View
1.423
Download
6
Category
Preview:
DESCRIPTION
L’objectif de cette session est de présenter les briques de sécurité qui peuvent être mises en œuvre pour sécuriser votre messagerie Microsoft Exchange Online. A travers une présentation de la Messagerie Online d’Office 365, nous aborderons les sujets suivants : - Mise en œuvre et sécurisation de la fédération d’identité avec AD FS 2.0 Update 1 - Protection de vos échanges et de vos documents avec S/MIME et AD RMS - Mise en œuvre de l’authentification forte avec SA Server de Gemalto et le proxy ADFS
Citation preview
palais des congrès Paris
7, 8 et 9 février 2012
8 Février 2012
Nicolas LieutenantOnline Services Specialist Microsoft
Briques de sécurité pour Office 365
Olivier DetilleuxMVP ForefrontvNext
Fédération Les Atouts
Authentification Forte Une nécessité
Office 365
Chiffrement et IRM La sécurité au plus
prêt de vos documents
Stratégies d’accès Externe ou Interne ?
Office 365
• Service flexible avec licence par utilisateur et paiement à l'utilisation
• Expérience Office intégrée aux services Office 365
• Services préconfigurés pour un paramétrage simplifié
• Toujours la dernière version des applications Office, incluant Office Web Apps
• Expérience utilisateur Office connue pour accéder aux services
• Stockage des documents importants et partage de l'expertise via « My Site »
• Amélioration des sites Équipe et Projet• Permissions au niveau du document pour
protéger du contenu sensible• Partage sécurisé de documents via
extranet• Recherche intersite
Office 365 Inclut…
• Messagerie instantanée et indicateur de présence
• Appel audio et vidéo de PC à PC• Communication d'un clic à partir d'Outlook, de
SharePoint et des autres applications Office• Réunions en ligne avec conférences audio et
vidéo et partage d'écran• Création d'une réunion d'un clic et participation
à partir d'Outlook• Intégration du calendrier avec Outlook et
Exchange
• 25 Go par boîte de réception • Outlook et Outlook Web App• Antivirus/anti-spam (Forefront)• Tâches, contacts et calendriers partagés• Messagerie mobile pour la plupart des
équipements y compris BlackBerry, iPhone, Nokia, Windows Phone
• Archivage des emails et respect de la conformité
Authentification
Fédération d’identité
Authentification forte
Authentification
Fédération d’identité
Options d’authentificationExpérience côté utilisateur
Microsoft Online IDs
Identités Fédérées
Sign in avec une identité dans le cloud
L’authentification s’effectue dans le cloud
Les utilisateurs ont 2 IDs : Un pour accéder aux services on-premise, et un pour les services dans le cloud
Les utilisateurs doivent fournir systématiquement leurs identifiants
Sign in avec une identités d’entreprise
L’authentification se fait on-premise
Les utilisateurs n’ont qu’une seule identités pour les 2 modes d’accès
Les utilisateurs bénéficient d’un SSO complet
Options d’authentificationConsidérations pour les administrateurs IT
Microsoft Online IDs
Identités Fédérées
Double gestion des stratégies de mot de passeUn reset de mot de passe s’effectue on-premise et dans le cloudPas d’intégration d’une authentification double facteur
Synchronisation d’annuaire nécessaireStratégie de mot de passe gérée on-PremiseReset de mot de passe seulement pour les IDs on-PremiseAuthentification double facteurs possibleNécessite la mise en oeuvre de services de fédérationMise en oeuvre de stratégies d’accès
Les ConceptsIdentity Provider (IP)
ActiveDirectory
Security Token Service (STS)
Utilisateur Demande d’authentification
Délivrance d’un jeton
Relying party /Resource provider
Fait confiance au jetondélivré par l’émetteur
Le jeton de sécurité contientdes informations de l’utilisateurPar exemple :• Nom• Appartenance des groupes• User Principal Name (UPN)• Email address• Email address du manager• N° de téléphone• D’autres valeurs d’attributs
Les jetons “authentifient” les Utilisateurs auprès des applications
ST
Signé par l’émetteur
Emetteur
ADFS v 2.0 supporte l’authentification active et passive des clients Les clients actifs intéragissent via Web Services Les clients passifs intéragissent via des requêtes Web
Le support des protocoles standards, permet l’interopérabilité avec des solutions tierces WS-* Federation
SharePoint et Office 365 nécessitent WS-* Federation v2 pour les scénarios Business avancés
SAML 2.0 SAML 1.1
Standards et Protocoles d’ADFS 2.0
Architecture: Options d’identité
• Microsoft Online IDs• Microsoft Online IDs + DirSync• Federated IDs + DirSync
Contoso customer premises
AD
Microsoft Online Directory
Sync
Identity platform
Provisioningplatform
LyncOnline
SharePoint® Online
Exchange Online
Active Directory Federation Server 2.0
Trust
Admin Portal
FederationGateway
DirectoryStore
Authentication platform
Microsoft Online Services
Fédération d’identitésFlux d’authentification (Passif/Profil Web)
`
Client(joined to CorpNet)
Authentication platformAD FS 2.0 Server
Exchange Online orSharePoint Online
Active Directory
Client Microsoft Online Services
ID Source
Logon (SAML 1.1) TokenUPN:user@contoso.comID Source: ABC123
Auth TokenUPN:user@contoso.comUnique ID: 254729
Fédération d’identitéAuthentification Active (Outlook/Active Sync)
`
Client(joined to CorpNet)
Authentication platformAD FS 2.0 Server
Exchange Online
Active Directory
Client Microsoft Online Services
User Source ID
Logon (SAML 1.1) TokenUPN:user@contoso.comSource User ID: ABC123
Auth TokenUPN:user@contoso.comUnique ID: 254729
Basic Auth CredentialsUsername/Password
Active Directory Federation Services 2.0 : Options de déploiement
• Configuration à 1 seul serveur• Ferme Active Directory Federation Services 2.0 et équilibrage de charge• Proxy Active Directory Federation Services 2.0 (pour les utilisateurs distants)
Enterprise DMZ
AD FS 2.0 ServerProxy
Internaluser
ActiveDirectory
AD FS 2.0 Server
AD FS 2.0 Server
AD FS 2.0 ServerProxy
Pré requis pour Microsoft Online Services Fédération d’identité supportée pour l’instant seulement
à travers Active Directory Federation Services 2.0 Les scénarios business Microsoft Online utilisent WS-*. WS-Trust: support pour l’authentification des clients
richesProtocoles supportés WS-*, SAML1.1 Pas de support de SAML 2.0 pour l’instant
Authentification forte pour les scénarios Web Via la page d’authentification d’Active Directory
Federation Services Proxy ou Microsoft Forefront® Unified Access Gateway SP1
Dans le détail
Domaines identiques Les domaines internes et externes sont les mêmes : Pas
d’actions particulièresSous domaine
Les domaines internes sont des sous domaines du domaine externe (par exemple, corp.contoso.com) : les domaines doivent être enregistrés dans l’ordre
Domaine Local Les domaines internes ne sont pas publiés (par exemple
contoso.local) donc ne peuvent pas être utilisés pour la fédération
Multiples domaines d’authentification Par exemple, certains utilisateurs s’authentifient avec le domaine
contoso.com, d’autres avec le domaine fabrikam.com. Ces 2 domaines doivent être dans la même forêt Active Directory : Depuis l’update 1 ADFS 1 seul service de fédération nécessaire
Multi-Forêts Pas de support pour le moment
Considérations Active Directory
Tous les utilisateurs doivent avoir un UPNLes UPNs doivent correspondre à un domaine fédéré Office 365 (pas de fédéréation avec les UPN locaux)Les utilisateurs doivent s’authentifier avec leur UPN sur les services Office 365 (ne nécessite pas un changement du type d’ouverture de session sur le poste de travail)
Règles générales
Démo : Authentification Fédérée
Authentification Forte
Stratégies d’accès
De l’importance du proxy ADFS
Authentification Forte
Le couple identifiant /mot de passe est le système le plus courant utilisé pour authentifier l’utilisateur N’offre pas la sécurité requise pour accéder à certains
services Mot de passe fixe pendant une longue durée de temps
Une nécessité de la mobilité Accès à des processus d’authentification de l’entreprise
depuis internet Contrer les risques d’attaques brute force, dictionnaire,
keylogger …
Le mot de passe n’offre pas une connexion entre l’accès physique et logique
Pourquoi l’authentification forte ?
25
L’authentification 2 facteurs utilise quelque chose que vous :
La combinaison de ces différents éléments vérifie l’identité de l’utilisateur
Comment vos utilisateurs peuvent-ils être protégés ?
26
AVEZ CONNAISSEZ
Customisation du formulaire d’authentification du proxy AD FS FormsSignIn.aspx FormsSignIn.aspx.cs
Exemple de mise en oeuvre : RSA Secure ID Gemalto SA Server InWebo
Mise en œuvre avec AD FS 2.0
27
ADFS Proxy
SA Server
Active Directory
ADFS Server
Client
Principe
user@contoso.com
password
pin
Login :
Mdp :
Otp :
SA Server Auth Request : - OTP ID
- User- Password- PIN
SA Server Auth Response : 200 OK
Logon (SAML 1.1) TokenUPN:user@contoso.comID Source: ABC123
Démo : Authentification Forte Gemalto SA Server
Stratégies d’accès
Permet de définir des droits d’accès à une “relying party” en fonction de la valeur de “claims”
Nouveauté AD FS Update 1 pour les proxy AD FS : Headers Office 365 interprétés en claims
X-MS-Forwarded-Client-IP : adresse IP Publique du client
X-MS-Client-Application : Protocole utilisé par le client
X-MS-Client-User-Agent : Type de périphérique utilisé par le client
X-MS-Proxy : nom du proxy traversé lors de l’accès X-MS-Endpoint-Absolute-Path : Nom du service AD
FS qui reçoit la requête
AD FS Issuance Authorization Rules
31
Exemple d’utilisation : Bloquer tous les accès externes SAUF les accès
Web
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"]) &&NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip",Value=~"\b84\.83\.82\.81\b"]) &&NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/"])=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");
AD FS Issuance Authorization Rules
32
Démo : Stratégies d’accès
Protection des échanges
S/MIME AD RMS
Protection des échanges
S/MIME
S/MIME (Secure / Multipurpose Internet Mail Extensions) est une norme de cryptographie et de signature numérique de courriel encapsulés en format MIME. Elle assure l'intégrité, l'authentification, la non-répudiation et la confidentialité des données.S/MIME utilise des certificats numériques x.509 pour chiffrer les courriels. http://fr.wikipedia.org/wiki/S/MIME
S/MIME peut être utilisé à partir du produits Microsoft Outlook
Qu’est ce que S/MIME?
37
Office 365 n’héberge pas les fonctions S/MIME.
Office 365 ne propose pas de solution de dépôt de clé, la gestion des clés, ou encore de services d'annuaire clés
L’outil de synchronisation d’annuaire DirSync ne synchronise pas l’attribut AD userSMIMECertificate dans Office 365.
Outlook support S/MIME mais pas OWA
Les utilisateurs doivent stocker dans les contacts Outlook les clés publiques des destinataires à qui ils souhaitent envoyer des mails chiffrés
Il est possible de configurer Outlook pour récupérer directement les contact dans l’annuaire AD
S/MIME avec Office 365
S/MIME en démo
AD RMS
Rights Management Services est un composant Windows qui permet aux applications de protéger le contenuProtéger = Chiffrer et Droits d’Usages (DRM) http://technet.microsoft.com/en-us/library/
cc771627.aspx http://en.wikipedia.org/wiki/
Rights_Management_Services
Embarqué dans Windows Server depuis 2003. Dernière version dans Windows Server 2008 R2
RMS est intégré dans les produits Microsoft Clients Office (Excel, Word, PowerPoint, Outlook) SharePoint Exchange (en tant qu’IRM)
Qu’est ce que RMS ?
41
RMS intégré en tant qu’Information Rights Management (IRM) dans Exchange 2010 SP1 (inclus aussi dans OWA) Exchange Online in Office 365
Configuration à travers RMS Server et les cmdlets Exchange PowerShell
Les utilisateurs utilisent RMS dans les clients Office et OWA
Exchange Server ouvre automatiquement les contenus protégés par RMS pour permettre :
Transport routing Indexation pour les recherches Affichage dans OWA Communication unifiée
RMS dans Exchange
Protection persistente Protège vos informations sensibles où qu’elles soient stockées
ou envoyées Les droits d’usage sont vérouillés au niveau du document Protection en ligne ou hors ligne, en dehors ou à l’intérieur de
l’entreprise
Contrôle granulaire Les utilisateurs appliquent les protection directement lors de
l’écriture d’un mail Les entreprises peuvent créer des modèles de sécurité. Par
exemple : "Confidentiel—Lecture Seule" Limite l’accès aux fichiers aux seuls utilisateurs autorisés
Une protection granulaire qui suit les données
Information Rights Management (IRM) fournit une protection permanente aux documents pour contrôler qui peut accéder, forwarder, imprimer ou copier
Topologies Supportées
RMS est installé dans la foret de compte
Exchange dépend de RMS pour chiffrer et déchiffrer le contenu
Intégration possible des modèles RMS dans Exchange
IRM On-premise
Contoso Inc.
AD RMS Server
Exchange Server 2010
IRM avec Exchange Online
Contoso Inc.
AD RMS Server
Exchange Online
Embedded RMS Server
Exchange Online: • Utilisation d’un serveur embarqué
pour chiffrer et déchiffrer• Nécessite un service RMS on-Premise
pour gérer les modèles de sécurité
Outlook
OWA and Mobile
Configurer RMS avec Exchange Online
Etape 1 : Configurer RMS on-premise, et créer un modèle RMS Par exemple : Les membres du CODIR peuvent lire les mails
confidentiels Seuls les membres du groupe Projet XY peuvent lire et imprimer
Deux concepts clés : Les modèles RMS
Options que les utilisateurs peuvent sélectionner pour protéger un courrier
Définissent des droits
Trusted Publishing Domain Vu de très haut : c’est la clé privée pour le chiffrement du
contenu
Etape 2 : Exporter le TPD du serveur RMS on-Premise
Configurer un modèle RMS
Juste quelques cmdlets :
$LiveCred = Get-Credential –Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic –AllowRedirection
Import-PSSession $Session
Connection à Exchange Online via PowerShell
Toujours Via Powershell : Importation du couple TPD / Modèles
Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path "<Path to exported TPD, i.e., c:\tpd.xml>" -ReadCount 0))
-Name "TPD Name“ -ExtranetLicensingUrl https://<external rms cluster hostname>/_wmcs/licensing
-IntranetLicensingUrl https://<internal rms cluster hostname>/_wmcs/licensing
Etape 3: Importer le TPD dans Exchange Online
Par défaut, les modèles ne sont pas visibles pour les utilisateurs
Via powerShell : On affiche tous les modèles chargés Get-RMSTemplate -Type:All
On rend visible, càd “Distributed”, le modèle voulu Set-RMSTemplate -Identity <template identity> -
Type:Distributed
Etape 4 : Rendre les modèles visibles par les utilisateurs
Il suffit d’une commande powerShell Set-IRMConfiguration -InternalLicensingEnabled
$true
Etape 5 : Activer IRM dans Exchange Online
RMS en démo
Ce qu’il faut retenir
La fédération d’identité avec Office 365 délègue l’authentification à votre infrastructure interne.
La possibilité d’intégrer une authentification forte pour les servicesWeb
Ce qu’il faut retenir
La possibilité de protéger votre contenu avec S/MIME et RMS
Un contrôle d’accès en fonction de la localisation des PC
Merci
Avez-vous des questions ?
Recommended