Wallix AdminBastion 4

Carte d’identité

Les solutions de WALLIX sont distribuées à travers un réseau partenaires certifiés sur toute la zone EMEA et CIS

Wallix répond aux problématiques de compliance (ISO27001, PCI DSS, Bâle II, SOX, Arjel)

via une solution de traçabilité des comptes à privilèges

Stratégie de vente et solutions

Métier

Editeur européen spécialisé dans la gestion des

utilisateurs à privilèges et le contrôle d’accès

Positionné sur le marché du PUM (Privileged User

Management) et du PAM(Privileged Access Management)

Société d’origine française, basée à Paris

Fondée en 2003 par Jean-Noël de Galzain

Chiffres et présence

50 collaborateurs

Bureaux commerciaux au Royaume-Uni et aux USA

Présence via des distributeurs à valeur ajoutée en Italie,

Allemagne, Benelux, Suisse, Russie, GCC, Asie du Sud-

Est et au Maghreb

Quelques références

Collectivités locales- Mairie : Bordeaux, Grenoble, Alès, Boulogne

Billancourt, les Mureaux, Nanterre, Châteauroux, Suresnes …

- Communauté Urbaine de Bordeaux- Conseil Général des Hauts de Seine- Conseil Général de l’Essonne- Conseil Général de la Sarthe- Conseil Général du Gard- Conseil Général de l’Oise …

Administration / Education / Santé- CNAM TS- Ministère de l’Ecologie- Ministère de l’Economie- Météo France- INSERM- BRGM- INERIS- IRSN- DILA- Gendarmerie Nationale- Musée du Quai Branly- Hôpitaux de Carcassonne, Poissy St-Germain,

St-Quentin, Mantes, Libourne, Niort, du Sud Parisien …

- SIIH 59/62 …

Industrie / Energie / Transport- PSA Peugeot Citroën- Vinci- EDF- ST Microelectronics- Thales- Boost Aerospace- Arcelor Mittal- SPIE- SPEIG - Latécoère- Geodis- Régie des Transports Marseillais- Aéroport de Marseille Provence …

Banque / Assurance- MGEN / Choregie- GMF- Crédit Agricole SA- Groupama- Crédit Agricole Cards & Payments- Amundi- Casden- Harmonie Mutualité- Mutuelle Familale- Verlingue- Swiss Life …

Services / Luxe / Medias - LVMH- Hermes- M6- Alain Afflelou- Wolters Kluwer- Maisons du Monde - Beaumanoir …

Télécom / Hébergement- SFR- TDF- GRITA- Pharmagest- Coreye / Pictime- OPT (Polynésie Française) - Mipih …

International- Maroc Telecom- Millicom (Luxembourg)- Naxoo / Télégenève (Suisse)- Tigo (El Salvador, Ile Maurice, RDC …) - RTBF- Université du Luxembourg- Service Public de Wallonie - Wintershall (BASF) …

Les nouveaux besoins et

contraintes des entreprises

Les administrateurs doivent apprendre les

mots de passe, les retenir et en changer

régulièrement

Les post-it se multiplient autour de l’écran

ou sur le bureau

Les mots de passe sont gérés à droite et à

gauche, parfois ils restent dans la tête de

l’administrateur !

Mots de passe administrateurs

Comment gérer au mieux l’authentification de mes administrateurs ?

Le turnover des équipes IT

L’un de mes administrateurs s’en va. Où sont ses mots de passe ?

Il faut recenser ses accès, les désactiver et les changer sur tous

les équipements

Il faut communiquer les changements en interne

Comment s’assurer qu’il ne pourra plus accéder au SI de

l’entreprise ?

Les employés qui volent ou divulguent les données d’entreprise le font à l’occasion de leur départ vers un concurrent (70 % des cas) ou de la création de leur propre affaire (23 % des cas)

L’incident survient

La base de données clients est tombée suite à une

intervention de maintenance durant une migration de

version

Pas de responsable et pas de moyen de le désigner !

Difficile de retrouver la cause

D’où vient l’erreur ?Peut-on rejouer le scénario ?Comment retrouver l’origine de l’incident ?

ORIGINE D’UN INCIDENT ET TRAÇABILITÉ DES ACTIONS

Les intervenants externes…

Je n’ai aucune visibilité sur leurs actions de mes prestataires

Les connexions aux serveurs, équipements et applicatifs sont multiples : je ne sais pas qui se connecte, quand et comment

Je dois contrôler leurs accès et les cadrer en cas d’interventions ponctuelles et pouvoir changer de prestataire si nécessaire

Comment m’assurer que les accès sont bien contrôlés ? Comment remonter à l’origine d’un incident ? Qui est responsable ?

GESTION DES CHANGEMENTS DE PRESTATAIRES

La gestion des accès

avec Wallix AdminBastion

Concepts

Traçabilité

Contrôle d’accès

Authentification unique

Serveurs Windows

Equipements

réseau

Applicatifs

Administrateurs

Développeurs

Responsable sécurité

Gestion des mots de passe ciblesPrestataires externes

Serveurs Unix/Linux

Protocoles supportés

EQUIPEMENTS / APPLICATIFS CIBLES

RDPRDP

VNC

Autorisation (ou non) des fonctions SSH• Shell Session

• Exécution de commandes distantes

• SCP (upload & download)

• X11 Forwarding

SSHv2

https

SFTP

SSHv2

http/https

SFTP

Telnet

rlogin

UTILISATEUR

Enregistrement des sessions

Restitution du contenu de la session via une vidéo

chapitrée au format Flash

Récupération automatique d’informations sur le contenu

de la session

SESSIONS RDP (WINDOWS & APPLICATIFS)

Conservation des lignes de commande entrées par

l’utilisateur et du “retour” de l’équipement

Informations disponibles dans un fichier texte ou bien

dans un fichier semi-vidéo

SESSIONS SSH/TELNET

Sessions Windows : OCR & flux clavier

Obtenir automatiquement d’une session Windows

enregistrée …

Les informations pertinentes !

Qui peuvent également

être exploitées

dans un SIEM !

Contrôle des flux SSH

Dans l’exemple ci-dessus, l’expression « passwd » figure

dans la liste des commandes interdites

La détection de l’expression « passwd » déclenche l’envoi

d’une alerte et/ou la coupure de la connexion.

Visualisation temps réel

Interruption possible de la session en cas

d’actions «inappropriées» de la part de l’utilisateur.

Répond aux contraintes réglementaires du type « 4 yeux ».

Permet à un administrateur du WAB de visualiser

les sessions RDP & SSH actives sur le WAB

Support natif http/https

WAB vous permet de contrôler et de

tracer les accès aux interfaces web

d’administration d’équipements ou

d’applications.

Permet de tracer les connexions vers les

applications métiers exploitant une interface web

Evite d’avoir à installer une solution spécifique

pour tracer les connexions vers des interfaces Web

Support des authentifications de type http ainsi

que par formulaire

Applications client-serveur

Serveur

Windows TSE

Client RDP Clients

Avec injection dans le client applicatif de l’identifiant et du mot de passe du

compte applicatif cible

Choix sur l’interface WAB du compte applicatif cible (ex :

root@vmware_ESX3)

Lancement par le WAB du client applicatif sélectionné

Contrôle d’accès

UTILISATEUR

Login A

Password B Login : root

Password : yyy

Login : administrateur

Password : xxx

Login : admin

Password : zzz

Sélecteur affichant les couples

login/équipements accessibles :

root@vmware_esx1

admin@cisco55

administrateur@win75

Récupération par le WAB du mot de

passe du compte cible

WAB permet d’appliquer une politique de gestion de mots

de passe des comptes cibles avec notamment le

changement automatique des mots de passe

Il est possible de déterminer la périodicité du

changement de mots de passe ainsi que la

taille minimale des mots de passe.

Cela permet de répondre aux exigences

réglementaires concernant les mots de passe

des comptes critiques.

Environnements : serveurs Windows,

Unix/Linux, Cisco (IOS)

Gestion des mots de passe cibles

Architecture interne

OPTION 1

WAB héberge les bases de données utilisateurs, les ACL et les bases équipements

OPTION 2WAB se connecte à un annuaire extérieur* pour l’authentification utilisateur

* Annuaires LDAP/LDAPS, Active Directory, Radius

INTERNET

Equipements ACLs Utilisateurs Journal des

connexions

Enregistrements

LAN

AD/LDAP/RADIUS

Serveurs

OPTION 3Les utilisateurs du WAB sont gérés directement dans l’annuaire entreprise

Cas concret d’utilisation

Equipements ACLs Utilisateurs Equipements ACLs Utilisateurs

INTERNET

Administrateur

LAN Production

DMZ WAB

MASTER SLAVE

VPN

CRM Mail Intranet

Réplication

LAN

EngineeringNœud de

visualisation

Accès

distant

Firewall

WAB en DMZ

Serveurs

SCADA

Serveurs de

Communication

SCADA Network

RDP/SSH

- Access Control - Single Sign-On- RDP/SSH session recording- Shared account access

attributability- Real time session analysis &

alerting

RDP/SSH/Telnet/VNC

WAB Dans un environnement SCADA

Serveurs

SCADA

Authentification forte

Technologies• RSA SecurID

• ActivIdentity

• Autres

En option

Support des certificats X509v3

LAN

Serveurs

DMZ

Equipements ACLs Utilisateurs

Serveur

Radius

Serveur

RSA SecurID

Prestataire

RSA RSA

Reporting et Alertes

REPORTING GRAPHIQUE SUR LES CONNEXIONS

Export des données au format csv pour exploitation ultérieure

Alertes temps réel (mail & logs) paramétrables :

Détection de chaines de caractères interdites (SSH)

Echec d’authentification sur le WAB

Echec de connexion sur le compte cible …

Envoi par mail d’un rapport quotidien sur les connexions

WAB - Facilité de déploiement

Aucun agent à installer sur les serveurs ou sur les équipements

Gain de temps de déploiement

Intégration aisée dans l’infrastructure existante

Baisse du coût de possession (TCO)

Aucune formation nécessaire pour les utilisateurs de WAB

WAB ne change pas les méthodes de travail

Conservation des outils actuels (client TSE/RDP, PuTTY,

WinSCP, navigateur Web, ligne de commande …)

Facilité d’administration

Interface Web (https) en anglais et en français

Compatible IE7+ et Firefox

Interface «CLI» & Services Web

«Provisionning» des utilisateurs, des équipements,

des droits…

par des applications tierces (IAM …)

Possibilité de définir des profils

avec des droits spécifiques (ex : auditeur)

Possibilité de définir des périmètres d’actions par

administrateur du WAB • en terme d’utilisateurs et/ou

de comptes cibles

Appliances Physiques

Appliance ou software

Package logiciel

11 modèles disponibles : du WAB 5 au WAB 2000

Disponible sous la forme

d’appliance virtuelle VMWare

Appliances WAB

Support Silver• Accès aux mises à jour mineures & correctifs logiciels• 2 interlocuteurs accrédités pour contacter le support.• Support téléphonique & e-mail : Prise en main des tickets en J + 1• Disponibilité : du lundi au vendredi de 9h00 à 19h00 (GMT+1)• Garantie matérielle : Intervention en J+1 *• Protection des données **

Support Gold• Accès aux mises à jour mineures & correctifs logiciels• 4 interlocuteurs accrédités pour contacter le support.• Support téléphonique & e-mail : Prise en main des tickets en 8 H• Disponibilité : 7 jours sur 7 de 9h00 à 19h00 (GMT+1)• Garantie matérielle : Intervention en H+4 *• Protection des données **

Support Platinum• Accès aux mises à jour mineures & correctifs logiciels• 6 interlocuteurs accrédités pour contacter le support.• Support téléphonique & e-mail : Prise en main des tickets en 2 H• Disponibilité : 7 jours sur 7 - 24 heures sur 24 (GMT+1)• Garantie matérielle : Intervention en H+2 *• Protection des données **

* Toutes nos appliances bénéficient d’une garantie matérielle comprenant un

service d’intervention sur site. La demande d’intervention est effectuée par

nos services dès la qualification de l’incident par nos équipes

techniques.

** Cette option, incluse dans toutes nos offres de support, permet aux clients

de garder le contrôle de leurs données sensibles en conservant leurs disques

durs lors du remplacement de matériels défectueux.

Appliance Processeur RAM Disques Alimentation

WAB 5 – 15 Pentium G620 (2,6 GHz) – Dual Core 4 Go 500 Go utile Simple

WAB 25 & 50 Pentium 1407 (2,8 GHz) - Dual Core 4 Go RAID 1 - 500 Go utile – Hot-plug Redondante - Hot-plug

WAB 100 – 200 Xeon E5-2430 (2,2 GHz) - Hexa Core 8 Go RAID 1 - 1 To utile – Hot-Plug Redondante - Hot-plug

WAB 400 – 600 Xeon E5-2450 (2,1 GHz) - Octo Core 16 Go RAID 10 - 2 To utile – Hot-Plug Redondante - Hot-plug

WAB 800 – 1000 2 * Xeon E5-2450 (2,1 GHz) – Octo Core 32 Go RAID 5 - 14 To utile – Hot-Plug Redondante - Hot-plug

WAB 2000 2 * Xeon E5-4620 (2,2 Ghz) - Octo Core 64 Go RAID 10 - 18 To utile (SAS) – Hot-plug Redondante - Hot-plug

Provisionning via Services Web

Provisionning :

des utilisateurs

des comptes

des équipements cibles

des droits d’accès …

Ces informations peuvent être synchronisées automatiquement

entre une solution centrale de type IAM et un WAB

Ce qui permet une importante diminution du TCO du WAB.

Permet le « provisionning » du WAB via des services Web de

type SOAP

Réponses aux besoins

Gestion des mots de passe

administrateurs

Turnover des équipes IT

“POST-MORTEM” EN CAS D’INCIDENT CONTRÔLE DES PRESTATAIRES

PLUS QU’UN SEUL MOT DE PASSEÀ CONNAITRE !

IL SUFFIT DE DÉSACTIVER LE COMPTEAU NIVEAU DE WAB

Toutes les actions peuvent être

enregistrées et auditéesWab contrôle les accès et

enregistre les actions

Questions

Merci de votre attention !