Wallix AdminBastion 4
Carte d’identité
Les solutions de WALLIX sont distribuées à travers un réseau partenaires certifiés sur toute la zone EMEA...
Quelques références
Collectivités locales
- Mairie : Bordeaux, Grenoble, Alès, Boulogne
Billancourt, les Mureaux, Nanterre...
Les nouveaux besoins et
contraintes des entreprises
Les administrateurs doivent apprendre les
mots de passe, les retenir et en changer
régulièrement
Les post-it se multiplien...
Le turnover des équipes IT
L’un de mes administrateurs s’en va. Où sont ses mots de passe ?
Il faut recenser ses accès, le...
L’incident survient
La base de données clients est tombée suite à une
intervention de maintenance durant une migration de
...
Les intervenants externes…
Je n’ai aucune visibilité sur leurs actions de mes prestataires
Les connexions aux serveurs, éq...
La gestion des accès
avec Wallix AdminBastion
Concepts
Traçabilité
Contrôle d’accès
Authentification unique
Serveurs Windows
Equipements
réseau
Applicatifs
Administrate...
Protocoles supportés
EQUIPEMENTS /
APPLICATIFS CIBLES
RDP
RDP
VNC
Autorisation (ou non) des fonctions SSH
• Shell Session
...
Enregistrement des sessions
Restitution du contenu de la session via une vidéo
chapitrée au format Flash
Récupération auto...
Sessions Windows : OCR & flux clavier
Obtenir automatiquement
d’une session Windows
enregistrée …
Les informations
pertine...
Contrôle des flux SSH
Dans l’exemple ci-dessus, l’expression « passwd » figure
dans la liste des commandes interdites
La d...
Visualisation temps réel
Interruption possible de la session en cas
d’actions «inappropriées» de la part de l’utilisateur....
Support natif http/https
WAB vous permet de contrôler et de
tracer les accès aux interfaces web
d’administration d’équipem...
Applications client-serveur
Serveur
Windows TSE
Client RDP Clients
Avec injection dans le client applicatif de
l’identifia...
Contrôle d’accès
UTILISATEUR
Login A
Password B Login : root
Password : yyy
Login : administrateur
Password : xxx
Login : ...
WAB permet d’appliquer une politique de gestion de mots
de passe des comptes cibles avec notamment le
changement automatiq...
Architecture interne
OPTION 1
WAB héberge les bases de données
utilisateurs, les ACL et les bases
équipements
OPTION 2
WAB...
Cas concret d’utilisation
Equipements ACLs Utilisateurs Equipements ACLs Utilisateurs
INTERNET
Administrateur
LAN Producti...
LAN
EngineeringNœud de
visualisation
Accès
distant
Firewall
WAB en DMZ
Serveurs
SCADA
Serveurs de
Communication
SCADA Netw...
Authentification forte
Technologies
• RSA SecurID
• ActivIdentity
• Autres
En option
Support des certificats X509v3
LAN
Se...
Reporting et Alertes
REPORTING GRAPHIQUE SUR LES CONNEXIONS
Export des données au format csv pour
exploitation ultérieure
...
WAB - Facilité de déploiement
Aucun agent à installer sur les serveurs ou sur les équipements
Gain de temps de déploiement...
Facilité d’administration
Interface Web (https) en anglais et en français
Compatible IE7+ et Firefox
Interface «CLI» & Ser...
Appliances Physiques
Appliance ou software
Package logiciel
11 modèles disponibles : du WAB 5 au WAB 2000
Disponible sous ...
Appliances WAB
Support Silver
• Accès aux mises à jour mineures & correctifs logiciels
• 2 interlocuteurs accrédités pour ...
Provisionning via Services Web
Provisionning :
des utilisateurs
des comptes
des équipements cibles
des droits d’accès …
Ce...
Réponses aux besoins
Gestion des mots de passe
administrateurs
Turnover des équipes IT
“POST-MORTEM” EN CAS D’INCIDENT CON...
Questions
Merci de votre attention !
Wallix - Audit & traçabilité des comptes à privilèges
Prochain SlideShare
Chargement dans…5
×

Wallix - Audit & traçabilité des comptes à privilèges

483 vues

Publié le

Les utilisateurs à privilèges sont toutes les personnes ayant des droits sur un réseau informatique : ils peuvent être des administrateurs internes ou des prestataires externes assurant l’infogérance ou la maintenance du SI à distance.
Le manque de contrôle de ces utilisateurs privilégiés devant intervenir sur les infrastructures informatiques des entreprises augmente la menace autour des données sensibles et confidentielles. Parallèlement, les normes règlementaires comme ARJEL, Bâle, SOX, PCI DSS, Loi sur les données de santé hébergées, se multiplient et contraignent les entreprises à une conformité permanente et absolue.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
483
Sur SlideShare
0
Issues des intégrations
0
Intégrations
108
Actions
Partages
0
Téléchargements
4
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Wallix - Audit & traçabilité des comptes à privilèges

  1. 1. Wallix AdminBastion 4
  2. 2. Carte d’identité Les solutions de WALLIX sont distribuées à travers un réseau partenaires certifiés sur toute la zone EMEA et CIS Wallix répond aux problématiques de compliance (ISO27001, PCI DSS, Bâle II, SOX, Arjel) via une solution de traçabilité des comptes à privilèges Stratégie de vente et solutions Métier Editeur européen spécialisé dans la gestion des utilisateurs à privilèges et le contrôle d’accès Positionné sur le marché du PUM (Privileged User Management) et du PAM(Privileged Access Management) Société d’origine française, basée à Paris Fondée en 2003 par Jean-Noël de Galzain Chiffres et présence 50 collaborateurs Bureaux commerciaux au Royaume-Uni et aux USA Présence via des distributeurs à valeur ajoutée en Italie, Allemagne, Benelux, Suisse, Russie, GCC, Asie du Sud- Est et au Maghreb
  3. 3. Quelques références Collectivités locales - Mairie : Bordeaux, Grenoble, Alès, Boulogne Billancourt, les Mureaux, Nanterre, Châteauroux, Suresnes … - Communauté Urbaine de Bordeaux - Conseil Général des Hauts de Seine - Conseil Général de l’Essonne - Conseil Général de la Sarthe - Conseil Général du Gard - Conseil Général de l’Oise … Administration / Education / Santé - CNAM TS - Ministère de l’Ecologie - Ministère de l’Economie - Météo France - INSERM - BRGM - INERIS - IRSN - DILA - Gendarmerie Nationale - Musée du Quai Branly - Hôpitaux de Carcassonne, Poissy St-Germain, St-Quentin, Mantes, Libourne, Niort, du Sud Parisien … - SIIH 59/62 … Industrie / Energie / Transport - PSA Peugeot Citroën - Vinci - EDF - ST Microelectronics - Thales - Boost Aerospace - Arcelor Mittal - SPIE - SPEIG - Latécoère - Geodis - Régie des Transports Marseillais - Aéroport de Marseille Provence … Banque / Assurance - MGEN / Choregie - GMF - Crédit Agricole SA - Groupama - Crédit Agricole Cards & Payments - Amundi - Casden - Harmonie Mutualité - Mutuelle Familale - Verlingue - Swiss Life … Services / Luxe / Medias - LVMH - Hermes - M6 - Alain Afflelou - Wolters Kluwer - Maisons du Monde - Beaumanoir … Télécom / Hébergement - SFR - TDF - GRITA - Pharmagest - Coreye / Pictime - OPT (Polynésie Française) - Mipih … International - Maroc Telecom - Millicom (Luxembourg) - Naxoo / Télégenève (Suisse) - Tigo (El Salvador, Ile Maurice, RDC …) - RTBF - Université du Luxembourg - Service Public de Wallonie - Wintershall (BASF) …
  4. 4. Les nouveaux besoins et contraintes des entreprises
  5. 5. Les administrateurs doivent apprendre les mots de passe, les retenir et en changer régulièrement Les post-it se multiplient autour de l’écran ou sur le bureau Les mots de passe sont gérés à droite et à gauche, parfois ils restent dans la tête de l’administrateur ! Mots de passe administrateurs Comment gérer au mieux l’authentification de mes administrateurs ?
  6. 6. Le turnover des équipes IT L’un de mes administrateurs s’en va. Où sont ses mots de passe ? Il faut recenser ses accès, les désactiver et les changer sur tous les équipements Il faut communiquer les changements en interne Comment s’assurer qu’il ne pourra plus accéder au SI de l’entreprise ? Les employés qui volent ou divulguent les données d’entreprise le font à l’occasion de leur départ vers un concurrent (70 % des cas) ou de la création de leur propre affaire (23 % des cas)
  7. 7. L’incident survient La base de données clients est tombée suite à une intervention de maintenance durant une migration de version Pas de responsable et pas de moyen de le désigner ! Difficile de retrouver la cause D’où vient l’erreur ? Peut-on rejouer le scénario ? Comment retrouver l’origine de l’incident ? ORIGINE D’UN INCIDENT ET TRAÇABILITÉ DES ACTIONS
  8. 8. Les intervenants externes… Je n’ai aucune visibilité sur leurs actions de mes prestataires Les connexions aux serveurs, équipements et applicatifs sont multiples : je ne sais pas qui se connecte, quand et comment Je dois contrôler leurs accès et les cadrer en cas d’interventions ponctuelles et pouvoir changer de prestataire si nécessaire Comment m’assurer que les accès sont bien contrôlés ? Comment remonter à l’origine d’un incident ? Qui est responsable ? GESTION DES CHANGEMENTS DE PRESTATAIRES
  9. 9. La gestion des accès avec Wallix AdminBastion
  10. 10. Concepts Traçabilité Contrôle d’accès Authentification unique Serveurs Windows Equipements réseau Applicatifs Administrateurs Développeurs Responsable sécurité Gestion des mots de passe ciblesPrestataires externes Serveurs Unix/Linux
  11. 11. Protocoles supportés EQUIPEMENTS / APPLICATIFS CIBLES RDP RDP VNC Autorisation (ou non) des fonctions SSH • Shell Session • Exécution de commandes distantes • SCP (upload & download) • X11 Forwarding SSHv2 https SFTP SSHv2 http/https SFTP Telnet rlogin UTILISATEUR
  12. 12. Enregistrement des sessions Restitution du contenu de la session via une vidéo chapitrée au format Flash Récupération automatique d’informations sur le contenu de la session SESSIONS RDP (WINDOWS & APPLICATIFS) Conservation des lignes de commande entrées par l’utilisateur et du “retour” de l’équipement Informations disponibles dans un fichier texte ou bien dans un fichier semi-vidéo SESSIONS SSH/TELNET
  13. 13. Sessions Windows : OCR & flux clavier Obtenir automatiquement d’une session Windows enregistrée … Les informations pertinentes ! Qui peuvent également être exploitées dans un SIEM !
  14. 14. Contrôle des flux SSH Dans l’exemple ci-dessus, l’expression « passwd » figure dans la liste des commandes interdites La détection de l’expression « passwd » déclenche l’envoi d’une alerte et/ou la coupure de la connexion.
  15. 15. Visualisation temps réel Interruption possible de la session en cas d’actions «inappropriées» de la part de l’utilisateur. Répond aux contraintes réglementaires du type « 4 yeux ». Permet à un administrateur du WAB de visualiser les sessions RDP & SSH actives sur le WAB
  16. 16. Support natif http/https WAB vous permet de contrôler et de tracer les accès aux interfaces web d’administration d’équipements ou d’applications. Permet de tracer les connexions vers les applications métiers exploitant une interface web Evite d’avoir à installer une solution spécifique pour tracer les connexions vers des interfaces Web Support des authentifications de type http ainsi que par formulaire
  17. 17. Applications client-serveur Serveur Windows TSE Client RDP Clients Avec injection dans le client applicatif de l’identifiant et du mot de passe du compte applicatif cible Choix sur l’interface WAB du compte applicatif cible (ex : root@vmware_ESX3) Lancement par le WAB du client applicatif sélectionné
  18. 18. Contrôle d’accès UTILISATEUR Login A Password B Login : root Password : yyy Login : administrateur Password : xxx Login : admin Password : zzz Sélecteur affichant les couples login/équipements accessibles : root@vmware_esx1 admin@cisco55 administrateur@win75 Récupération par le WAB du mot de passe du compte cible
  19. 19. WAB permet d’appliquer une politique de gestion de mots de passe des comptes cibles avec notamment le changement automatique des mots de passe Il est possible de déterminer la périodicité du changement de mots de passe ainsi que la taille minimale des mots de passe. Cela permet de répondre aux exigences réglementaires concernant les mots de passe des comptes critiques. Environnements : serveurs Windows, Unix/Linux, Cisco (IOS) Gestion des mots de passe cibles
  20. 20. Architecture interne OPTION 1 WAB héberge les bases de données utilisateurs, les ACL et les bases équipements OPTION 2 WAB se connecte à un annuaire extérieur* pour l’authentification utilisateur * Annuaires LDAP/LDAPS, Active Directory, Radius INTERNET Equipements ACLs Utilisateurs Journal des connexions Enregistrements LAN AD/LDAP/RADIUS Serveurs OPTION 3 Les utilisateurs du WAB sont gérés directement dans l’annuaire entreprise
  21. 21. Cas concret d’utilisation Equipements ACLs Utilisateurs Equipements ACLs Utilisateurs INTERNET Administrateur LAN Production DMZ WAB MASTER SLAVE VPN CRM Mail Intranet Réplication
  22. 22. LAN EngineeringNœud de visualisation Accès distant Firewall WAB en DMZ Serveurs SCADA Serveurs de Communication SCADA Network RDP/SSH - Access Control - Single Sign-On - RDP/SSH session recording - Shared account access attributability - Real time session analysis & alerting RDP/SSH/Telnet/VNC WAB Dans un environnement SCADA Serveurs SCADA
  23. 23. Authentification forte Technologies • RSA SecurID • ActivIdentity • Autres En option Support des certificats X509v3 LAN Serveurs DMZ Equipements ACLs Utilisateurs Serveur Radius Serveur RSA SecurID Prestataire RSA RSA
  24. 24. Reporting et Alertes REPORTING GRAPHIQUE SUR LES CONNEXIONS Export des données au format csv pour exploitation ultérieure Alertes temps réel (mail & logs) paramétrables : Détection de chaines de caractères interdites (SSH) Echec d’authentification sur le WAB Echec de connexion sur le compte cible … Envoi par mail d’un rapport quotidien sur les connexions
  25. 25. WAB - Facilité de déploiement Aucun agent à installer sur les serveurs ou sur les équipements Gain de temps de déploiement Intégration aisée dans l’infrastructure existante Baisse du coût de possession (TCO) Aucune formation nécessaire pour les utilisateurs de WAB WAB ne change pas les méthodes de travail Conservation des outils actuels (client TSE/RDP, PuTTY, WinSCP, navigateur Web, ligne de commande …)
  26. 26. Facilité d’administration Interface Web (https) en anglais et en français Compatible IE7+ et Firefox Interface «CLI» & Services Web «Provisionning» des utilisateurs, des équipements, des droits… par des applications tierces (IAM …) Possibilité de définir des profils avec des droits spécifiques (ex : auditeur) Possibilité de définir des périmètres d’actions par administrateur du WAB • en terme d’utilisateurs et/ou de comptes cibles
  27. 27. Appliances Physiques Appliance ou software Package logiciel 11 modèles disponibles : du WAB 5 au WAB 2000 Disponible sous la forme d’appliance virtuelle VMWare
  28. 28. Appliances WAB Support Silver • Accès aux mises à jour mineures & correctifs logiciels • 2 interlocuteurs accrédités pour contacter le support. • Support téléphonique & e-mail : Prise en main des tickets en J + 1 • Disponibilité : du lundi au vendredi de 9h00 à 19h00 (GMT+1) • Garantie matérielle : Intervention en J+1 * • Protection des données ** Support Gold • Accès aux mises à jour mineures & correctifs logiciels • 4 interlocuteurs accrédités pour contacter le support. • Support téléphonique & e-mail : Prise en main des tickets en 8 H • Disponibilité : 7 jours sur 7 de 9h00 à 19h00 (GMT+1) • Garantie matérielle : Intervention en H+4 * • Protection des données ** Support Platinum • Accès aux mises à jour mineures & correctifs logiciels • 6 interlocuteurs accrédités pour contacter le support. • Support téléphonique & e-mail : Prise en main des tickets en 2 H • Disponibilité : 7 jours sur 7 - 24 heures sur 24 (GMT+1) • Garantie matérielle : Intervention en H+2 * • Protection des données ** * Toutes nos appliances bénéficient d’une garantie matérielle comprenant un service d’intervention sur site. La demande d’intervention est effectuée par nos services dès la qualification de l’incident par nos équipes techniques. ** Cette option, incluse dans toutes nos offres de support, permet aux clients de garder le contrôle de leurs données sensibles en conservant leurs disques durs lors du remplacement de matériels défectueux. Appliance Processeur RAM Disques Alimentation WAB 5 – 15 Pentium G620 (2,6 GHz) – Dual Core 4 Go 500 Go utile Simple WAB 25 & 50 Pentium 1407 (2,8 GHz) - Dual Core 4 Go RAID 1 - 500 Go utile – Hot-plug Redondante - Hot-plug WAB 100 – 200 Xeon E5-2430 (2,2 GHz) - Hexa Core 8 Go RAID 1 - 1 To utile – Hot-Plug Redondante - Hot-plug WAB 400 – 600 Xeon E5-2450 (2,1 GHz) - Octo Core 16 Go RAID 10 - 2 To utile – Hot-Plug Redondante - Hot-plug WAB 800 – 1000 2 * Xeon E5-2450 (2,1 GHz) – Octo Core 32 Go RAID 5 - 14 To utile – Hot-Plug Redondante - Hot-plug WAB 2000 2 * Xeon E5-4620 (2,2 Ghz) - Octo Core 64 Go RAID 10 - 18 To utile (SAS) – Hot-plug Redondante - Hot-plug
  29. 29. Provisionning via Services Web Provisionning : des utilisateurs des comptes des équipements cibles des droits d’accès … Ces informations peuvent être synchronisées automatiquement entre une solution centrale de type IAM et un WAB Ce qui permet une importante diminution du TCO du WAB. Permet le « provisionning » du WAB via des services Web de type SOAP
  30. 30. Réponses aux besoins Gestion des mots de passe administrateurs Turnover des équipes IT “POST-MORTEM” EN CAS D’INCIDENT CONTRÔLE DES PRESTATAIRES PLUS QU’UN SEUL MOT DE PASSE À CONNAITRE ! IL SUFFIT DE DÉSACTIVER LE COMPTE AU NIVEAU DE WAB Toutes les actions peuvent être enregistrées et auditées Wab contrôle les accès et enregistre les actions
  31. 31. Questions Merci de votre attention !

×