Publier SharePoint 2010 sur Internet de manire scurise (SEC2302)

Publier SharePoint 2010 sur Internet de manire scurise (SEC2302)

Frdric ESNOUF, Microsoft, ArchitecteBenoit HAMET, CapGemini, Architecte#date1AgendaBilan sur la cybercriminalit : risques et enjeuxProblmatique de publication dapplications en 2010/2011Scnarios, problmatiques, approchePublier et protger les applications en 2011DmonstrationsDemos#Publier et protger les applicationsArchitecture de la solution

(Base, frontaux, permissions, ...)Accs distants &cybercriminalitAuthentification forte, Single Sign On (SSO), confirmit, scurit applicative, firewall applicatif,

Gestion des identits(qui a accs quoi, partenaires, )

#SharePoint et la scuritSharePoint cest une applicationSharePoint cest des espaces de collaborationSharePoint permet de partager des donnes, certaines sans et dautres avec de la valeurSharePoint cest des employs, des partenaires, .. des clients

SharePoint est le produit parfait pour montrer les enjeux de publication daccs distant=> Publier et protger les applications et les donnes.#Accs distants et cybercriminalitPublier et proteger les applications et les donnes les enjeux et risques de 2011#date5Identifier les risques

#Scurit Applicative cot clientOSNavigateurMediaUtilisateur

CacheMalwareKeylogger autreUAGMulti-deviceEmploy, partenaire et clientScurit applicativeAnalyse et conformit du posteAuthentification forteAttachment Wiper (application ..UAG serveur

InternetClients et utilisateurs

CybercriminelsCode, bug, Malware, virus

#OSWEBAppliSite, rpertoires, Donnes

Scurit Applicative cot ApplicationScurit au sein de lapplicationApports dUAG en plusSccmWinUpdate

Permissions,

Optimizer : Firewall Applicatif (URL set)Rcriture de flux (Appwrap)Analyse du poste politiques de scurit : application, fonction, sous sectionsTracabilitAuthentification forte +SSORMS : protection des documents#Scurit de bout en boutOSAppData

OSAppData

UserdiskUtilisateur

USBUsagesPc entreprisePc partenairePc client (citoyen)Smartphone &

RisquesSocial engineeringKeyloggersMalwareLost LaptopLost USB keyHard disk cache

Application

UAGPasserelleApplicative

FWFW#DmonstrationDcouverte de lexprience utilisateurConnexionPortail UAGApplications#Bannire de login UAG

#The login banner can be customized. Easyly (logo or text)11Le portail UAG

#The portal.. Contains all the application, you click you are in (including SSO).Nav bar at the left12Forefront Unified Access GatewayHistorique, vision, rle#date13Collaborateur

PC dentreprise

Fournir aux quipes IT une solution regroupant toutes les technologies de mobilit, et couvrant tous les scnarii Microsoft Unified Access Gateway

PC Partenaire

PartenaireClient, Citoyen

Kiosk

Maison, KioskHotel

Payroll & HRCollaborateur

#Office ConnectionsUpdates will be available at http://www.devconnections.com/updates/LasVegas _06/Office_Connections14Scenarios dans lentrepriseEmploy + poste corp : recommandation DA car trs efficace, aussi VPN/SSL via SSTPMeme scenario mais poste non corp : VPN et VPN SSL a banir => Securite applicative!Scenario partenaire : on controle rien => Securite applicativeScenario clients finaux : idem

Unified Access GatewayDirectAccessHTTPS (443)Layer3 VPN

Data Center / Corporate NetworkBusiness Partners /Sub-Contractors

AD, ADFS, RADIUS, LDAP.

Home / Friend / KioskEmployees Managed Machines

MobileExchangeCRMSharePointIIS basedIBM, SAP, OracleTerminal / Remote Desktop Services

Non web

HTTPS / HTTP

NPS, ILM

Internet

7FWFWFW#AchitectureUAG en DMZNon Intrusif

Microsoft ou non microsoft15bUAG et dfense en profondeurAutorisationUtilisateurLa donneScurit applicativeQui (poste) ?Qui (utilisateur) ?PermissionsProtection des donnesContrle temps relProtectedHostsAuthentificationAnalyse du posteAnalyse du poste de travailAnalyse du poste de travail (environ 1 seconde)Par dfaut, 200+ vrifications & Security centerExtension des vrifications par simple VBS, pour trouver la vrification qui va faire la diffrencePhoto technique du poste envoye UAG, puis utilise en temps rel lors de chaque actionLa cl de la scurit applicativeAuthentification Support natif de nombreuses bases :Active Directory, LDAP, TACACS, RADIUS, Auth forte : RSA, Gemalto, Vasco OTP, Carte Puce, Biomtrie,

Trouver le type dauth pour un scnario, en fonction de sa puissance et de son cot.Autorisation (droit + conformit)Affiche/cache des applications en fonction des droits de lutilisateurApplications grises si non conforme la politique de scurit !Supporte lautorisation sur la base de Claims (ADFS)Utilisation de Forefront Identity Mmanager (FIM possible pour la gestion des droitsApplication SecurityFirewall applicatif : ensemble de rgles qui modlisent le normal : RegExFiltres applicatifs pour les produits Microsoft, cration de vos filtres via interface graphiqueR-criture de flux (HTTP, URL, HTML, Code) temps rel : changer lexprience utilisateur, corriger du code qui casse, failles de scuritWeb Single Sign On (FORM, Ntlm, Kerberos, Kerberos Constrained Delegation (KCD), ADFS)Reporting et tracabilit la fois au niveau rseau (couche TMG) et applicatif (UAG)

Information SecurityEviter le Vol/perte des donnesCot client : attachment wiper, timeout, contrle de conformitCot serveur : politiques de scuritCot Application: RMS (right management services)

#2/11/2011 10:25 AM 2005 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.16UAG and defense in depthIdentifier les logiciels, les faillesIdentifier les donnes, ou elles se trouvent, leur valeur

Identifier les risques et contremesures

Configurer UAGAnalyse du poste + scuritTracabilitMthodologie#DmonstrationConnexion au portailLancement de SharePoint, dcouverte de lenvironnement, des donnes, des risquesTentative daccs.. Blocages.

Comment ca marche ?#Le portail UAG

Politique SAPPolitique SharePoint financePolitique SharePoint R & D#The portal.. Contains all the application, you click you are in (including SSO).Nav bar at the left19SharePoint dans UAG

Scurit?Scurit?Scurit?Scurit?#Politiques de scurit

Par ApplicationPar fonction : upload/download/restricted zones#Cach

#

Upload bloqu : non conforme#Les restricted Zones

#Bloquer, mais informer

#Administration et architecture#La console dadministration

#Interfaces de configuration pour SharePoint#date28Publication par type de device

#Also office PC clients29Configuration des AAMsParamtrer UAGParamtrer les AAM

Paramtrage trs fin

#UAG dans SharePoint

#Conclusions#Publier ses applicationsProtger les applications et les donnesIdentifier les donnes, analyse du risque et contremesuresScuriser de bout en boutPoste de travailPasserelleArchitecture interne : Forefront antivirusSharePoint : Application, des donnes, diffrents usages, diffrentes populationsEquipes SharePoint + Equipe Forefront UAG travaillent ensemble

#Merci !Questions et rponses, dmos#