Publication d’applications et Direct Access avec UAG

et évidemment – en raison du « métier » même du produit qui est de partager de l’information – toutes les briques de sécurité nécessaires pour publier et protéger les données dans Sharepoint. (Analyse de conformité, politique de sécurité par fonction, … effacement des traces côté client.).

Dans une précédente publication de IT Pro magazine, Olivier Detilleux a présenté techniquement Direct Access. Je vous invite à consulter son article pour plus de détails.

Sachez simplement que « Direct Access », est la dernière génération de technologie d’accès distant. Côté utilisateur, elle procure une expérience incroyable car peu importe où vous vous situez (3G, à la maison, hôtel), Windows 7 Entreprise va vous connecter au réseau interne de l’entreprise de façon automatique et transparente. Côté équipe informatique interne, le poste est quasiment « toujours connecté  à l’entreprise » (versus le VPN qui demande une action manuelle de l’utilisateur), donc ce poste est « managé en permanence ». Direct Access se couple à NAP (Network Access Protection) pour garantir une mise en conformité là aussi automatique des postes. Si dans la connexion, le poste devient non conforme (un nouveau correctif par exemple), alors le tunnel est fermé, NAP met en conformité et le tunnel utilisateur revient.

Direct Access n’est pas un produit, mais bien une infrastructure, dont les briques techniques se retrouvent à la fois côté client (Windows 7 Entreprise : Direct Access, NAP, Bitlocker), côté passerelle (Forefront Unified Access Gateway) et sur le réseau interne de l’entreprise (AD, DNS,…).
UAG SP1 arrive avec des nouvelles fonctions demandées en fait par les clients qui ont déjà déployé cette solution :

Assistant de configuration : au sein de la console UAG, vous trouvez dans la liste des « points d’accès » à l’entreprise, une section Direct Access. Cette partie est en fait la phase qui va relier toutes les briques de l’architecture entre elles (Win7E côté client, NAP/DNS/DCs côté infrastructure). Cette partie d’UAG a été améliorée pour proposer plus d’options de configuration.

NAP : bien que NAP ne soit pas obligatoire dans une archi DA, la « capacité de maintenir un client à jour en quasi temps réel » est plus que recommandé. Ceci constitue un axe de gestion de la sécurité des plus importants. Différentes options ont été ajoutées ici pour faciliter la mise en œuvre comme la détection automatiques des contrôleurs de domaines, serveurs SCCM et HRA.

Authentification forte du tunnel utilisateur (données) : dans la version actuelle, seul le certificat numérique est disponible (sur le poste ou dans une carte à puce). Il est également possible d’utiliser la biométrie au lieu d’un code pin pour l’authentification par carte à puce. Avec SP1, il sera possible d’utiliser également les clés dites « One Time Password ».

Activité et traçabilité : bien que la vision de repérimétrisation de réseau et donc de Direct Access parte du principe que le PC distant est un « PC connecté au réseau », de nombreux clients ont demandé à être capables de tracer les différents évènements de sécurité. Les services DA dans le boîtier UAG vont maintenant envoyer des évènements de ce type au système de suivi des alertes. Il vous sera alors possible de les voir, soit en passant par le WebMonitor d’UAG soit de générer des rapports puisque tout ceci est consolidé dans une base SQL.

Direct Access est l’un des investissements forts sur UAG. L’adoption de Windows 7 Entreprise permet en effet de profiter des services apportés par DA, soit pour fournir une meilleure expérience utilisateur… soit d’un point de vue informatique interne et en particulier sur l’angle de la sécurité. De plus, dans la mesure où UAG regroupe « toutes » les technologies de mobilité, un « employé sur son PC Win7E » passera dans UAG via Direct Access, ce même « utilisateur sur son PC personnel » passera de nouveau dans UAG mais via « le portail et firewall applicatif » (contexte de sécurité différent), tout en recevant « ses emails sur son téléphone » là aussi via UAG (ActiveSync). On voit ici l’intérêt d’avoir une passerelle unifiée : pour chaque scénario, on prend la sous technologie la plus optimisée, la plus efficace et surtout la plus sécurisée …

Nous verrons dans le prochain dossier le support d’ADFS en version 2.