Les ressources des TI peuvent ainsi se concentrer sur des tâches plus importantes ayant trait directement aux activités de l entreprise. Les XPPS présentent une offre de services flexible permettant aux clients de ne payer que pour les services dont ils ont besoin. Pour plus de détails concernant l offre XPPS de Xerox, consultez le site Web suivant : URL = http://www.office.xerox.com/managed-print-services/enus.html. L application Xerox Device Agent Partner Edition (XDA PE) est normalement déployée par des partenaires de revente Xerox afin de surveiller des appareils d impression des environnements des clients. Cette application Windows surveille et produit des rapports concernant les statuts, les niveaux de consommables et les données d utilisation des appareils d impression de Xerox et de ceux des autres marques. Ces rapports sont ensuite envoyés aux partenaires de revente certifiés, comme convenu dans le cadre des services XPPS. 2.4 Services d impression Xerox Les Services d impression Xerox (XPS) sont vraisemblablement celles qui sont les plus populaires parmi le continuum des services MPS de Xerox. Les services XPS sont destinés aux entreprises de petite, de moyenne et de grande taille. Les services XPS servent à contrôler les coûts, à améliorer l efficacité des impressions de documents, à effectuer le réapprovisionnement des consommables ainsi qu à entretenir et à réparer les appareils. Cette offre procure également un seul point de contact pour le soutien des appareils de Xerox et des appareils des autres marques. Les services XPS offrent les meilleurs outils de l industrie combinés à des méthodes éprouvées et à plusieurs années d expérience dans le domaine des services d impression. Parmi les avantages d un déploiement des services XPS, l on retrouve la viabilité environnementale, l amélioration de la sécurité des documents, le soutien proactif des appareils, l amélioration de la productivité des employés, la production de rapports unifiés et la réduction des coûts de possession des infrastructures d impression. Pour plus de détails concernant l offre XPS de Xerox, consultez le site Web suivant : URL = http://www.consulting.xerox.com/xeroxmanaged-print-services/print-management/enus.html. Une application nommée «Xerox Device Agent» (XDA) est normalement déployée par les services MPS de Xerox pour gérer les appareils d impression des environnements des clients. Cette application Windows surveille et produit des rapports concernant les statuts, les niveaux de consommables et les données d utilisation des appareils d impression Xerox et de ceux des autres marques. Ces rapports sont ensuite envoyés à Xerox, comme convenu dans le cadre des services XPS. Elle effectue également la mise à jour des logiciels et le triage automatisé des problèmes des appareils d impression à partir d un centre d appels distant de Xerox. 2-8 Dossier sur la sécurité des Services à distance de Xerox
2.5 Services d impression d entreprise Les Services d impression d entreprise (EPS) constituent l offre la plus complète du continuum MPS. Les services EPS sont destinés aux entreprises de grande taille et aux entreprises internationales. Les EPS servent à contrôler les coûts, à améliorer l efficacité des impressions internes de l entreprise, des activités de distribution et de courrier, à offrir des activités d impression centralisées internes et des services de fournisseurs impartis externes. Cette offre présente les capacités les plus étendues du continuum MPS. Elle comprend les éléments suivants : Une gestion complète des biens Une gestion des incidents de bout en bout Un point de contact unique pour tout l équipement d impression des clients Un support complet en cas de problème ou de bris, peu importe le fabricant de l appareil Une application de contrôle d impression en fonction de règles Une amélioration des processus administratifs pour les flux de travail de document Une application des meilleures pratiques concernant la viabilité environnementale Une application des politiques de sécurité concernant les données d entreprise Une amélioration incessante des mesures, de la surveillance et de la production de rapports Une modification de la gestion visant à transformer des pratiques existantes afin d adopter une nouvelle culture organisationnelle Pour plus de détails concernant l offre EPS de Xerox, consultez le site Web suivant : URL = http://www.consulting.xerox.com/xerox-managed-print-services/enterpriseprinting/enus.html. L application Xerox Device Agent (XDM) est déployée par les services MPS de Xerox pour gérer les appareils d impression des environnements des clients. Cette application Windows surveille et produit des rapports concernant les statuts, les niveaux de consommables et les données d utilisation des appareils d impression de Xerox et de ceux des autres marques. Ces rapports sont ensuite envoyés à Xerox, comme convenu dans le cadre des services EPS. Elle effectue également la mise à jour des logiciels et le triage automatisé des problèmes des appareils d impression à partir d un centre d appels distant de Xerox. Dossier sur la sécurité des Services à distance de Xerox 2-9
3 Modèles de déploiement Les Services à distance de Xerox peuvent être déployés en fonction de l un des trois modèles suivants : Direct-connect Applications Remote Proxy Une combinaison des deux méthodes Il est important de noter que le degré de sécurité offert est toujours le même, peu importe le modèle de déploiement utilisé. 3.1 Direct-Connect Le déploiement Direct-Connect (communication directe) des Services à distance de Xerox est constitué des composants suivants : Figure 3.1.1 Composants du système et flux de données du modèle Direct-Connect Remarque : Le module intégré des services à distance des appareils Xerox offre une transmission sécurisée des données vers les serveurs de Xerox afin de permettre des capacités automatisées des Services d impression à distance Xerox. Peut être désactivé sur demande. 3-10 Dossier sur la sécurité des Services à distance de Xerox
3.2 Applications Remote Proxy Le déploiement d application mandataires des Services à distance de Xerox est constitué des composants suivants : Figure 3.2.1 Composants du système et flux de données du modèle d applications Remote Proxy Remarque : L application Print Agent de Xerox (XPA) fait le suivi de l utilisation d une imprimante reliée à un ordinateur et applique des politiques particulières (impression duplex, couleur, noir et blanc, type d impression, quotas, moment de la journée, etc.). XPA n est déployée que sur des serveurs d impression et sur des ordinateurs d utilisateur final, lorsque le client autorise une telle utilisation pour la surveillance et l application des politiques dans le cadre des Enterprise Print Services de Xerox. 3.3 Modèle de déploiement mixte Une combinaison de déploiement du modèle Direct-Connect et du modèle d applications Remote Proxy peut exister au sein d un même environnement de client. Ce scénario est possible si un client achète différents types d entente d entretien de Xerox pour ses appareils d impression. Au moment de l installation réseau des appareils d impression de Xerox, le réglage par défaut des Services à distance de Xerox permet aux appareils d établir une connexion directe avec les Serveurs de communication de Xerox (c est-àdire comme le modèle Direct-Connect). Si le client décide par la suite d acheter l une des autres offres des services MPS de Xerox, l application mandataire prendra automatiquement la responsabilité des transmissions périodiques des données aux Dossier sur la sécurité des Services à distance de Xerox 3-11
Serveurs de communication de Xerox (c est-à-dire comme le modèle d application mandataire). 4 Transmission des données et données utiles 4.1 Sécuriser le canal de communication externe Modèle de déploiement Direct-Connect Le module des services à distance intégré aux appareils Xerox a recours à une connexion SSL sur le port standard 443 pour communiquer avec les Serveurs de communication externes de Xerox. Cette connexion sécurisée utilise les technologies MD5 et RSA pour le chiffrement des données. De plus, un mécanisme d authentification additionnel est employé pour accéder aux services des Serveurs de communication de Xerox. Modèle de déploiement d application Remote Proxy Toutes les applications Remote Proxy (CWW, XDA Lite, XDA PE, XDA, XDM) se servent également d une connexion SSL sur le port standard 443 pour communiquer aux Serveurs de communication externes de Xerox. Cette connexion sécurisée utilise les technologies MD5 et RSA pour le chiffrement des données. D autres fonctionnalités sont de plus employées pour améliorer la sécurité de ce canal de communication établi au moment de l installation des applications Remote Proxy. Par exemple : L application Remote Proxy établit toutes les communications avec les Serveurs de communication de Xerox. Ces communications sont à sens unique. Une URL valide pour les Serveurs de communication externes doit être utilisée. Un mécanisme d authentification additionnel est employé pour accéder à certains services des Serveurs de communication de Xerox. Il est nécessaire d utiliser un ID de compte valide ou encore un identifiant de site et une clé d inscription pour accéder à certains services des Serveurs de communication de Xerox. L application Remote Proxy demande une inscription auprès des Serveurs de communication externes de Xerox avec les droits d accès nécessaires. Les Serveurs de communication de Xerox valident les données d autorisation et acceptent la requête. L application Remote Proxy reçoit l approbation des Serveurs de communication externes de Xerox et active le service. 4-12 Dossier sur la sécurité des Services à distance de Xerox
4.2 Sources de données Les composants suivants génèrent et collectent des données pour les Services à distance de Xerox : Appareils pour le bureau de Xerox Appareils de production de Xerox Application Remote Proxy de Xerox 4.2.1 Appareils pour le bureau de Xerox Les appareils destinés aux bureaux de Xerox transmettent la structure de données des attributs ci-dessous dans un format XML propriétaire. Cette structure respecte le modèle Common Information Model (CIM) de l organisme Distributed Management Task Force. Cette structure de données d attributs est ensuite compressée en format ZIP avant la transmission directe aux Serveurs de communication de Xerox. Données Description Service de Xerox Identification de l appareil Comprend le modèle, la version du micrologiciel, le numéro de série du module et la date d installation. Services d impression Xerox de Xerox seulement Adresse réseau de l appareil Propriétés de l appareil Statuts de l appareil Compteurs de l appareil Consommabl es de l appareil Détails d utilisation Comprend les appareils ou les composants réseau utilisés pour la configuration de la connectivité (aucune donnée d adresse réseau n est dévoilée). Comprend la configuration détaillée du matériel et du module logiciel, les fonctionnalités et les services pris en charge, les modes d économie d énergie, etc. Comprend les statuts généraux, les alertes détaillées, les 40 dernières défaillances, les données de bourrage, etc. Comprend les données de facturation, les données des compteurs reliés aux impressions, aux copies, aux télécopies, aux tâches, aux numérisations vers une destination, les données statistiques, etc. Comprend le nom, le type (image, finition, type de papier), le niveau, la capacité, les statuts, la taille, etc. Comprend les valeurs des compteurs, les quantités de remplacement des données d utilisation, les données et la distribution des défaillances, les données des fonctionnalités intégrées concernant la reconnaissance de caractère, la distribution des durées d impression, la distribution de l utilisation des bacs à papier, les médias installés, la distribution des types de média, la distribution de longueur des documents, la distribution des réglages de quantité, les comptages de pixels marqués, les moyennes de région couverte par couleur, les défaillances et les bourrages, les valeurs des compteurs reliés à la numérisation. Services d impression Xerox de Xerox seulement Services d impression Xerox de Xerox seulement Services d impression Xerox de Xerox seulement Services d impression Xerox de Xerox seulement Services d impression Xerox de Xerox seulement Services d impression Xerox de Xerox seulement Dossier sur la sécurité des Services à distance de Xerox 4-13
Données Description Service de Xerox Ingénierie/Dé bogage Aucun Remarque : Même s il n y a aucun transfert automatisé des données d ingénierie ou de débogage vers les serveurs de Xerox, quelques appareils pour le bureau offrent une interface Web permettant de télécharger manuellement ces données vers un ordinateur personnel. Les données d ingénierie et de débogage ne contiennent PAS de données d image ou de contenu d impression. Le fichier offert par cette interface Web est chiffré et ne peut pas être lu par un utilisateur. Ce fichier doit être envoyé par courriel à Xerox, qui pourra par la suite le déchiffrer afin d en analyser le contenu. Aucun Remarque : Vérifiez le site Web de Xerox pour déterminer si vos appareils appartiennent à la catégorie des appareils pour le bureau ou de production. Le fichier et le contenu des données présentées varient en fonction du modèle. 4.2.2 Appareils de production de Xerox Les appareils de production de Xerox transmettent la structure de données des attributs ci-dessous dans un format XML propriétaire. Cette structure respecte le modèle Common Information Model (CIM) de l organisme Distributed Management Task Force. Cette structure de données est ensuite compressée en format ZIP avant la transmission directe aux Serveurs de communication de Xerox. Données Description Service de Xerox Identification de l appareil Comprend le modèle, les versions des micrologiciels du module, les numéros de série du module, les dates d installation du module, les données de contact du client, les données de licence, l emplacement Services d impression Xerox de Xerox seulement Adresse réseau de l appareil Propriétés de l appareil Statuts de l appareil Compteurs de l appareil Comprend l adresse MAC et l adresse du sous-réseau. Comprend la configuration détaillée du matériel et du module logiciel, les fonctionnalités et les services pris en charge, etc. Comprend les statuts actifs, les comptes de l historique de défaillance, les journaux d événement DFE, l historique de transmission de données. Comprend les données de facturation, les données de compteurs reliés aux impressions, aux copies, aux tâches de grande taille, aux productions spécifiques, aux numérisations vers une destination des modèles entrée de gamme, etc. Services d impression Xerox de Xerox seulement Services d impression Xerox de Xerox seulement Services d impression Xerox de Xerox seulement Services d impression Xerox de Xerox seulement 4-14 Dossier sur la sécurité des Services à distance de Xerox
Données Description Service de Xerox Consommabl es de l appareil Comprend le nom du fabricant, le modèle le numéro de série, le nom, le type, le niveau, la capacité, les statuts, les données de compteur depuis toute la durée de vie de l appareil, etc. Services d impression Xerox de Xerox seulement Détails d utilisation Ingénierie/Dé bogage Tâches du client Comprend les données HFSI, les données NVM, le remplacement des pièces, les journaux DFE, les données détaillées de diagnostic, la résolution de problème, Comprend les données détaillées non structurées de débogage destinées exclusivement au soutien de troisième niveau. Comprend les commandes PostScript chiffrées pour la reproduction de la tâche sur un autre appareil d impression similaire de production Xerox (c est-à-dire qu il ne s agit pas des données de l image réelle). Seuls les produits de production Xerox offrent cette possibilité. Le client peut toutefois choisir d activer ou non cette fonctionnalité. Si le client choisit de transmettre les données reliées à l impression à Xerox (sous forme de PostScript chiffré, et non de données image), celles-ci sont traitées conformément aux politiques de Xerox, aux politiques de confidentialité de Xerox ou en fonction des directives dictées par le client. Services d impression Xerox de Xerox seulement Services à distance de Xerox seulement Deuxième et troisième niveau de soutien de Xerox Remarque : Vérifiez le site Web de Xerox pour déterminer si vos appareils appartiennent à la catégorie des appareils pour le bureau ou de production. Le fichier et le contenu des données présentées varient en fonction du modèle. 4.2.3 Applications Remote Proxy de Xerox Les applications Remote Proxy de Xerox (CWW, XDA Lite, XDA PE, XDA, XDM) sont des applications mandataires fonctionnant à distance qui transmettent les données d attribut ci-dessous. Ces données sont extraites des appareils d impression et présentées en format XML compressé au moyen d un fichier ZIP. Par la suite, les données sont chiffrées avant la transmission directe vers les Serveurs de communication externes de Xerox. Données Description Services de Xerox Identification de l appareil Comprend le nom du fabricant, le modèle, la description, la version du micrologiciel, le numéro de série, les étiquettes de bien, le nom de système, les données de contact, l emplacement, l état de gestion, le nom de la file d attente, le nom du poste de travail et le numéro de télécopie. Tout (XRPS, XPS, XPPS, EPS, PagePack 3.0 de Xerox ) Adresse réseau de l appareil Comprend l adresse MAC, l adresse IP, le nom de DNS, le filtre d adresse locale, l adresse IP par défaut de la passerelle, la dernière adresse IP connue, l adresse IP modifiée, le fuseau horaire, l adresse IPX, l adresse IPX du réseau externe, l adresse IPX du serveur d impression. Tout (XRPS, XPS, XPPS, EPS, PagePack 3.0 de Xerox ) Dossier sur la sécurité des Services à distance de Xerox 4-15
Données Description Services de Xerox Propriétés de l appareil Comprend les composants installés, la description des composants, les fonctionnalités et les services pris en charge, la vitesse d impression, la prise en charge des couleurs, les options de finition, la prise en charge duplex, les technologies de marquage, les données de disque dur et de mémoire vive, les langues prises en charge, les propriétés définies par l utilisateur. Tout (XRPS, XPS, XPPS, EPS, PagePack 3.0 de Xerox ) Statuts de l appareil Compteurs de l appareil Consommabl es de l appareil Usage détaillé de l appareil Ingénierie/Dé bogage Comprend les statuts généraux, les alertes détaillées, les messages de la console locale, l état des composants, les statuts concernant l extraction des données, la date de détection, la méthode et le type de détection, le temps de disponibilité de l appareil, la prise en charge et l activation des trappes. Comprend les données de facturation, les données de compteurs reliés aux impressions, aux copies, aux télécopies, aux tâches de grande taille, aux numérisations, les données statistiques, les volumes cibles. Comprend le nom, le type (image, finition, type de papier), le niveau, la capacité, les statuts, la taille, etc. Les données des tâches des utilisateurs qui utilisent les caractéristiques de tâche (ID, nom du document, responsable, type de document, type de tâche, couleur, duplex, média nécessaire, taille, pages, réglages, erreurs), la destination (appareil d impression, modèle, nom du DNS, adresse IP, adresse MAC, numéro de série), les résultats d impression de la tâche (moment de la soumission, durée de la tâche d impression, pages imprimées, pages couleur et noir et blanc imprimées, mode couleur utilisé, multipages), les données de compte (code de facturation, prix de facturation, source du compte), la source de la tâche d impression (poste de travail, nom ou adresse MAC du serveur d impression, nom de la file d attente, port, nom d utilisateur, ID d utilisateur), les données de gestion de Xerox (envoyées à XSM). Remarque : Des réductions de coûts importantes peuvent être obtenues en effectuant la surveillance des comportements d impression des utilisateurs, la mise au point d une politique appropriée pour les usages d impressions et l utilisation de technologies pour appliquer ces politiques. Les services XPS, XPPS et EPS offrent ces technologies sous la forme de fonctionnalités de suivi des tâches et de contrôle des impressions des utilisateurs. Ces fonctionnalités ne sont déployées que pour les clients souhaitant ce niveau de suivi de données à partir de leur réseau. Aucun Tout (XRPS, XPS, XPPS, EPS, PagePack 3.0 de Xerox ) Tout (XRPS, XPS, XPPS, EPS, PagePack 3.0 de Xerox ) Tout (XRPS, XPS, XPPS, EPS, PagePack 3.0 de Xerox ) XPS, XPPS, EPS Aucun Remarque : 4-16 Dossier sur la sécurité des Services à distance de Xerox
Tous les champs de données des appareils d impression peuvent être désactivés pour la transmission vers les Serveurs de communication de Xerox, à l exception des numéro de service des appareils et de toutes les données des compteurs. La collecte de certains attributs de tâche peut être désactivée. Les codes de facturation peuvent être intégrés à partir d Active Directory de Microsoft. Dossier sur la sécurité des Services à distance de Xerox 4-17
Les applications Remote Proxy de Xerox (CWW, XDA Lite, XDA PE, XDA, XDM) transmettent les données d attribut ci-dessous. Ces données sont extraites au moyen des applications et présentées en format XML compressé. Par la suite, les données sont chiffrées avant la transmission directe vers les Serveurs de communication de Xerox. Données Identification d applications Remote Proxy Mode de sécurité organisationn el de l application Remote Proxy Violation des politiques de contrôle d impression de l application Remote Proxy Configuration à distance de l application Remote Proxy Description Comprend les données d ordinateur, comme le nom de DNS, l adresse IP, le nom du système d exploitation, le type de système d exploitation, le processeur, les données de disque dur et de la mémoire vive (espace libre et utilisée), le nom du site, la version de l application, la date d expiration de la licence, la version de.net, le fuseau horaire, la version du composant de détection, la taille de la base de données principale, la taille de la base de données de détection, le nombre d imprimantes dans la portée et à l extérieur de la portée, les services essentiels en cours d exécution. Mode normal = Configuration de l application à distance activée + réception des demandes d action activée + statut d application à distance activé + synchronisation avec les Serveurs de communication de Xerox activée + envoie des données de l appareil d impression activé. Mode d isolement = Toutes les communications avec les Serveurs de communication de Xerox sont désactivées. (Configuration à distance de l application désactivée + commandes de réception à distance de l appareil désactivées + synchronisation du statut de l appareil à distance vers les Serveurs de communication de Xerox désactivée + transmission d adresse IP et de nom du DNS désactivée + envoie des données d impression de l appareil désactivée.) Comprend le nom de l ordinateur de l utilisateur final, le serveur d impression utilisé, la file d impression utilisée, l horodatage de la violation, le nom du document, le nom de l utilisateur final, l utilisation ou non du mode duplex, l utilisation ou non de l impression couleur, le nombre total de tâches d impression, le coût de la tâche d impression, l action menée, l envoie ou non d un avis à l utilisateur final, le message affiché, le nom de la politique d impression, la règle de la politique d impression. Les réglages qui peuvent être gérés à distance comprennent la détection d appareils, la fréquence d exportation des données, les réglages des communications SNMP (nouvelle tentative, temporisation, noms de communauté), les profils d alerte et la fréquence des mises à jour de logiciel de l application Remote Proxy. Services de Xerox XPS, XPPS, EPS XPS, XPPS, EPS EPS seulement XPS, XPPS, EPS 4-18 Dossier sur la sécurité des Services à distance de Xerox
Certaines applications Remote Proxy de Xerox (ixda PE, XDA et XDM, mais pas CWW ni XDA Lite) peuvent procéder aux actions demandées suivantes au moyen des Serveurs de communication externes de Xerox : Données Actions à effectuer sur les appareils d impression Actions à effectuer sur les applications Remote Proxy Description Obtenir le statut de l appareil = Extrait les derniers statuts de l appareil d impression Redémarrer l appareil = Procède à l arrêt de l appareil et au redémarrage de l appareil d impression Mettre à jour l appareil = Installe les dernières versions des logiciels et des micrologiciels de l appareil d impression Dépanner l appareil = Utilise l utilitaire PING sur l appareil d impression et extrait les derniers statuts de l appareil. Imprimer une page de test = Soumet une page de test pour la validation du chemin d impression Lancer la gestion de l appareil = Lance les transferts périodiques de données de l appareil d impression vers les Serveurs de communication de Xerox Remarque : Chaque action peut être désactivée pour une utilisation sur demande dans la section de configuration administrative des applications Remote Proxy de Xerox qui permettent cette fonctionnalité. Les réglages des applications Remote Proxy qui peuvent être gérés à distance comprennent la détection d appareils, la fréquence d exportation des données, les réglages des communications SNMP (nouvelle tentative, temporisation, noms de communauté), les profils d alerte et la fréquence des mises à jour de logiciel de l application Remote Proxy. Services de Xerox XPS, XPPS, EPS XPS, XPPS, EPS Dossier sur la sécurité des Services à distance de Xerox 4-19
4.3 Utilisation par les systèmes finaux de Xerox Les données reçues par les Serveurs de communication de Xerox en provenance des appareils d impression pour le bureau, des appareils d impression de production et des applications Remote Proxy de Xerox sont utilisées pour les processus administratifs suivants : Nom des processus administratifs Lecture automatisée des compteurs Approvisionnement automatisé des fournitures Serviabilité (assistance de réparation) Soutien de troisième niveau (ingénierie/débogage) Réapprovisionnement automatisé de pièces Description Une facture est générée automatiquement à partir des données de compteur reçues des appareils d impression. Un toner est envoyé aux clients quand des statuts de bas niveau des appareils d impression sont détectés. L information de défaillance détaillée est envoyée automatiquement au personnel de réparation, sur les assistants numériques ou les appareils BlackBerries de RIM du personnel de réparation, afin de planifier une visite sur le site. Le personnel de soutien du produit peut déboguer des problèmes complexes s il a accès aux journaux détaillés d ingénierie ou de débogage. Les composants qui peuvent être remplacés sont envoyés automatiquement aux clients dans le cas où des pièces sont nécessaires pour les appareils de production. Les données d impression de base sont conservées et archivées dans un centre de données Xerox pendant trois ans. Après ces trois années, les données d appareil d impression et les archives sont supprimées par l équipe de gestion de l information de Xerox. Les données d ingénierie ou de débogage sont conservées pendant 90 jours ou jusqu à ce que le problème de l appareil d impression soit résolu à la satisfaction du client. Xerox suit de nombreuses pratiques très dynamiques pour la sauvegarde des données de ses clients. Les processus et les pratiques qui appuient et protègent les données des attributs des applications finales des services à distance et des appareils d impression des clients sont basées sur les meilleures pratiques ITIL et sur la norme ISO-27000. Les clients sont ainsi assurés que l intégrité, la confidentialité et la protection des données sont conformes aux plus hauts standards de l industrie. 4-20 Dossier sur la sécurité des Services à distance de Xerox
5 Détails de la technologie Cette section sert à décrire les détails techniques additionnels normalement nécessaires au personnel des TI et aux équipes de sécurité afin de permettre la certification des appareils d impression et des applications Remote Proxy pour l utilisation du réseau du client. 5.1 Conception des logiciels Le développement de logiciels sécurisés est quelque chose de très important chez Xerox. Les développeurs de Xerox suivent une formation sur la sécurité dans le cadre du processus de développement des logiciels. Les guides de programmation relatifs à la sécurité présentés dans cette formation de sensibilisation à la sécurité sont respectés lors de la conception des appareils d impression de Xerox ainsi que des applications Remote Proxy qui surveillent et gèrent ces appareils d impression. 5.2 Utilisation 5.2.1 Utilisation des Services à distance de Xerox sur un réseau Les Services à distance de Xerox permettent les types d utilisation suivante sur un réseau : Offre de Xerox Méthode de déploiement Applications utilisées pour l offre de Xerox Flux de données sur le réseau Utilisation imposée sur in réseau L appareil d impression Xerox tente de détecter un serveur mandataire Web (automatiquement ou directement au moyen d une adresse) Services d impression à distance Xerox Direct-Connect (Figure 3.1.1) Aucun L appareil d impression Xerox génère une requête vers un serveur SMTP pour envoyer une notification par courriel à une liste de destinataires prédéfinie Extérieur vers réseau L appareil d impression Xerox franchit le pare-feu de l entreprise pour accéder à t (par l entremise de HTTPS sur le port 443) Dossier sur la sécurité des Services à distance de Xerox 5-21
Offre de Xerox Méthode de déploiement Applications utilisées pour l offre de Xerox Flux de données sur le réseau Utilisation imposée sur in réseau Extérieur vers réseau L appareil d impression transmet automatiquement les données d attribut d impression au moyen d un canal chiffré (par l entremise de HTTPS sur le port 443) aux Serveurs de communication de Xerox à un moment précis de la journée Extérieur vers réseau L appareil d impression Xerox effectue automatiquement une demande auprès des Serveurs de communication de Xerox à un moment précis de la journée afin d obtenir une liste d actions à exécuter (par exemple, envoyer les données de facturation, ajouter un service, etc.) Extérieur vers réseau Une transmission sur demande à sens unique de l appareil d impression Xerox envoie les données de journalisation au moyen d un canal chiffré (par l entremise de HTTPS sur le port 443) aux Serveurs de communication de Xerox Chaque application détecte un serveur mandataire Web (automatiquement ou directement au moyen d une adresse) Chaque application extrait les capacités des appareils d impression du parc d impression par l entremise de SNMP Applications Remote Proxy (Figure 3.2.1) XDA Lite + CWW Chaque application extrait la configuration des appareils d impression du parc d impression par l entremise de SNMP Chaque application extrait les statuts des appareils d impression du parc d impression par l entremise de SNMP Chaque application extrait les données des consommables des appareils d impression du parc d impression par l entremise de SNMP Chaque application peut redémarrer un appareil d impression par l entremise de SNMP ou de l interface Web de l appareil 5-22 Dossier sur la sécurité des Services à distance de Xerox
Offre de Xerox Méthode de déploiement Applications utilisées pour l offre de Xerox Flux de données sur le réseau Utilisation imposée sur in réseau Chaque application peut soumettre une page de test à un appareil d impression particulier Chaque application peut lancer une page Web d un appareil d impression Externe (sortie seulement) Chaque appareil d impression Xerox franchit le pare-feu de l entreprise pour accéder à t (par l entremise de HTTPS sur le port 443) Externe (sortie seulement) Chaque application transmet automatiquement les données d attribut d impression au moyen d un canal chiffré (par l entremise de HTTPS sur le port 443) aux Serveurs de communication de Xerox à un moment précis de la journée Externe (sortie seulement) Chaque application effectue automatiquement une demande auprès des Serveurs de communication de Xerox au moyen d un canal chiffré (par l entremise de HTTPS sur le port 443) à un moment précis de la journée afin d obtenir une liste d actions à exécuter L application PPA détecte un serveur mandataire Web (automatiquement ou directement au moyen d une adresse) L application PPA extrait les capacités des appareils d impression du parc d impression par l entremise de SNMP PagePack 3.0 de Xerox Applications Remote Proxy Application PagePack Assistant (PPA) L application PPA extrait la configuration des appareils d impression du parc d impression par l entremise de SNMP L application PPA extrait les statuts des appareils d impression du parc d impression par l entremise de SNMP L application PPA extrait les données des consommables des appareils d impression du parc d impression par l entremise de SNMP Dossier sur la sécurité des Services à distance de Xerox 5-23
Offre de Xerox Méthode de déploiement Applications utilisées pour l offre de Xerox Flux de données sur le réseau Utilisation imposée sur in réseau L application PPA peut soumettre une page de test à un appareil d impression particulier L application PPA peut lancer une page Web d un appareil d impression Externe (sortie seulement) L appareil PPA franchit le pare-feu de l entreprise pour accéder à t (par l entremise de HTTPS sur le port 443) Externe (sortie seulement) L application PPA transmet automatiquement les données d attribut d impression au moyen d un canal chiffré (par l entremise de HTTPS sur le port 443) aux Serveurs de communication de Xerox à un moment précis de la journée Externe (sortie seulement) L application PPA effectue automatiquement une demande auprès des Serveurs de communication de Xerox au moyen d un canal chiffré (par l entremise de HTTPS sur le port 443) à un moment précis de la journée afin d obtenir une liste d actions à exécuter Chaque application XDA détecte un serveur mandataire Web (automatiquement ou directement au moyen d une adresse) Chaque application XDA extrait les capacités des appareils d impression du parc d impression par l entremise de SNMP Chaque application XDA extrait la configuration des appareils d impression du parc d impression par l entremise de SNMP Application Chaque application XDA extrait les statuts des appareils d impression du parc d impression par l entremise de SNMP 5-24 Dossier sur la sécurité des Services à distance de Xerox
Offre de Xerox XPS/XPPS Méthode de déploiement Applications Remote Proxy Applications utilisées pour l offre de Xerox XDA + application XDA PE pour surveiller les appareils d impression connectés Application Print Agent de Xerox (XPA) pour surveiller les appareils d impression reliés à des ordinateurs, Flux de données sur le réseau Utilisation imposée sur in réseau Chaque application XDA extrait les données des consommables des appareils d impression du parc d impression par l entremise de SNMP Chaque application XDA peut soumettre une page de test à un appareil d impression particulier Chaque application XDA peut lancer une page Web d un appareil d impression Chaque application peut mettre à jour les logiciels des appareils au moyen de la soumission d une tâche d impression L application XPA peut recevoir des données de compteur en provenance d un appareil d impression relié à un ordinateur et envoyer ces données à l application XDA L application XPA peut recevoir des données de consommables en provenance d un appareil d impression relié à un ordinateur et envoyer ces données à l application XDA L application XPA peut recevoir des données de statut en provenance d un appareil d impression relié à un ordinateur et envoyer ces données à l application XDA Externe (sortie seulement) Chaque application XDA franchit le pare-feu de l entreprise pour accéder à t (par l entremise de HTTPS sur le port 443) Externe (sortie seulement) Chaque application XDA transmet automatiquement les données d attribut d impression au moyen d un canal chiffré (par l entremise de HTTPS sur le port 443) aux Serveurs de communication de Xerox à un moment précis de la journée Dossier sur la sécurité des Services à distance de Xerox 5-25