Fédérer pour mieux gérer les identités dans le cloud (architecture de référence F5) Adoptez un modèle SaaS en toute sécurité en éliminant les inconvénients inhérents aux différents systèmes de gestion des accès et des identités que proposent vos fournisseurs de plateformes SaaS distribuées.
Sommaire Introduction 3 Quels défis pour les entreprises 3 Adoption d une plateforme SaaS 3 Silos technologiques 4 Une solution pour l entreprise 6 Solution technologique 6 Avantages pour les entreprises 7 Conclusion 8
Introduction De nombreuses entreprises se sont rendu compte qu il est plus intéressant d adopter des services basés sur le cloud que de déployer et d entretenir certaines applications en interne. Les fournisseurs de plateformes SaaS (Software as a Service) sont en effet en mesure de proposer une expertise spécialisée dans un environnement multi-tenant au coût optimisé en utilisant un modèle de facturation par abonnement prêt à l emploi. Ces avantages sont pourtant souvent penalisés par une mise en oeuvre et une gestion difficile des contrôles d accès et des règles de sécurité, ceux-ci devant être actualisés en permanence. Comme lorsque les services sont administrés en interne, les fournisseurs de plateformes SaaS gèrent leur propre système d administration des identités et des accès (IAM Identity & Access Management) pour les noms d utilisateur, les mots de passe et les contrôles d accès aux applications. Ils introduisent de ce fait des silos supplémentaires IAM, ainsi que les problématiques plus complexes car non synchronisées de gestion des règles de sécurité. Fatigue des mots de passe «L utilisation d un identifiant et d un mot de passe uniques expose l utilisateur au piratage, tandis que le développement de choix complexes rend leur mémorisation difficile. Cet inconvénient porte un nom : la fatigue des mots de passe». Jon Brody, vice-président du marketing, TriCipher La gestion de ces silos IAM implique des failles et pertes potentielles: Les risques de sécurité sont accrus avec le phénomène dit de fatigue des mots de passe et plus important encore à la suppression tardive de comptes périmés ; La baisse de la productivité découle, d une part, de la création retardée de nouveaux comptes utilisateur grâce auxquels les nouveaux employés ou sous-traitants peuvent accéder aux informations de l entreprise et, d autre part, aux activités administratives supplémentaires inhérentes à la multiplication des systèmes IAM. La solution Cloud Federation de F5 élimine ces inconvénients en supprimant l absence de lien entre les systèmes IAM administrés en interne et les services externes à l entreprise, avec à la clé une sécurité homogène en tous lieux. Quels défis pour les entreprises? SaaS Adoption Si le marché des plateformes SaaS connait un rapide essor, c est parce qu il présente denombreux atouts pour les entreprises : la technologie SaaS est basée sur le cloud ; il n est donc pas nécessaire d acquérir, d installer et d entretenir de nouvelles technologies ; 3
les plateformes SaaS libèrent les infrastructures existantes qui peuvent être exploitées dans des projets plus stratégiques ; La technologie SaaS favorise la mobilité, les services étant disponibles sur n importe quel appareil, à tout moment et en tout lieu ; Elle fonctionne sur abonnement, rendant ainsi les coûts de licences plus faciles à gérer ; La technologie SaaS peut être perfectionnée par le biais de mises à jour totalement transparentes pour les utilisateurs. Quoi qu il en soit, la technologie SaaS est un service externe qui s ajoute aux ressources existantes et sécurisées de façon privée par les entreprises ; ce service supplémentaire s accompagne de nouveaux challenges. Silos technologiques En ce qui concerne la gestion des données, la sécurité des applications ainsi que l administration des identités et des accès, tout service mis en œuvre en dehors des datacenters privés d une entreprise représente un «silo technologique». Avec la technologie SaaS, la gestion des données et la sécurité des applications sont toutes deux confiées aux fournisseurs de services SaaS. Cette situation ne peut être modifiée facilement et ce, pour une bonne raison: la plupart des avantages de la technologie SaaS sont liés au fait que la complexité inhérente au déploiement des services est éliminée de la «consommation» du service proprement dit. Par conséquent, le fait d ouvrir la gestion des données et la sécurité des applications aux abonnés transformerait les plateformes originales de «Software as a Service» (SaaS) en «Infrastructures en tant que Service» (IaaS), avec pour corollaire la perte immédiate de tous les avantages du modèle SaaS en remettant les tâches de gestion entre les mains des utilisateurs de ces services. Par définition, adopter l approche SaaS, c est, d une part, accepter les règles de gestion des données et de sécurité des applications définies par les fournisseurs de plateformes et, d autre part, établir une confiance envers ces règles. S agissant de la gestion des identités et des accès, les fournisseurs de plateformes SaaS proposent leurs propres solutions, et c est aux abonnés de les compléter et de les entretenir en plus de leurs systèmes IAM internes, créant à nouveau des systèmes isolés et des silos IAM. Cette augmentation du nombre de silos IAM apporte de nouveaux risques en matière de : protection des données productivité intégrité 4
Protection des données La protection des données est capitale, et les entreprises craignent fortement (et non sans raison) le vol des données qu elles confient à des prestataires extérieurs, les fournisseurs de SaaS ne faisant pas exception comme cible des hackers. Mais le risque est encore plus grand lorsque chaque silo IAM oblige les employés à gérer de nouveaux mots de passe complexes, (les mots de passe faibles facilitant les attaques ciblant les données). Selon un rapport publié en 2012 par Experian, spécialiste de la gestion du risque de crédit, «Pour 26 comptes en ligne différents en moyenne, les utilisateurs n utilisent que cinq mots de passe.» En 2009, Jon Brody, vice-président du marketing, TriCipher, déclarait à Forbes Magazine : «L utilisation d un identifiant et d un mot de passe uniques expose l utilisateur au piratage, tandis que le développement de choix complexes rend leur mémorisation difficile. Cet inconvénient porte un nom : la fatigue des mots de passe». Les implications sur la sécurité et la protection des données associées à la désactivation tardive du compte utilisateur d anciens employés ou fournisseurs sont encore plus importantes que les questions liées au piratage. Quelle est la fréquence de recoupement des systèmes de ressources humaines entre les différents silos IAM? L écart entre un changement d autorisation et le délai nécessaire pour qu il se répercute dans les différents silos IAM induit de sérieux risques pour la sécurité. Forrester Research prévoit la disparition des services informatiques dès 2020. Une enquête menée récemment auprès d un millier de professionnels de l informatique par le cabinet Forrester Research révèle que ces utilisateurs se tournent vers les produits hébergés (SaaS) pour se décharger de la gestion d applications non critiques (les relations humaines (RH) et la gestion de la relation client (CRM), par exemple). Le modèle SaaS sous forme d abonnement permet également de maintenir les coûts informatiques à un niveau comparable, voire inférieur, à celui des logiciels intégrés ou développés en interne. Productivité Tout retard dans l ouverture de comptes permettant à de nouveaux employés et partenaires d accéder aux systèmes et outils de l entreprise représente un coût quantifiable pour la productivité. Et le temps nécessaire pour provisionner l accès de nouvelles personnes est multiplié par le nombre de silos technologiques impliqués, de sorte que plus une entreprise tire parti des avantages d une plateforme SaaS, plus le provisionnement anticipé des accès sera nécessaire. Intégrité Les entreprises consacrent beaucoup de temps et d argent aux nouvelles technologies d accès et au choix de solutions d authentification et d autorisation adaptées aux systèmes qu elles utilisent en interne. Première solution, l authentification multifacteurs qui comprend souvent un nom d utilisateur, un mot de passe et un autre outil d authentification (mot de passe ou code à usage unique), par exemple. Voici quelques exemples de ces solutions : RSA SecurID Google Authenticator Entrust 5
Ce niveau de sécurité supplémentaire, dont la popularité est croissante, contribue à la lutte contre les failles de sécurité inhérentes à la fatigue des mots de passe. En effet, personne ne note un mot de passe à usage unique. Il est utilisé une fois avant d expirer. Si une telle solution peut être mise en œuvre pour les systèmes gérés en interne, l authentification multifacteur n est pas disponible auprès des fournisseurs de plateformes SaaS. Si c était le cas, elle constituerait une authentification à deux facteurs gérée séparément, qui assurerait un niveau de sécurité plus élevé, mais qui n en demeurait pas moins un silo IAM. Une Solution pour l entreprise Les abonnés SaaS ont également la possibilité de ne pas adopter ni gérer les solutions IAM proposées par leurs fournisseurs de plateformes SaaS. Au contraire, les entreprises peuvent déployer une solution fédérant les systèmes IAM, établissant ainsi une relation de confiance entre le service du fournisseur de plateformes SaaS et la technologie IAM que l abonné possède ou administre. Cependant, pour qu une telle solution devienne réalité, elle ne doit pas induire de complexités supplémentaires aux niveaux de l architecture ou de l administration, ni provoquer de perturbation avec l intégration de nouvelles technologies en construisant et en entretenant un nouveau réseau entre celui du fournisseur et celui de l abonné. REFERENCE ARCHITECTURE: Cloud Federation CONTENT TYPE: Solution Diagram AUDIENCE: CIO Scalability Consistency Integration Customer Scenarios Any Device External Resources Centralized Management App App App Single Sign-On Cloud Federation Identity & Access Management Core Functionality SaaS Consistent Security Everywhere IP Geolocation IP Reputation Multi-Factor Authentication Authorization Context Services Device Inspection Analytics Enterprise Resources Professional Services and Support La solution F5 Cloud Federation 6
Une solution technologique L architecture Cloud Federation de F5 répond à ces deux exigences. Elle utilise le langage SAML (Security Assertion Markup Language), un format de données XML standard d échange et d authentification des données d autorisation entre correspondants. La technologie SAML évite de gérer des comptes utilisateur indépendants entre les différents fournisseurs de SaaS. L authentification unique SSO (Single Sign-On) dans le navigateur Web est le principal élément traité par le langage SAML. En outre, l architecture F5 Cloud Federation permet le déploiement de solutions d autorisation plus fortes, notamment l authentification à deux facteurs, la géolocalisation IP et l inspection des appareils connectés. L association du gestionnaire de trafic local F5 BIG-IP Local Traffic ManagerTM (LTM) et du gestionnaire de règles d accès BIG-IP Access Policy Manager (APM) crée la plateforme nécessaire pour assurer : la communication en langage SAML entre le système IAM privé d une entreprise et les fournisseurs de plateformes SaaS externes ; REFERENCE ARCHITECTURE: Cloud Federation CONTENT TYPE: Product Map AUDIENCE: Enterprise CUSTOMER SCENARIO: Seamless Integration with SaaS Providers l authentification multifacteurs homogène de tous les utilisateurs On-Premises Infrastructure Corporate Users Users Application Services + Access Policy Management Attackers BIG-IP Platform Directory Services Corporate Applications Office 365 Google Apps Salesforce SaaS Providers APM BIG-IP Local Traffic Manager BIG-IP Access Policy Manager L architecture F5 Cloud Federation 7
Principaux avantages pour les entreprises En adoptant l architecture F5 Cloud Federation, les entreprises peuvent : Mettre en œuvre l authentification unique (SSO) avec les applications en mode SaaS afin d éliminer le phénomène de fatigue des mots de passe ; Appliquer des règles de sécurité homogènes quelque soit l infrastructure ; Abaisser les coûts et temps d administration pour l activation et la désactivation des comptes d accès ; Réduire la complexité de l architecture déployée et améliorer la productivité ; Capitaliser sur les avantages des plateformes SaaS en gérant de façon optimale les risques liés aux nouvelles problématiques de sécurité Conclusion Les systèmes isolés fonctionnant en tant que silos technologiques représentent un handicap significatif pour la productivité et la sécurité. Ils limitent l aptitude des entreprises à répondre rapidement à des exigences opérationnelles et mettent à mal les règles de sécurité appliquées aux applications gérées en interne. En éliminant les silos d accès aux plateformes SaaS, l architecture F5 Cloud Federation renforce la sécurité, améliore la productivité et permet d adopter un modèle SaaS tout en simplifiant la gestion des accès. F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com F5 Networks, Inc. Siège social info@f5.com F5 Networks Asie-Pacifique apacinfo@f5.com F5 Networks Ltd. Europe/Middle-East/Africa emeainfo@f5.com F5 Networks Japon f5j-info@f5.com Solutions for an application world. 2013 F5 Networks, Inc. All rights reserved. F5, F5 Networks, and the F5 logo are trademarks of F5 Networks, Inc. in the U.S. and in certain other countries. Other F5 trademarks are identified at f5.com. Any other products, services, or company names referenced herein may be trademarks of their respective owners with no endorsement or affiliation, express or implied, claimed by F5. 10/13 WP-CLOUD-10855-cloud-federation 1013