810 likes | 1.09k Views
Le futur de la gamme de produits de sécurité Forefront. Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France http://blogs.technet.com/stanislas. Agenda. Introduction Les défis en terme de sécurité & d’accès Vue d’ensemble de la gamme Forefront Forefront Stirling
E N D
Le futur de la gamme de produits de sécurité Forefront Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France http://blogs.technet.com/stanislas
Agenda • Introduction • Les défis en terme de sécurité & d’accès • Vue d’ensemble de la gamme Forefront • Forefront Stirling • Les autres produits Forefront • Forefront Client Security v2 • Forefront Security for Servers • Forefront Threat Management Gateway • Synthèse • Ressources utiles
Agenda • Introduction • Les défis en terme de sécurité & d’accès • Vue d’ensemble de la gamme Forefront • Forefront Stirling • Les autres produits Forefront • Forefront Client Security v2 • Forefront Security for Servers • Forefront Threat Management Gateway • Synthèse • Ressources utiles
Sécurité & accès, les défis actuels • Menaces en constante évolution • Plus sophistiquées • Volume en augmentation • Motivées par le profit • Sécurité des SI plutôt fragmentée • De nombreux produits • Faible interopérabilité • Manque d’intégration • Administration et déploiements difficiles • Consoles multiples • Faible coordination entre le reporting et l’analyse • Coût et complexité souvent élevés
Vue d’ensemble de la gamme Microsoft Forefront aujourd’hui • Protection du périmètre • ISA Server 2006 • Intelligent Application Gateway 2007 • Protection des serveurs de collaboration • Forefront Security for Exchange • Forefront Security for SharePoint • Forefront Security for OCS • Forefront Management Console • Protection des systèmes • Forefront Client Security Proxy Web Reverse Proxy VPN Antivirus (multi moteurs) & Filtrage de contenu Antivirus Antispyware + évaluation de sécurité
Évolution de la gamme Forefront(les petits nouveaux qui arrivent) • Protection du périmètre • Forefront Threat Management Gateway • Forefront Unified Access Gateway • Protection des serveurs de collaboration • Forefront Security for Exchange v11 • Forefront Security for SharePoint v11 • Protection des systèmes • Forefront Client Security v2 • Et surtout
Agenda • Introduction • Les défis en terme de sécurité & d’accès • Vue d’ensemble de la gamme Forefront • Forefront Stirling • Les autres produits Forefront • Forefront Client Security v2 • Forefront Security for Servers • Forefront Threat Management Gateway • Synthèse • Ressources utiles
Objectif de Forefront Stirling • Permettre une protection unifiée de votre Système d’Information • Quelques exemples pour illustrer tout ça
Exemple 1 : situation actuelle(ou presque vu qu’IIS est plutôt robuste depuis sa version 6.0 ;-) ) WEB Téléchargement de logicielillégal Protection périmétrique Code d’exploitationd’IISconnu WEB Utilisation du serveur pour distribuer des logicielsillégaux Descente d’outils de hacking IIS oublié, pas à jour Serveur Web Serveur de stockage Pirate
Canal d’évaluations de sécurité (Security Assessments Channel) Exemple 2 : avec Stirling Compromission Utilisateur: IIS-Admin FidélitéMoyenne GravitéElevée Expiration : Mer Alerte Administrateurde la sécurité ForefrontClient Security Compromission Ordinateur IIS-OLD FidélitéElevée GravitéElevée Expiration: Mer Compromision Ordinateur Storage-Server FidélitéElevé GravitéMoyenne Expire: Mer Vulnérable Ordinateur IIS-OLD FidélitéElevée GravitéElevée Expiration : Mer Compromission Ordinateur IIS-OLD FidélitéElevée GravitéElevée Expiration : Mer FCS détecteque le serveur IIS n’est pas à jour Quarantaine Analyses antimalware fréquentes Bloquer WEB FCS détecte de multiples logicielsmalveillantssur le serveur IIS Stirling Core TMG détecteune exploitation ciblant la machine IIS FCS marquel’utilisateursur le serveur IIS commecompromis Protection périmétrique Réinitialiser le compte Bloquer Email Forefront TMG détecteuneutilisation excessive du réseausur la machine de stockage Code d’exploitationd’IISconnu Forefront Server for: Exchange, SharePoint OCS NAP Active Directory Téléchargement de logicielillégal WEB Descente d’outils de hacking Utilisation du serveur pour distribuer des logicielsillégaux IIS oublié, pas à jour Serveur Web Serveur de stockage Pirate
Réponse dynamique définie par stratégie Alerte Audit Analyse Protection
Réponse dynamique définie par stratégie • Objectifs avec Forefront Stirling : • Automatiser un processus manuel souvent existant • Accélérer l’application du processus • Faire une abstraction du niveau de détails et se concentrer sur l’évènement/alerte en terme de : • Fidélité • Gravité • Une politique de réponse par défaut est présente et modifiable
Forefront « Stirling » est une infrastructure comprenant… • Un serveur avec une console d’administration centralisée et de supervision • le serveur Core Forefront Stirling • Les prochains produits de la gamme Forefront • Antimalware pour la protection des systèmes • Antimalware pour la messagerie • Antimalware pour portail collaboratif • Passerelle de sécurité • Des serveurs assurant la conformité des postes • Serveurs de mise à jour • Serveurs de politique réseau
Produits Forefront intégrés avec Forefront Stirling • Dans la version actuelle (beta 2) • Forefront Threat Management Gateway • Forefront Security for Exchange v11 • Forefront Security for SharePoint v11 • Forefront Client Security v2 • Actuellement il n’y a pas encore d’intégration pour • Forefront Security for Office Communication Service • Forefront Unified Access Gateway
Forefront Stirling : principe Administration / Supervision Réponse Dynamique (en fonction de la gravité et la fidélité) Remontéeet partage d’informations « v2 »
Console Forefront Stirling • 2 usages principaux • Gestion des stratégies Stirling • Surveillance et gestion de rapports • Autres usages • Investigation
Modèle de gestion unifiée • Modèle de gestion par stratégies • Définition de stratégies de sécurité uniques qui s’appliquent sur plusieurs cibles • Un seul moteur de règles • Calcul du résultat d’application des politiques à l’aide d’un outil “RSOP” dans la console • Découverte centralisée • Utilisateurs depuis l’Active Directory • Machines depuis System Center Operations Manager • Gestion simplifiée des biens (assets : machines ou utilisateur protégés par un logiciel Forefront) • Regroupement flexible • Recherche sur critères multiples et dynamique des cibles
Assets et groupes dans Stirling • Asset = ordinateur ou utilisateur • Un groupe d’Assets est défini par une requête écrite en GDL (Group DefinitionLanguage) • le contenu d’un groupe est donc dynamique • Exemples de requêtes • Fsys.ServerRole=Exchange • Fsys.ADOU=‘OU=pcportables, DC=mondomaine,DC=com’
Stratégies Stirling • Les stratégies Stirling permettent de définir les paramètres ou configuration à déployer pour les postes managés ou des utilisateurs • Une stratégie est constituée de une ou plusieurs unités de stratégies (policy unit) • Il existe des unités de stratégies relatives à FCS v2, au pare-feu Windows, à NIS, à NAP… • Une fois une stratégie définie, il faut la lier à un ou plusieurs groupes (requête GDL) • Une machine ou un utilisateur peuvent donc être concernés par plusieurs politiques. • Il existe une notion de priorité des stratégies
Déploiement des stratégies • Forefront Stirling distribue ses stratégies aux ordinateurs en leur envoyant un fichier de règles (Management Pack) SCOM 2007 • Répertoire C:\Program Files\System Center Operations Manager 2007\Health Service State\Management Packs • Stratégies Stirling vs Stratégies de groupes Active Directory • Vitesse d’application bien plus rapide sur Stirling • GPO Active Directory : 90 minutes par défaut • Stratégies Stirling via SCOM 2007 R2 : quelques minutes
PowerShell dans Stirling • La console “Stirling” s’appuie à 100% sur PowerShell • Tout ce qui est visible sur l’interface graphique est “scriptable” • Permet d’automatiser les tâches d’administration de la sécurité • Plus de 100 Cmdlets disponibles • Gestion des groupes (création, modification, suppression) • Génération de rapports…
Agenda • Introduction • Les défis en terme de sécurité & d’accès • Vue d’ensemble de la gamme Forefront • Forefront Stirling • Les autres produits Forefront • Forefront Client Security v2 • Forefront Security for Servers • Forefront Threat Management Gateway • Synthèse • Ressources utiles
Forefront Client Security v2 • FCS v2 est le successeur de Forefront Client Security • FCS v2 fonctionne avec Forefront Stirling pour : • Le déploiement des stratégies de configuration • La surveillance • La génération de rapports • FCS v2 ne dispose pas de console d’administration spécifique, il nécessite la console Forefront Stirling
Nouveautés FCS v2 • Technologies déjà présentes en version 1 • Antimalware (AM) – antivirus et antispyware • Security State Assessment (SSA) • Contrôle de conformité (SHA NAP) • Nouvelles fonctionnalités • Configuration du pare-feu de Windows • Network Inspection System (NIS) • « Sorte d’IPS » s’appuyant sur un système de modélisation des vulnérabilités connues • Système de gestion des logiciels autorisés (ASM) • Aide à la constitution de “listes vertes” • Intégration avec “Stirling”
Protection unifiée: couverture Réactif Antivirus/ Antispyware Blocage, suppression des logiciels malveillants Network Inspection System (NIS) Aide à la protection contre les Zero-day Forefront “Stirling” RéponseDynamique • Collaboration avec les autres produits Forefront Évaluation des vunérabilités (SSA) • Réduction des surfaces d’attaque Pare feu personnel Restriction des actions applicatives Authorized Software Management (ASM) Aide à la protection contre les Zero-day Proactif
Network Inspection System (NIS) • Détection à base de signatures de trafic malveillant • Basé sur un projet de recherche Microsoft (GAPA) • Generic Application Protocol Analyzer • Distribue des signatures de vulnérabilités (ex: MS08-33), et non des signatures d’“exploits” (type Snort) • A chaque sortie de bulletin de sécurité on aura • La mise à jour de sécurité ET les signatures NIS associées • Permet de faire “gagner du temps” aux responsables sécurité lors de la mise à disposition de nouveaux correctifs (« Tuesday Patch »…) • Disponible sur Forefront TMG et FCS v2
Architecture FCS v2 Infrastructure nécessaire Stratégie(s) Stratégie(s) Microsoft Update Rapports Evènements Groupes Network Access Protection (NAP) SIGNATURE, UPDATES Forefront Client Security v2
Gestion centralisée • Par défaut, FCS v2 permet à l’utilisateur de modifier la configuration de la protection • L’administrateur peut restreindre l’interface de l’utilisateur de manière centralisée grâce à une stratégie Stirling
Agents présents sur le client • SCOM 2007 Agent • Seulement un véhicule de "transport" • Reçoit les politiques de sécurité et les demandes de tâches • Envoie des évènements vers la console Stirling • Sur le poste client on retrouve des infos sur les mises à jours • Dans le journal des événements • Dans le répertoire cité dans un slide précédemment • Forefront System Agent (aka Stirling Agent) • C’est un "dispatcher" • Il coordonne les communications entre le serveur Stirling Core et les technonologies de protection • Il communique avec l’agent SCOM et les APTs (Asset Protection Technology) • Asset Protection Technology • Ils font le “travail” • Forefront Host Protection (FCS) • Pare-feu Windows • Stratégie de groupe (GPO)…
Agenda • Introduction • Les défis en terme de sécurité & d’accès • Vue d’ensemble de la gamme Forefront • Forefront Stirling • Les autres produits Forefront • Forefront Client Security v2 • Forefront Security for Servers • Forefront Threat Management Gateway • Synthèse • Ressources utiles
Forefront Security for ExchangeVersion 11 • Antivirus et antispyware • Quelques changements dans le nombre de moteurs • Nouveau : gestion de l’anti spam • Rappel : la v10 ne fait que l’antivirus et le filtrage de contenu • Intégration avec Exchange HostedFiltering • Solution hébergée de filtrage (antivirus, anti spam, filtrage de contenu) • Solution avec niveaux de services contractuels