Gemalto est au cœur de l’évolution du monde numérique. Chaque jour, des entreprises et des gouvernements du monde entier placent en nous leur confiance pour les aider à offrir à leurs utilisateurs des services où facilité d’usage rime avec sécurité.
Dans le contexte précis de la sécurisation de l’identité et des accès, nous avons le plaisir de vous inviter à un événement que nous organisons avec Microsoft, VNext et NIS sur le sujet de sécurisation des accès aux services de Cloud Computing.
Lors de différents ateliers nous vous ferons découvrir nos solutions pour sécuriser les accès aux services cloud de votre entreprise pour vos employés en mobilité.
1. Sécuriser votre chaîne d'information dans Azure
Sécurité Azure
Sécurisation des Infrastructure
Sécurisation des Services
Enterprise MobilitySuite
Gestion des Identité dans le Cloud
4. Présentation des Mesures de Sécurité Additionnelles
Sécurité Azure
Sécurité de l’infrastructure
RisquesExistants
Sécurisation des Serveurs
Sécurisation des flux
Sécurisation des fichiers
Pause
EnterpriseMobilitySuite
GemaltoADFSMFA
Sécurisation des Services
Présentationdes Services
Limites de l’authentification Login/Password
SécurisationMobile
Sécurisation PCGestion des Identités dans le Cloud
Multiplicationdel’identité
Risquesencourus
Gestiondesidentités
Retours d’expérience / Questions/Réponses
7. 7
We are the world leader in digital security
€2.4bn
revenue 2013
12,000
employees worldwide
86%
customer satisfaction in annual survey
2bn+
end-users benefit from our solutions
110+
patents and patent applications in 2013
190countries
where our clients are based
9. 9
Service
R&D
Edition
+ de 65
collaborateurs
janvier 2010
Création en
5,5 M€
En 2013
Qui sommes nous ?
+ 20%
10. 10
AP
APPLICATION
PLATFORM
Des apps mobiles aux applications d’entreprise stratégiques, Application Platform matérialise vos projets sur mesure
BP
BUSINESS
PRODUCTIVITY
Améliorer l’efficacité individuelle et collective au sein des entreprises et organisations
CI
CORE
INFRASTRUCTURE
Optimiser et sécuriser la fourniture et la consommation de services, du datacenter au device
Nos offres de service
PM
IT
PROJECT
MANAGEMENT
IT STRATEGY
& GOVERNANCE
CMT
CHANGE MANAGEMENT
& TRAINING
11. Les collaborateurs de CoreInfra vous accompagnent dans la gestion et l'optimisation des infrastructures on-premiseou sur Azure.
Nous travaillons sur les performances d’accès aux données, le cycle de vie de parcs hétérogènes (postes & devices) et les problématiques de datacenters, de sites distants et d'utilisation d'Azure.
Pour contrôler les services proposés, nous vous accompagnons dans la rationalisation des comptes et des accès avec notamment des authentifications fortes.
Positionnement et Expertise
CI
Azure & Hybrid
Monitoring & Optimisation
Identités : fédérations & Contrôles
Fermes & Clusters
Déploiements & Masters
SQL.Services
12. Sécurité Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
14. > 2,4 millions
d’emails par jour
> 200 Services Cloud
> 1 milliard de clients >20 millions d’entreprises > 90 pays dans le monde
> 5,8 milliards
de requêtes chaque mois dans le monde
> 250 millions
d’utilisateurs actifs
> 8600 milliards
d’objets stockés sur Windows Azure
1 entreprise sur 4
utilise
> 50 milliards
de minutes de connexion chaque jour
> 48 millions
d’utilisateurs dans 41 pays
> 50 millions
utilisateurs actifs
> 400 millions de comptes actifs
15. 15
Datacenter evolution
Server
Capacity
20 year Technology
2.0+ PUE
Colocation
Generation 1
Density
Rack
Density & deployment
Minimized resource impact
1.4 –1.6 PUE
Generation 2201220091989-20052007
Containment
1.2 –1.5 PUE
Containers, PODs
Scalability & sustainability
Air & water economization
Differentiated SLAs
Generation 3
Modular
1.12 –1.20 PUE
ITPACs & Colocations
Reduced carbon Right-sized
Faster time-to-market
Outside air cooled
Generation 4
Integrated
1.07 –1.19 PUE
Integrated system
Resilient software
Common infrastructure
Operational simplicity
Flexible & scalable
Generation 5Future
16.
17. Global FOOTPRINT
TOKYO
OSAKA
Datacentersand platformare ISO 27001, EU SafeHarbor, SSAE 16/ISAE 3402 SOC 1, 2, 3 certified
18. SLA (Service LevelAgreement) Mensuel
>99.9%
Virtual Network
>99.9%
SQL Database
(as a Service)
>99.9%
Windows Azure Active Directory
>99.95%
Machines Virtuelles Windows et Linux
>99.9%
Stockage
Tous les détails des SLA sont disponibles sur le site produit Microsoft Azure
19. Vous savez oùrésident vos données, qui peut y accéder et ce quenous en faisons.
Où sont hébergées les données de nos clients ?
Quel est le niveau de sécurité des centres de données Microsoft ?
À qui appartiennent les données stockées dans le Cloud Microsoft ?
De quelle manière Microsoft utilise les données stockées dans le Cloud ?
Quelles sont les normes et standards auxquels est conforme le Cloud Microsoft ?
20.
21. Sécurité Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
27. Sécurisationdes serveurs: protection de l’OS
Antimalware
Antimalware
Real TimeProtection
ScheduledScanning
MalwareRemediation
Engine, Platform, Signature Updates
Active Protection
Samples& TelemetryReporting
Patching
28. Sécurisationdes serveurs: Stockage
Par défaut un disque vhdest sauvegardé 3 fois
Celui-cipeutêtresauvegardélocalementousurplusieursplaquesgéographiquesdifférentes
Azure DisasterRecoverypermet de sauvegarder encore 3 nouvelles fois le vhd
33. HTTPS
Chiffrement des flux
1. Le client contacte le serveur en lui
demandant d’établir une communication SSL
2. Le serveur répond en présentant son
certificat SSL
3. Générer et délivrer une clé de cryptage
4. Envoyer et recevoir des données chiffrées
IPSec
• Authentification des extrémités
• Confidentialité des données échangées
• Authenticité des données
• Intégrité des données échangées
• Protection contre les écoutes et analyses de
trafic
• Protection contre le rejeu
34. Sécurisationdes Flux: VPN Site à Site
Backend
VNetMid-TierVNetFrontendVNet
Internet
Secure
Communication
Microsoft Azure
Contoso US HQ
Contoso East Asia
38. Sécurisationdes serveurs: BitLocker
Chiffrement des volumes (OS, données, disques externes, clés USB)
Vérification de l’intégrité de Windows au démarrage
Sécurisation de Windows avec la puce TPM et le code PIN
Stratégies de groupe (GPO)
imposerlechiffrement
bloquerleslecteursnonchiffrés
longueur/complexitéPIN
Stockage des clés de récupération dans Active Directory ou MBAM Server
Support de TPM, TPM+PIN, clé USB, TPM+PIN+cléUSB, carte à puce, mot de passe
42. Sécurité Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
43. L'explosion des appareilschange les standards de l'informatique d'entreprise.
Équipements
Déployer et gérer des applicationssur desplateformes hétérogènes est compliqué.
Applications
Données
Accéder les données tout en maintenant la conformité et en réduisant les risques.
Les utilisateurssouhaitent travailler n'importe où et avoir accès à toutes leurs ressources.
Utilisateurs
Travaillerlibrement …
Gestion de l’identité des utilisateurs
Protection des données
Gestion des périphériques
Gestion des applications mobiles et virtualisation
….un défi pour l’entreprise !
44. L’ enjeu pour l’identité
Azure
Synchronisation
Utilisateurs
Ressources et applications
Groupes de sécurités
SSO avec Kerberos
Utilisateurs
Externes/internes
Partenaires/clients
Téléphones, Tablettes, PC, Mac, Android, …
Applications, Données
Fédération, SSO
Fédération /PasswordSync
Ordinateurs
GPO, Configuration Manager
AAD Premium
Intune
RMS
48. Windows Azure Active Directory Premium
Un annuaire à associer facilement aux applications cloud (+2000 applications déjà pré-intégrées)
Un annuaire synchronisé avec l’Active Directory on-premise.
Gestion d’identité incluse avec MIM 2015
Un Hub d’identités sur le cloud
Des services pour gérer l’identité et l’accès aux applications
Surveiller et protéger les accès
Satisfaire les utilisateurs
Services d’authentification, service de fédération, authentification multi-facteur,
Gestion centralisée pour l'attribution des accès aux applications via des groupes
Des services à venir pour l’ «IAMaaS»
Rapport de sécurité pour suivre les modes d'accès incompatible
Inclus les capacités d'authentification multi-facteurs
Rapport avancé «machine-learning»
Portail d’applications et SSO
self-service pour la gestion des groupes, le changement et la réinitialisation du mot de passe
49. Administration unifiée des appareils avec Intune
MacOS X
PC Windows
(x86/64, Intel SoC),
Windows To Go
Windows Embedded
Windows RT, Windows Phone 8iOS, Android
Windows 8.1 (OMA-DM)
51
OU
R2
50.
51. Windows Intune
Satisfaire
Les utilisateurs
Unifier
Les environnements
Protéger
Les données
Outils de gestion des utilisateurs familier, leader sur le marché, étendus avec un MDM en mode Cloud
Gestion des applications simplifiée, centrée sur l'utilisateur avec configuration du profil
Gestion des paramètres complets cross-plateformes
Expérience homogène de portail d’entreprise quelque soit le périphérique
Inscription simplifiée
Connexion automatique aux applications et données
Suppression sélective des applications et données d’entreprise pour protéger les informations sensibles
Configuration de profil de messagerie et effacement sélectif
Paramètres de configuration de protection des données (iOS7)
52. Protection des informations avec Azure RMS
Serveurde fichiers, de messagerieoude base documentaire
Protection par du chiffrement, du control d’accèset des restrictions d’utilisation.
Utilisateurautorisé
Réseaude l’entreprise
Utilisateurautorisé
Utilisateursnon-autorisés
Transfertimpossible
Licenses d’utilisation
Utilisateurnon-autorisé
Pas de licence
Service
Azure RMS
53. Que peut-on protéger avec RMS et comment ?
Documents, mails et librairies Sharepoint
O365
Exchange,SharepointetFCIvialeconnecteurRMS
Touslestypesdefichiersvial’applicationdepartageRMS
Action pour protéger
Menucontextueldansl’explorateurouIconesdeprotectiondansOffice
Envoiàdescomptesd’entreprise(interneouexterne)
Envoiàdescomptesperso(liveID,googleID,…)promiscourant2014
Action pour consommer
Ouverturedirectesiondisposed’unesoucriptionRMS
Inscriptionàl’offreindividuellegratuitesionnedisposepasdesouscription
55. Gestion de l’identité hybride
Gestion des
Périphériques mobiles
Protection
de données
•Gestion et sécurité des Groupes / rapports d’audit
•Réinit. mot de passe self service & authentification multi-facteurs
•Connexion entre AD et Azure AD, gestion de l’accès aux applications et SSO
•Protection des informations
•Accès conditionnels
•Gestion des paramétrages de périphériques mobiles
•Gestion du cycle de vie des applications mobiles
•Effacement de données et retrait du périphérique
Introduction à Enterprise MobilitySuite (EMS)
Les prix Enterprise Agreement (EA) commencent à 3,70€par utilisateur et par mois*
Lancé le 1er mai 2014, EMS permet aux clients…
Azure Active Directory Premium
Windows Intune
Azure RightsManagement Service (RMS)
56. Sécurité Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
58. Gemalto ADFS 3 MFA Provider overview
One-Time Password (OTP) Two- factor authentication solution as an auxiliary authentication in order to avoid a number of attacks that are associated with traditional static passwords:
IDConfirm1000ServerandIDProvedevices
Trust and Autonomy: consume cloud services while keeping control of the employee’s identity.
Security and convenience as strong authentication unifying login and sign- in experience around AD FS.
Widest range of form factors available (hardware, software)
59. IDConfirm 1000 Authentication Server (can be deployed on premises or in the Cloud)
Deployment Architecture overview
ADFSADFS Gemalto MFA Provider
Active Directory
Enterprise
Enterprise Internal Apps
SaaS applications running in Windows Azure, Office 365 and 3rd party providers
User
Windows Server 2012 R2
User
60. Multiple authentication form factors available
Select Authentication method
Hardware Token
IDProve 300
(A Mobile Token app)
A native Mobile OTP Application to secure authentication operations
OATH time based
One Touch user- experience for strong authentication and activation
state-of-the-art security
SMS OTP
61. Secondary Authentication: Send Passcode
Use Cases: Mobile IDProve300 Send OTP Logon
One Touch user-experience for strong authentication
Primary Authentication
Required only for External Users.
For Internal Users Identity is obtained by performing a Windows logon.
62. 1. User Enter a PIN code
(if required)
2. The user accesses the mobile app and selects “Send Passcode” in order to login to the service.
The app sends the OTP to the service and access is granted
Use Cases: Mobile IDProve300 Send PasscodeLogon
One Touch user-experience for strong authentication
63. GemaltoADFS 3 MFA ValuesRecognized Market Leadership
Gemalto is a recognized player in strong authentication market (Gartner) Comprehensive Portfolio of authentication devices
Widest range of form factors available (hardware, software) Deployment model flexibility
Gemalto IDConfirm1000 server can be deployed on customer premises or in the CloudTrust and Autonomy
Consume cloud services while keeping control of the employee’s identity. Security
We continuously improve security of our server platform in order to Prevent the Web Attacks
Penetration tests have been done in April 2014 by LEXSI external lab and highlight a very good level of security
64. Sécurité Azure
Sécurité
Infra
structure
Enterprise
Mobility
Suite
Gemalto
MFA
Sécurité
Services
Gestion
De
L’identité
65. Présentationdes Services
Présentationdes services Azure à sécuriser…:
Office365
Yammer
Sharepoint
MyApps(2400applications)
…et leurs modes d’authentification :
Login/Password
MFA
66. Limites/Risques de l’authentification Actuelle
•Utilisation du Login/Password : Manque de sécurité
•Avantages du Multi-Factor Authentication(MFA) :
-Apporte une sécurité supplémentaire à l’authentification
-Protection de l'accès avec une notification d'application mobile, un appel téléphonique ou un SMS
-Réduction des risques
67. Sécurisation de l’accès PC
Accès sécurisé depuis un PC vers les divers services Azure
AccèsNFC
Puce présente dans le mobile
Carte à Puce NFC
AccèsOTP
Application mobile, SMS, appel vocal
SmartCard
Carte à puce
AccèsrestreintauxPCdeconfiance
Intune
Certificats, plage d’adresse IP
68. Sécurisation de l’accès mobile
Accès sécurisé depuis un mobile vers les divers services Azure
AccèsOTP
Application mobile, SMS, appel vocal
Accèsrestreintauxmobilesdeconfiance
Intune
Certificats Machine
73. Solutions: Gestion de l’Identité
ActiveDirectory
LotusDomino
IDconfirm
SQLServer
Oracle DB
HR System
FIM
Workflow
Manager
User Enrollment
Approval
User provisioned on all allowed systems
ApplisMaison
75. Pyramide de sécurité appliquée au Cloud
Confidentialité, Disponibilité, Intégrité Architecture Sécurisée Sécurité de l infrastructureSécurité PhysiqueSécurité des applicationsSécurité des Flux et des donnéesSécurité des SystèmesSécurité des PersonnesSécurité des opérationsGouvernance