Sécurité
BYOD : les nouveaux scénarios d’authentification
adaptés au monde de l’entrepriseWilliam Houry, Versatile Security
Arnaud Jumelet, Microsoft France
[email protected], @[email protected], @arnaud_jumelet
#mstechdaysSécurité
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
#mstechdaysSécurité
Agenda
Les directions de solution pour l’entreprise
Un exemple
2 3
La situation
1
#mstechdaysSécurité
• Découvrir les solutions Microsoft pour le BYOD adaptées au monde de l’entreprise
• Démontrer la mise en œuvre d’un scénario innovant : inscription d’un appareil Windows 8.1 avec authentification par téléphone puis création d’une carte à puce virtuelle contenant les certificats numériques associés à l’utilisateur
Objectifs de la session
Sécurité#mstechdays
LES DÉFIS DU BYOD
La situation
#mstechdaysSécurité
Le déploiement et la gestion des applications sur l’ensemble des plateformes est complexe.
Applications
Les défis liés au BYOD
Les utilisateurs veulent pouvoir travailler depuis n’importe où et avoir accès à toutes les ressources.
Utilisateurs
Données
Les utilisateurs doivent être productifs tout en respectant la contraintes de conformité et en limitant les risques.
L’explosion et la diversité des appareils mobiles remet en cause l'approche basée sur les standards IT de l'entreprise.
Appareils
#mstechdaysSécurité
sur plusieurs appareils…
avec un accès aux apps…
….même en situation de mobilité !
Tout débute par une personne ...
EMPLOYEE #0000000-000CONTOSO
dont l’identité est vérifiée…
Les utilisateurs veulent travailler depuis leur propre appareil et de n’importe où
#mstechdaysSécurité
Donner accès de manière sécurisée aux apps et données métiersL’IT doit protéger les ressources de l’entreprise…
tout en gardant le contrôle sur les données et la sécurité.
DELIVERY TYPE
NATIVE APP
DELIVERY TYPE
WEB/SaaSAPP
.. En définissant comment les applications sont délivrées
DELIVERY TYPE
VIRTUALDESKTOP
DELIVERY TYPE
REMOTEAPP
SSL/TLS
802.1x / IPsec
VPN / DirectAccess
#mstechdaysSécurité
Des bénéfices et des risques
IT PROComment donner accès de manière sécurisée aux applications et données de l’entreprise ?
Utilisateurs
Comment accéder facilement aux outils de l’entreprise avec mon appareil personnel et depuis n’importe où ?
Sécurité#mstechdays
QUELQUES SOLUTIONS MICROSOFT POUR LE BYOD
#mstechdaysSécurité
DELIVERY TYPE
NATIVE APP
DELIVERY TYPE
WEB/SaaSAPP
DELIVERY TYPE
VIRTUALDESKTOP
DELIVERY TYPE
REMOTEAPP
Solutions BYOD dans Windows Server 2012 R2
#mstechdaysSécurité
Publication des applications web avec WAP + AD FS
Les utilisateurs peuvent enregistrer leurs appareils pour accéder aux apps et données d'entreprise avec une expérience SSO grâce à l'authentification de l'appareil
L’accès conditionnel avec l'authentification multi-facteur est fourni avec une granularité par application, en s'appuyant sur l'identité de l'utilisateur, l'enregistrement de l'appareil, l’emplacement réseau et d’autres informations de contexte
Les améliorations apportées sur le nouvel AD FS comprennent un déploiement et une gestion simplifiée
ApplicationspubliéesFirewall
DELIVERY TYPE
WEB/SaaSAPP
#mstechdaysSécurité
Principe du contrôle d’accès contextuel
Utilisateur
Authentification
Appareil Logiq
ue
Expérience utilisateur
(ex. règle : appareil connu et géré). Accès complet au réseau. Accès natif aux applications Web et classiques
Complet
(ex. règle : appareil connu depuis le réseau interne à l’aide d’une authentification forte). Accès à certaines Applications Web. Accès à des applications classiques en mode RDP
Limité
(ex. règle : appareil inconnu). Aucun accès au réseau interne. Accès internet invité
Bloqué
Contexte
Lieu
Le contexte d’accès inclut les caractéristiques de l’identité présentée, la force de l’authentification, le niveau de confiance de l’appareil mobile et l’emplacement géographique. et
Les politiques d’accès définissent les règles d’accès en fonction du contexte et de la sensibilité des services, applications et données accédés
#mstechdaysSécurité
Les caractéristiques de l’identité présentée– Appartenance à un/des groupes de
sécurité– Appartenance à un rôle spécifique– Attribut particulier,…
Utilisateur
Utilisateur
Authentification
Appareil
Contexte d’accès
Lieu
#mstechdaysSécurité
Lieu
En situation
de mobilité
Depuis l’intern
eUtilisateur
Authentification
Appareil
Contexte d’accès
Lieu
#mstechdaysSécurité
Authentification
Forc
eCertificat
Certificat protégé par TPM
Carte à puce + Code PIN
Mot de passe simple
Mot de passe + Téléphone
Mot de passe + Téléphone
+ Voix
Code confidentiel****
Mot de passe image
Empreinte digitale
Utilisateur
Authentification
Appareil
Contexte d’accès
Lieu
Carte à puce virtuelle
+ Code PIN
#mstechdaysSécurité
• Les Intérêts– Authentification forte à 2 ou 3 facteurs basée sur des certificats numériques (X.509)– Cryptographie isolée (Opérations effectuées par la carte)– Anti « Force brute » (Carte bloquée après N tentatives)– Nombreux cas d’utilisation (Windows logon, Accès à distance, Chiffrement,
Signature…)
• Pas toujours adapté dans un environnement BYOD– Lecteur intégré, lecteur externe (USB, Bluetooth ou autre), Clé USB, Carte NFC…
• La Carte à puce virtuelle offre une complémentarité à la carte à puce physique en gardant les avantages de celle-ci sans les contraintes de déploiement de matériel
Carte à puce
#mstechdaysSécurité
• La fonctionnalité carte à puce virtuelle est présente sur toutes éditions de Windows 8.X
• Utilise la puce TPM d’un appareil Windows 8.x• La présence d’un TPM sera obligatoire en
2015 pour obtenir le logo Windows• Adaptée aux tablettes et appareils mobiles
– Les Windows Phones possèdent un module TPM
• Déploiement simple et compatibilité optimale avec les logiciels existants.
Qu’est-ce qu’une carte à puce virtuelle ?
Le code PIN est ce que l’on connaît, l’appareil ce que l’on possède
#mstechdaysSécurité
La carte à puce virtuelle est faite pour le BYOD et la mobilité
Authentification
Multi-facteurs
• Accès distant avec une connexion VPN• Accès réseau interne Wi-Fi, IPSec• Ouverture de session en mode RDP
• Accès à des applications Web avec authentification certificat client SSL
• Accès à des ressources via Kerberos
Protection des
documents et des
messages
• Chiffrement BitLocker sur des disques de données fixes et amovibles
• Chiffrement/Signature S/MIME
#mstechdaysSécurité
AppareilsInconnu Connu Connu et géré
L’appareil est inconnu de l’IT
L’appareil est joint au lieu de travail (Workplace Join). Il peut recevoir des politiques de sécurité via EAS. L’appareil est connu est associé à son utilisateur
L’appareil est joint au lieu de travail et géré par un MDM (Mobile Device Management) via le protocole OMA-DM.
Administré
L’appareil est joint au domaine Active Directory et est entièrement sous le contrôle de l’IT avec des GPO et outils de supervision, télédistribution logiciels.
Utilisateur
Authentification
Appareil
Contexte d’accès
Lieu
#mstechdaysSécurité
Fonctionnement du Workplace Join
Start
Active Directory
AD FS
1Authentification de l’utilisateur
Enregistrement de l’appareil2
3
Association utilisateur/appareil dans l’annuaire Active Directory
4Appareil connu, installation du certificat lié à l’appareil
Start
AD FS – Active Directory Federation ServiceDRS – Device Registration Service
démo
Design/UX/UI#mstechdays
Sécurité
WORKPLACE JOIN
Associer un appareil ou un ordinateur considéré comme fiable
Sécurité#mstechdays
SCENARIO AVEC LA SOLUTION VERSATILE SECURITY VSEC:CMS
#mstechdaysSécurité
Gestion du Cycle de Vie des Cartes à Puces (Virtuelles)
#mstechdaysSécurité
Avantages de vSEC:CMS
Installation Rapide
Haut Niveau de Sécurité
Faible Coût de Possession
Intégration complète avec les infrastructures
Microsoft
#mstechdaysSécurité
Intégration avec l’Infrastructure Existante
#mstechdaysSécurité
Distribution carte à puce (virtuelle) et certificats dans un contexte BYOD (Self-Service)
Récupération des règles d’accès : Authentification forte (carte à puce physique) Authentification par téléphone Azure MFA Questions / Réponses …
Web Application Proxy
AD FS Proxy
AD FS
Start
Utilisateur
Claims
démo
Design/UX/UI#mstechdays
Sécurité
CRÉATION ET PERSONNALISATION D’UNE CARTE À PUCE VIRTUELLEAvec vSEC:CMS
#mstechdaysSécurité
Les étapesRécupération du Contexte d’Authentification
Emission de la Carte à Puce
Création de la Carte à Puce Virtuelle
Définition du Code PIN Utilisateur
Configuration de la Politique de PIN
Diversification de la Clé d’Administration
(PIN Admin)
Assignation à un Utilisateur Active Directory
Enrôlement des Certificats Utilisateurs
#mstechdaysSécurité
• Enregistrer les appareils – Les appareils (Windows 8.x, iOS) peuvent être joint au lieu de
travail avec Windows Server 2012 R2
• Authentification forte et moderne– Activer les méthodes d’authentification fortes adaptées à la
mobilité : Windows Azure MFA et cartes à puce virtuelles
• Contrôle d’accès contextuel pour le BYOD– Prise en compte du contexte avec Windows Server 2012 R2
En résumé
#mstechdaysSécurité
Ressources• Livre blanc « BYOD : Vision et solutions
»• Livre blanc « Windows Azure MFA »• Site Web Versatile Security : http://
versatilesecurity.com
Sessions tech.days 2014 – Mercredi 12 février : 16h30-17h15 :
Démonstration du BYOD en entreprise– Jeudi 13 février : 12h15-13h00 : Stratégie
BYOD et nouvelles directions de solutions
Aller plus loin
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business