Optimisez et sécurisez vos infrastructures Cloud, VDI & Mobilité avec F5 Networks | Partie III – APM Application Policy Manager

1. Séminaire du 27 mars 2012
Partie III – APM Application Policy Manager
1

2. Youssef Rhazi
Security Engineer
tel. +41 22 727 05 55
youssef.rhazi@e-xpertsolutions.com
www.e-xpertsolutions.com
2

3. PROBLÈME: QUI, COMMENT ET OU ?
► Quel équipement demande un
accès?
► Qui accède?
► Quelle application est accédée?
► Sur quel site l’utilisateur accède?
3

4. CONTEXT = ACCESS CONTROL
Unification des accès
Large Panel de Mécanisme d’authentification
Elaboration et personnalisation puissante des
rapports
Dashboard d’analyse des accès et des
applications.
4

5. UNE SEULE SOLUTION D’ACCÈS – BIG-IP APM
Remote Access: Application Access Control:
SSL VPN Géolocalisation
Cas d’utilisation Proxy to Non-HTTP apps
► Network Access ► Citrix ICA
► Portal Access ► ActiveSync
► App Tunnels ► Outlook Anywhere
► Edge Client
BIG-IP
Access Policy Manager
Web Access Management:
Authentification des applications web
► Personnalisée
► Equipement tiers
5

6. BIG-IP ACCESS POLICY MANAGER (APM)
CONTROLE CENTRALISÉ DES ACCÉS
Fonctionnalités Principales: BIG-IP® APM Features
► Contrôle d’accès centralisé et SSO “AAA”
► Full proxy L4 –L7
► Contrôle du point d’accès
► VPE Rules – interface de programmation pour les politiques d'accès
personnalisées
6

7. PERSONNALISATION DE L’INTERFACE UTILISATEUR
Mise a jour complète de l’interface utilisateur.
► Personalisation basée sur CSS.
► Disposition de la page (gauche, centre, droite)
► Formatage de police (style/sizes)
► En-tête et pied de page
7

8. PORTAIL (WEBTOP) DYNAMIQUE POUR LES UTILISATEURS
Personnalisation et adaptation de la liste des ressources.
Compatible avec les équipements mobiles.
Barre d’outils, d’aide et bouton de Logout.
8

9. AUTHENTICATION "ALL IN ONE" & SSO
Réduit considérablement les coûts d'infrastructure et Accroît la productivité
9

10. CONCEPTION DE LA POLITIQUE D’ACCÈS
Leader sur le marché de l’Edition graphique de règles «Visual Policy Editor (VPE)»
► Flexible
► Simple à comprendre.
► Indice visuel pour l’aide à la configuration
► Représentation visuel de la politique
► Règle VPE (TCL-based) pour les fonctions avancées
► Appel de macros (fonction)
10

11. DÉPLOIEMENT SIMPLE AVEC L'UTILISATION DE L'ASSISTANT
(WIZARD DEPLOYMENT)
 Wizard de déploiement de l’ Application Access Management pour LTM, Network Access
et Web Applications Access
 Configuration pas à pas, aide contextuelle, revue et sommaire.
 Création des objets (VS, Node …) et de la politique d’accès pour le déploiement courant.
11

12. CONTRÔLE D’ACCÈS DE VOTRE DEVICE (ENDPOINT)
ASSURE UNE SÉCURITÉ FORTE DE VOS POINTS D’ACCÈS
BIG-IP APM
Autoriser, refuser ou restreindre Espace de travail protégé pour
l'utilisateur sur la base de son les périphériques non gérés :
point d'accés en fonction des
attributs suivants:
 Version du logiciel antivirus et MAJ.  Restreindre l’accès USB
 L’état du Firewall.  Cache cleaner (navigateur)
 L’accès a des applications spécifiques.  Assure qu'aucun logiciel malveillant
pénètre sur le réseau d'entreprise(AV &
FW).
12

13. INSPECTION DU POINT D’ACCÈS– INFORMATION SUR LA MACHINE
 CPU Info {ID, Name, Clock}  BIOS {Dell, Serial #}
 HDD {Model, Serial#}  NICs {Name, MAC}
 Carte mère {Model, Serial#}
13

14. BIG-IP EDGE CLIENT
Client Standalone:
 Mac, Windows, Linux
 iPhone, iPad, iTouch
 Android
 Sécurité périphérique
 Endpoint inspection
 Full SSL VPN
 Politique flexible par utilisateur
Favorise la mobilité:
 Connexion intelligente (roaming)
 Session applicative ininterrompue
Optimisation de l’accès:
 Adaptive compression
 Client-side cache
 Client-side QoS
14

15. CLIENT MOBILE POUR L’ACCÈS AUX APPLICATIONS
 Fournit un accès basé sur l’équipement et l’identité
 Politique d'accès dynamique
 Authentifier les utilisateurs
 Restriction pour les appareils non conformes
15

16. CONFIGURATION DE L’IOS POUR L’ACCÈS AUX APPLICATIONS
AVEC BIG-IP EDGE PORTAL
16

17. SURF WEB SÉCURISÉ POUR L’IPAD VIA L’EDGE CLIENT
Internet
Gateway
BIG-IP Edge
Gateway
Full SSL- with APM Internal
VPN
Tunnel Resource
17

18. PRE-LOGON CHECKS POUR LES ÉQUIPEMENTS IOS
Quatre nouvelles variables disponibles:
► session.client.mac_address
► session.client.model
► session.client.platform_version
► session.client.unique_id
Ces informations sont recueillies automatiquement et sont disponibles sur le
Edge client.
Elles peuvent facilement être combinées avec un LDAP/AD.
Amélioration du contrôle d’accès par contexte.
18

19. CHECKING THE IOS UNIQUE ID
Custom action “Device ID Check” in this access policy checks a UUID…
19

20. APP AUTO-LAUNCH
Skype est configuré pour démarrer automatiquement.
20

21. TABLEAU DE BORD
Les administrateurs peuvent visualiser rapidement le tableau de bord du BIG-IP APM
 Visualisation de l‘état de l'accès en temps réel.
 Visualisation d'un template par défaut.
 Possibilité de création d'une vue personnalisée.
 Glissez et déposez les types de statistiques souhaitées.
21

22. PROBLÈME DE SÉCURITÉ: GEOLOCATION ACCESS RISK
Besoin de bloquer l’accès à un pays ou une région.
Développe la BI en sachant d’où l’utilisateur se connecte
Politique d’accès basée sur la localisation
Suisse Data Center
22

23. RÈGLES D’ACCÈS BASÉES SUR LA GÉOLOCALISATION
► VPE – Règle de géolocalisation
► Personnalisation des messages de notification
► Localisation de la connexion du client
► Rapport
23

24. EXEMPLE DE RAPPORT DETAILLÉ
Acquérir une meilleure compréhension:
► Toutes les sessions en fonction de la géolocalisation
► Local time
► Virtual IP
► Assigned IP
► ACLs
► Applications and OSs
► Browsers
► All sessions
► Rapport personnalisé.
► Exportable.
24

25. Questions ?
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité
de l’information dont les fondateurs ont fait de leur passion leur métier :
la sécurité des systèmes d'information
25