Sécuriser votre chaîne d'information dans Azure

1. Sécuriser votre chaîne d'information dans Azure Sécurité Azure Sécurisation des Infrastructure Sécurisation des Services Enterprise MobilitySuite Gestion des Identité dans le Cloud

2. Défisdu Cloud Ref:http://www.cloudlinktech.com/ choose-your-cloud/amazon-web- services/

3. Sécurité de la chaîne d’information

4. Présentation des Mesures de Sécurité Additionnelles Sécurité Azure Sécurité de l’infrastructure RisquesExistants Sécurisation des Serveurs Sécurisation des flux Sécurisation des fichiers Pause EnterpriseMobilitySuite GemaltoADFSMFA Sécurisation des Services Présentationdes Services Limites de l’authentification Login/Password SécurisationMobile Sécurisation PCGestion des Identités dans le Cloud Multiplicationdel’identité Risquesencourus Gestiondesidentités Retours d’expérience / Questions/Réponses

5. Jérôme Soufflot PrésentationNis/Gemalto Bus devChannel France & UK Stéphane Gueukmen Channel developer

6. Ourpurpose 6

7. 7 We are the world leader in digital security €2.4bn revenue 2013 12,000 employees worldwide 86% customer satisfaction in annual survey 2bn+ end-users benefit from our solutions 110+ patents and patent applications in 2013 190countries where our clients are based

8. © vNext-2013 8 Certifiée« Microsoft Gold Partner», vNext se positionne sur le marché des nouvelles technologies en proposant des solutions Microsoft sur les usages, l’industrialisation et les modes de distribution de type Cloud (SaaS, PaaSet IaaS). En quelques mots …

9. 9 Service R&D Edition + de 65 collaborateurs janvier 2010 Création en 5,5 M€ En 2013 Qui sommes nous ? + 20%

10. 10 AP APPLICATION PLATFORM Des apps mobiles aux applications d’entreprise stratégiques, Application Platform matérialise vos projets sur mesure BP BUSINESS PRODUCTIVITY Améliorer l’efficacité individuelle et collective au sein des entreprises et organisations CI CORE INFRASTRUCTURE Optimiser et sécuriser la fourniture et la consommation de services, du datacenter au device Nos offres de service PM IT PROJECT MANAGEMENT IT STRATEGY & GOVERNANCE CMT CHANGE MANAGEMENT & TRAINING

11. Les collaborateurs de CoreInfra vous accompagnent dans la gestion et l'optimisation des infrastructures on-premiseou sur Azure. Nous travaillons sur les performances d’accès aux données, le cycle de vie de parcs hétérogènes (postes & devices) et les problématiques de datacenters, de sites distants et d'utilisation d'Azure. Pour contrôler les services proposés, nous vous accompagnons dans la rationalisation des comptes et des accès avec notamment des authentifications fortes. Positionnement et Expertise CI Azure & Hybrid Monitoring & Optimisation Identités : fédérations & Contrôles Fermes & Clusters Déploiements & Masters SQL.Services

12. Sécurité Azure Sécurité Infra structure Enterprise Mobility Suite Gemalto MFA Sécurité Services Gestion De L’identité

13. Microsoft’s Cloud Delivering operational excellence in the cloud Infrastructure

14. > 2,4 millions d’emails par jour > 200 Services Cloud > 1 milliard de clients >20 millions d’entreprises > 90 pays dans le monde > 5,8 milliards de requêtes chaque mois dans le monde > 250 millions d’utilisateurs actifs > 8600 milliards d’objets stockés sur Windows Azure 1 entreprise sur 4 utilise > 50 milliards de minutes de connexion chaque jour > 48 millions d’utilisateurs dans 41 pays > 50 millions utilisateurs actifs > 400 millions de comptes actifs

15. 15 Datacenter evolution Server Capacity 20 year Technology 2.0+ PUE Colocation Generation 1 Density Rack Density & deployment Minimized resource impact 1.4 –1.6 PUE Generation 2201220091989-20052007 Containment 1.2 –1.5 PUE Containers, PODs Scalability & sustainability Air & water economization Differentiated SLAs Generation 3 Modular 1.12 –1.20 PUE ITPACs & Colocations Reduced carbon Right-sized Faster time-to-market Outside air cooled Generation 4 Integrated 1.07 –1.19 PUE Integrated system Resilient software Common infrastructure Operational simplicity Flexible & scalable Generation 5Future

16. Global FOOTPRINT TOKYO OSAKA Datacentersand platformare ISO 27001, EU SafeHarbor, SSAE 16/ISAE 3402 SOC 1, 2, 3 certified

17. SLA (Service LevelAgreement) Mensuel >99.9% Virtual Network >99.9% SQL Database (as a Service) >99.9% Windows Azure Active Directory >99.95% Machines Virtuelles Windows et Linux >99.9% Stockage Tous les détails des SLA sont disponibles sur le site produit Microsoft Azure

18. Vous savez oùrésident vos données, qui peut y accéder et ce quenous en faisons. Où sont hébergées les données de nos clients ? Quel est le niveau de sécurité des centres de données Microsoft ? À qui appartiennent les données stockées dans le Cloud Microsoft ? De quelle manière Microsoft utilise les données stockées dans le Cloud ? Quelles sont les normes et standards auxquels est conforme le Cloud Microsoft ?

20. Les challenges du Cloud

21. Les solutions apportées Hardware Flux Data VPN Chiffrement des flux

22. Sécurisationdes serveurs

23. Sécurisationdes serveurs: Hardening        

24. Sécurisationdes serveurs: Monitoring ReportingConsole Azure PossibilitédecréerdesalertespersonnaliséesauseinduportailAzure Alertesparserveur Reportingparmail Gestioncentralisédetouteslesalertes ReportingSystem Center OperationManager ManagementPackpourSystemCenterOperationManager MonitoringduserveurcommelesserveursOnPremise

25. Sécurisationdes serveurs: protection de l’OS Antimalware Antimalware Real TimeProtection ScheduledScanning MalwareRemediation Engine, Platform, Signature Updates Active Protection Samples& TelemetryReporting Patching

26. Sécurisationdes serveurs: Stockage Par défaut un disque vhdest sauvegardé 3 fois Celui-cipeutêtresauvegardélocalementousurplusieursplaquesgéographiquesdifférentes Azure DisasterRecoverypermet de sauvegarder encore 3 nouvelles fois le vhd

27. Serveur d’applications ou de fichiers SAS SSD Stockage Blob StorSimple Cloud Azure StorSimple

28. Haute disponibilité Hardening Monitoring / reporting Patching Antivus/ Antimalware Stockage redondé Sécurisationdes serveurs: Checklist

29. SÉCURISATION DES SERVEURS

30. Sécurisationdes Flux

31. HTTPS Chiffrement des flux 1. Le client contacte le serveur en lui demandant d’établir une communication SSL 2. Le serveur répond en présentant son certificat SSL 3. Générer et délivrer une clé de cryptage 4. Envoyer et recevoir des données chiffrées IPSec • Authentification des extrémités • Confidentialité des données échangées • Authenticité des données • Intégrité des données échangées • Protection contre les écoutes et analyses de trafic • Protection contre le rejeu

32. Sécurisationdes Flux: VPN Site à Site Backend VNetMid-TierVNetFrontendVNet Internet Secure Communication Microsoft Azure Contoso US HQ Contoso East Asia

33. HTTPS IPSec Sécurisationdes flux: Checklist VPN site à site

34. SÉCURISATION DES FLUX

35. Sécurisationdes Fichiers

36. Sécurisationdes serveurs: BitLocker Chiffrement des volumes (OS, données, disques externes, clés USB) Vérification de l’intégrité de Windows au démarrage Sécurisation de Windows avec la puce TPM et le code PIN Stratégies de groupe (GPO) imposerlechiffrement bloquerleslecteursnonchiffrés longueur/complexitéPIN Stockage des clés de récupération dans Active Directory ou MBAM Server Support de TPM, TPM+PIN, clé USB, TPM+PIN+cléUSB, carte à puce, mot de passe

37. Sécurisationdes Fichiers: RMS

38. BitLocker RMS Sécurisationdes fichiers: Checklist

39. SÉCURISATION DES FICHIERS

41. L'explosion des appareilschange les standards de l'informatique d'entreprise. Équipements Déployer et gérer des applicationssur desplateformes hétérogènes est compliqué. Applications Données Accéder les données tout en maintenant la conformité et en réduisant les risques. Les utilisateurssouhaitent travailler n'importe où et avoir accès à toutes leurs ressources. Utilisateurs Travaillerlibrement … Gestion de l’identité des utilisateurs Protection des données Gestion des périphériques Gestion des applications mobiles et virtualisation ….un défi pour l’entreprise !

42. L’ enjeu pour l’identité Azure Synchronisation Utilisateurs Ressources et applications Groupes de sécurités SSO avec Kerberos Utilisateurs Externes/internes Partenaires/clients Téléphones, Tablettes, PC, Mac, Android, … Applications, Données Fédération, SSO Fédération /PasswordSync Ordinateurs GPO, Configuration Manager AAD Premium Intune RMS

43. Azure Active Directory Active Directory

44. Fournir à l’utilisateur une expérience d’authentification sans effort

45. Windows Azure Active Directory Premium Un annuaire à associer facilement aux applications cloud (+2000 applications déjà pré-intégrées) Un annuaire synchronisé avec l’Active Directory on-premise. Gestion d’identité incluse avec MIM 2015 Un Hub d’identités sur le cloud Des services pour gérer l’identité et l’accès aux applications Surveiller et protéger les accès Satisfaire les utilisateurs Services d’authentification, service de fédération, authentification multi-facteur, Gestion centralisée pour l'attribution des accès aux applications via des groupes Des services à venir pour l’ «IAMaaS» Rapport de sécurité pour suivre les modes d'accès incompatible Inclus les capacités d'authentification multi-facteurs Rapport avancé «machine-learning» Portail d’applications et SSO self-service pour la gestion des groupes, le changement et la réinitialisation du mot de passe

46. Administration unifiée des appareils avec Intune MacOS X PC Windows (x86/64, Intel SoC), Windows To Go Windows Embedded Windows RT, Windows Phone 8iOS, Android Windows 8.1 (OMA-DM) 51 OU R2

47. Windows Intune Satisfaire Les utilisateurs Unifier Les environnements Protéger Les données Outils de gestion des utilisateurs familier, leader sur le marché, étendus avec un MDM en mode Cloud Gestion des applications simplifiée, centrée sur l'utilisateur avec configuration du profil Gestion des paramètres complets cross-plateformes Expérience homogène de portail d’entreprise quelque soit le périphérique Inscription simplifiée Connexion automatique aux applications et données Suppression sélective des applications et données d’entreprise pour protéger les informations sensibles Configuration de profil de messagerie et effacement sélectif Paramètres de configuration de protection des données (iOS7)

48. Protection des informations avec Azure RMS Serveurde fichiers, de messagerieoude base documentaire Protection par du chiffrement, du control d’accèset des restrictions d’utilisation. Utilisateurautorisé Réseaude l’entreprise Utilisateurautorisé Utilisateursnon-autorisés Transfertimpossible Licenses d’utilisation Utilisateurnon-autorisé Pas de licence Service Azure RMS    

49. Que peut-on protéger avec RMS et comment ? Documents, mails et librairies Sharepoint O365 Exchange,SharepointetFCIvialeconnecteurRMS Touslestypesdefichiersvial’applicationdepartageRMS Action pour protéger Menucontextueldansl’explorateurouIconesdeprotectiondansOffice Envoiàdescomptesd’entreprise(interneouexterne) Envoiàdescomptesperso(liveID,googleID,…)promiscourant2014 Action pour consommer Ouverturedirectesiondisposed’unesoucriptionRMS Inscriptionàl’offreindividuellegratuitesionnedisposepasdesouscription

50. SÉCURISATION DES DEVICES

51. Gestion de l’identité hybride Gestion des Périphériques mobiles Protection de données •Gestion et sécurité des Groupes / rapports d’audit •Réinit. mot de passe self service & authentification multi-facteurs •Connexion entre AD et Azure AD, gestion de l’accès aux applications et SSO •Protection des informations •Accès conditionnels •Gestion des paramétrages de périphériques mobiles •Gestion du cycle de vie des applications mobiles •Effacement de données et retrait du périphérique Introduction à Enterprise MobilitySuite (EMS) Les prix Enterprise Agreement (EA) commencent à 3,70€par utilisateur et par mois* Lancé le 1er mai 2014, EMS permet aux clients… Azure Active Directory Premium Windows Intune Azure RightsManagement Service (RMS)

53. WHOARE YOURTRYINGTO PROTECT? 59

54. Gemalto ADFS 3 MFA Provider overview One-Time Password (OTP) Two- factor authentication solution as an auxiliary authentication in order to avoid a number of attacks that are associated with traditional static passwords: IDConfirm1000ServerandIDProvedevices Trust and Autonomy: consume cloud services while keeping control of the employee’s identity. Security and convenience as strong authentication unifying login and sign- in experience around AD FS. Widest range of form factors available (hardware, software)

55. IDConfirm 1000 Authentication Server (can be deployed on premises or in the Cloud) Deployment Architecture overview ADFSADFS Gemalto MFA Provider Active Directory Enterprise Enterprise Internal Apps SaaS applications running in Windows Azure, Office 365 and 3rd party providers User Windows Server 2012 R2 User

56. Multiple authentication form factors available Select Authentication method Hardware Token IDProve 300 (A Mobile Token app) A native Mobile OTP Application to secure authentication operations OATH time based One Touch user- experience for strong authentication and activation state-of-the-art security SMS OTP

57. Secondary Authentication: Send Passcode Use Cases: Mobile IDProve300 Send OTP Logon One Touch user-experience for strong authentication Primary Authentication Required only for External Users. For Internal Users Identity is obtained by performing a Windows logon.

58. 1. User Enter a PIN code (if required) 2. The user accesses the mobile app and selects “Send Passcode” in order to login to the service. The app sends the OTP to the service and access is granted Use Cases: Mobile IDProve300 Send PasscodeLogon One Touch user-experience for strong authentication

59. GemaltoADFS 3 MFA ValuesRecognized Market Leadership Gemalto is a recognized player in strong authentication market (Gartner) Comprehensive Portfolio of authentication devices Widest range of form factors available (hardware, software) Deployment model flexibility Gemalto IDConfirm1000 server can be deployed on customer premises or in the CloudTrust and Autonomy Consume cloud services while keeping control of the employee’s identity. Security We continuously improve security of our server platform in order to Prevent the Web Attacks Penetration tests have been done in April 2014 by LEXSI external lab and highlight a very good level of security

61. Présentationdes Services Présentationdes services Azure à sécuriser…: Office365 Yammer Sharepoint MyApps(2400applications) …et leurs modes d’authentification : Login/Password MFA

62. Limites/Risques de l’authentification Actuelle •Utilisation du Login/Password : Manque de sécurité •Avantages du Multi-Factor Authentication(MFA) : -Apporte une sécurité supplémentaire à l’authentification -Protection de l'accès avec une notification d'application mobile, un appel téléphonique ou un SMS -Réduction des risques

63. Sécurisation de l’accès PC Accès sécurisé depuis un PC vers les divers services Azure AccèsNFC Puce présente dans le mobile Carte à Puce NFC AccèsOTP Application mobile, SMS, appel vocal SmartCard Carte à puce AccèsrestreintauxPCdeconfiance Intune Certificats, plage d’adresse IP

64. Sécurisation de l’accès mobile Accès sécurisé depuis un mobile vers les divers services Azure AccèsOTP Application mobile, SMS, appel vocal Accèsrestreintauxmobilesdeconfiance Intune Certificats Machine

65. SÉCURISATION DES SERVICES

67. Azure AAD Premium Multiplication de l’identité Les Défis •Multiplication de l’identité Gestion Isolée •Multiplication de l’identité •GestionIsolée Administration Basique •Multiplication de l’identité •GestionIsolée •Administration Basique ReportingSéparé •Multiplication de l’identité •GestionIsolée •Administration Basique •Reporting Séparé Processus D’Entrée/Sortie isolé •Multiplication de l’identité •Gestionsolée •Administration Basique •Reporting Séparé •Processus d’entrée/sortie Isolé

68. Solutions: Centralisation

69. Solutions: Gestion de l’Identité ActiveDirectory LotusDomino IDconfirm SQLServer Oracle DB HR System FIM Workflow Manager User Enrollment Approval User provisioned on all allowed systems ApplisMaison

70. IDENTITÉ DANS LE CLOUD

71. Pyramide de sécurité appliquée au Cloud Confidentialité, Disponibilité, Intégrité Architecture Sécurisée Sécurité de l infrastructureSécurité PhysiqueSécurité des applicationsSécurité des Flux et des donnéesSécurité des SystèmesSécurité des PersonnesSécurité des opérationsGouvernance

72. Fin

73. Questions / Réponses

Sécuriser votre chaîne d'information dans Azure

Esté a ler uma amostra.

Confira estes a seguir

Sécuriser votre chaîne d'information dans Azure

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Quem viu também gostou (10)

Semelhante a Sécuriser votre chaîne d'information dans Azure (20)

Mais de Nis (8)

Mais recentes (20)