Cisco France Blog
Partager

Sécurité dans un environnement Web 2.0 : Solutions pour contrôler l’usage des ressources Internet


19 October 2010


Suite de note dossier consacré au web, et à la solution de sécurité Web en mode appliance, WSA, la première solution du marché à combiner dans un seul et même boitier une défense anti malware en profondeur, multi niveaux, des fonctions de politique d’usage acceptable, et de sécurité des données.

Un focus particulier a été mis sur la protection de données et les politiques d’usage acceptable afin de pouvoir contrôler efficacement l’usage des ressources Internet dans le monde du Web tel que nous le connaissons aujourd’hui, dynamique, multiple et changeant.

Usage acceptable dans un monde Web 2.0 : Cisco IronPort Web Usage Control

Les solutions de filtrage d’URL ne peuvent seules permettre de résoudre les enjeux posés par le « web inconnu » et le contrôle des multiples applications véhiculées dans les flux web. Cisco IronPort a développé la technologie Cisco IronPort Web Usage Controls en combinant des fonctions de filtrage d’URL par catégorie, des fonctions de classification automatique qui catégorise jusqu’à 90% du « web inconnu » en temps réel, et des fonctions de visibilité et de contrôle applicatif. Ainsi, les équipes sécurité peuvent reprendre la main et implémenter des fonctions de protection des informations et d’usage acceptable.

Une efficacité à la pointe de l’industrie

Cisco IronPort Web Usage Controls utilise une catégorisation à plusieurs niveaux afin de fournir la meilleure efficacité et couverture du web, fournissant 65 catégories et une base de données d’URLs qui couvre les sites de plus de 200 pays et 50 langues.

La fin du web inconnu

Cisco SIO met à jour la base de donnée toutes les 5 minutes, tirant parti de la visibilité unique sur plus de 30% du trafic internet mondial.

Catégorisation dynamique : en temps réel, directement sur l’appliance

En plus des catégories, un moteur innovant d’analyse évalue tout le contenu non catégorisé – y compris le contenu caché dans une tunnel SSL- afin de prendre une décision de classification en temps réel. Cette catégorisation utilise des méthodes heuristiques avancées afin de calculer un vecteur qui est comparé à une liste de modèles prédéfinis. Cette catégorisation automatique permet donc de classifier les sites inconnus mais également les sites dont le contenu est généré dynamique à la connexion en fonction de l’utilisateur, ainsi que par exemple les sites uniquement accessibles avec un mot de passe.

 

Processus de classification dynamique

En combinant un filtrage par catégorie et des mécanismes de classification automatiques, la solution est capable de classifier jusqu’à 90% du « web inconnu », et ainsi permettre d’implémenter réellement une politique d’usage acceptable.

 

Côté application, le Web est devenu la plateforme universelle pour les applications : Cela inclue les applications qui utilisent un navigateur comme client, comme Google Apps et Salesforce.com, mais également les applications qui utilisent un client propre pour délivrer du contenu riche, tel Apple iTunes et Cisco Webex. Toutes ces applications utilisent le protocole web comme media pour entrer et sortir du flux des entreprises.

Contrôle des applications Web

Cisco IronPort Web Usage Controls permet d’implémenter des politiques de sécurité non pas uniquement sur la catégorie du contenu, mais également sur l’application qui est utilisée, au travers d’une visibilité applicative avancée dans les flux web. Ainsi, en plus de pouvoir bloquer ou autoriser des applications par type ou individuellement, un politique granulaire concernant l’usage de l’application peut être implémentée, comme par exemple :

Limiter la bande passante consommée par les applications de streaming (tel Youtube) afin de contrôler la congestion liée à une consommation excessive de bande passante par ces flux.

Autoriser le trafic de messagerie instantanée, mais interdire le partage de fichier via ces outils

Imposer l’utilisation du « safe search » des moteurs principaux de recherche comme Google et Bing, mais également sur les sites hébergeant du contenu généré par les utilisateurs comme YouTube ou Flickr.

Ces contrôles sont supportés grâce à une base de donnée de reconnaissance d’applications maintenue par les équipes du Cisco Security Intelligence Operations center, garantissant l’adaptation rapide aux changements de fonctionnement des applications ou le support de nouvelles.

Contrôle des applications en mode SaaS

 

Une grande partie des fonctions nécessaires à la protection des applications en mode SaaS est fournie par « Web Usage Control », permettant d’implémenter une politique spécifique à certaines applications SaaS – Webex, Google docs… Mais il est nécessaire d’aller plus loin, notamment dans la gestion de l’identité et des droits d’accès.

Pour cela, la solution Cisco IronPort WSA inclue un mécanisme d’authentification, basé sur les standards, pour ramener le contrôle aux équipes IT. En effet, l’appliance WSA va s’authentifier au nom de l’employé en utilisant le standard SAML 2.0 (Security Assertion Markup Language – supporté par les fournisseurs majeurs de solutions SaaS). Ce processus utilise les droits d’accès et les credentials de l’utilisateur stockés dans l’annuaire de l’entreprise (Active Directory, Annuaire LDAP). Les administrateurs gardent ainsi le contrôle sur les droits d’accès, et l’expérience utilisateur est améliorée car cela leur offre une fonction de Single Sign-On !

La solution SaaS incorporée dans Cisco IronPort WSA permet aux équipes IT de contrôler les droits d’accès aux applications en mode SaaS et d’implémenter des fonctions de sécurité, tout en améliorant l’expérience utilisateur (plus besoin d’un login spécifique pour chaque application).

La solution de contrôle des applications en mode SaaS

Combiné à la solution Cisco AnyConnect Secure Mobility de gestion des nomades, cette capacité permet de sécuriser les applications en mode SaaS quel que soit le contexte de connexion, que l’utilisateur soit dans l’entreprise ou en situation de mobilité.

Tags:
Laisser un commentaire