ZoneCentral Presentation

Rev.23

Prsentation ZoneCentral 2.5

ZoneCentral 2.5

Intgrer le chiffrement et faciliter son intgration dans votre entreprise !

Rev.23


Sommaire

ZoneCentral - le chiffrement in-place

Les Zed! - conteneurs scuriss

Scurit du poste de travail

Rev.23


Chiffrement in-place

ZoneCentral sinstalle et sexcute sur les postes de travail

Chiffrement des fichiers l o ils sont : Poste de travail, Serveur, Support amovible

Excution la vole du chiffrement/dchiffrement

Postes de travail Windows 2000, XP, 2003

Tous types de serveurs : Unix, Novell, Windows,

Rev.23


Cas dapplication : confidentialit des fichiers

Protection des flottes de postes mobiles (perte, vol,)

Protection des postes fixes (droit den connatre, vol du disque dur, intrusion,)

Protection des partages de fichiers sur serveurs (droit den connatre,)

Protection des supports amovibles (sauvegardes, sticks mmoire USB,)

Portables

Postes fixes

Supports amovibles

Serveurs de fichiers

Rev.23


Les concepts (1) Produit transparent pour lutilisateur

Lutilisateur prsente sa cl qui peut tre un mot de passe ou un bi-cl RSA hberg par une carte puce ou un token USB Cest la seule interaction de lutilisateur avec le produit. Le chiffrement/dchiffrement des fichiers se fait ensuite automatiquement et la vole lorsque lutilisateur y accde.

La prsentation de la cl peut se faire via un cran ZoneCentral ou bien avec une carte puce ou un token au login Windows

Rev.23


Les concepts (2) Possibilit de plan de chiffrement dfini et contrl par lentreprise,

appliqu systmatiquement par ZoneCentral

Les responsables des donnes (officier de scurit, responsable dapplication, dirigeants) spcifient le plan de chiffrement i.e. pour lessentiel ce qui doit tre chiffr, sur les postes de travail et les serveurs. Le plan dsigne aussi les cls de recouvrement, les correspondants de scurit, etc.Le plan de chiffrement est traduit en paramtres par lofficier de scurit et ses correspondants.ZoneCentral applique automatiquement le plan de chiffrement qui lui est communiqu

Rev.23


Les concepts (3) Sparation possible des tches dadministration de la scurit dune part

et dadministration du rseau et postes de travail dautre partAvec ZoneCentral

Le systme est toujours en clair donc toujours accessibleLes donnes de lutilisateur sont chiffres (en totalit ou de faon slective)

Lofficier de scurit administre le chiffrement des fichiers sur les postes de travail et les serveurs.

Ladministrateur du rseau et des postes de travail effectue son travail normalement sans aucune contrainte due au chiffrement puisque le systme est en clair.

Cette organisation est particulirement intressante lorsque la bureautique fait lobjet dune prestation doutsourcing (interne ou externe)

Paramtres ZoneCentral

Officierde scurit

Administrateurdu rseau

Rev.23


Les concepts (4)

Indpendant des IGCZoneCentral est un produit dapplication de lIGC ;Il utilise les cls et les certificats produits par lIGC de lentreprise

ZoneCentral fonctionne aussi sans IGC avec des mots de passe

ZoneCentral peut utiliser simultanment des mots de passe et des cls RSA sur des supports de diffrentes marques (selon les utilisateurs ou les zones accdes)

Token Carte puce

LDAP

Certificats

IGC de lentreprise

Pfx, P12

Produc

tion de

s bi-cl

s

Utilisation des certificats

Lutilisateur prsente sa cl daccs

ZoneCentral

Rev.23


Technologie

Position en filtre au dessus des FileSystems

Interception de toutes les I/O

Excution la vole du chiffrement/dchiffrement

Rev.23


Que peut-on chiffrer avec ZoneCentral ? (1) ZoneCentral chiffre des zones

zone = dossier et tout ce quil contient sur N niveaux

exemples de zones sur le poste de travail (fichiers personnels)

Le bureau est chiffrLe cache internet est chiffrLe dossier Mes documents est chiffrLes fichiers temporaires sont chiffrsLe Swap est chiffr

C:\ D:\

E:\

Documents & Settings\Pierre

Bureau

Mes Documents

Cache Internet (Intranet)

Temporaires

Zones sensibles du profil :

Windows

CSC (offline)

Documents & Settings

Admin.

Admin.Autres(techniques)

Pierre

Program Files

Zone en clair

Zone chiffre

Lgende:

Rev.23


Que peut-on chiffrer avec ZoneCentral ? (2)

Les fichiers - partags ou non -sur les serveurs peuvent tre chiffrs

Les profils itinrants (roaming) peuvent tre chiffrs

Les fichiers synchroniss (fichiers off-line) peuvent tre chiffrs sur le poste de travail et le serveur

Les sauvegardes du poste de travail peuvent tre chiffres(outil de sauvegarde fonctionnant en mode raw)

C:\Windows

Program Files

Documents & Settings

Admin.

Admin.Autres(techniques)

D:\

E:\

F:\ (offline)

\\Mkt\Docs \\Srv\Share1\\Labs\Pub \\RoamingSrv\profiles

Pierre

Autres...

Pierre

CSC (offline)

(roaming)(offline folders)

Rev.23


Cls et porte-cls des utilisateurs

la cl daccs de lutilisateur peut tre un bi-cl RSA ou un mot de passe.

gestion de porte-cls RSA de diffrentes natures

Fichiers .pfx, .p12,Carte puce, token USBCSP

Mot de passe choisi par lutilisateur

Fichierpfx ou p12

Bi-cl et certificat

Cls des utilisateursappeles cls daccs

IGC de lentreprise

Rev.23


Fournir une cl daccs

Apparat lors du premier accs un fichier situ dans une zone chiffre

Possibilit dutiliser la technologie CSP de Microsoft

Rev.23


Ce que voit lutilisateur

Rev.23


Cls de recouvrement

Cls de recouvrementPlusieurs cls possiblesAppliques automatiquement par ZoneCentral

Mot de passe de secoursDdi un utilisateur ou un postePermet le dpannage de lutilisateur distance en cas de perte de sa cldaccsRecouvre les fichiers du poste de travail de lutilisateur

Rev.23


Cls de chiffrement

Les cls de chiffrement de fichiers sont des cls symtriques de type AES, DES, ou 3DES

Nominalement se sont des cls AES 256 bits

Rev.23


Effacement automatique la vole (sans intervention de lutilisateur) de tous les fichiers supprims (wiping par surcharge), y compris les fichiers temporaires

Chiffrement du swap du poste de travail

Anti-keylogger pour la saisie des mots de passe

Utilisateurlocal

Serveur defichiers partags

ZoneCentral

Utilisateurlocal

Utilisateur connect distance

Utilisateurnon connect

Unit desauvegarde

Scurit de lenvironnement

Rev.23


Cryptographie

Utilisateurlocal

Serveur defichiers partags

ZoneCentral

Utilisateurlocal

Utilisateur connect distance

Utilisateurnon connect

Unit desauvegarde

Cryptographie renforce implmente sous forme de driver

Possibilit de composants cryptographiques externes (matriels ou logiciels compatibles PKCS#11)

Algorithmes : 3DES, AES (128 256 bits), et RSA (1024 4096 bits)

Technologies PKCS#1, PKCS#5, PKCS#11, compatible PKIx

Compatible avec les cartes puces et tokens des principaux industriels.

Rev.23


Le Plan de chiffrement Dsigne les zones chiffres sur le poste de travail Dsigne les accs obligatoires (mandatory)

Cl(s) Officier ScuritCl(s) de recouvrement

Dfinit les dlgations de droits dadministration Dfinit les paramtres du produit (algorithmes, longueur

de cl, et tous les paramtres denvironnement) Dsigne lemplacement des fichiers journaux Etc.

Rev.23


Paramtrage du Plan de chiffrement via des Policies de Windows

Utilisation des GPO Windows, avec un modle dadministration ZoneCentral

Policies dfinissables en local ou en domaine (mcanisme de diffusion des serveurs Windows)

Masterisation possible de Policies prdfinies pour application locale (si hors domaine)

Rev.23


Un dploiement facile

Exemple de dploiement

Prparation du Plan de chiffrement

Diffusion du logiciel et du Plan de chiffrement

A la premire utilisation, application de la consigne de chiffrement Utilisateur

Master logiciel ZoneCentral + plan de chiffrement

Officier de scurit

Contrleur de domaine

Rev.23


Exploitation

Contrle des fichiers dvnements

Secours des utilisateurs ayant perdu leur cl daccs

Ajouts/retraits daccs sur les zones partages - notion de correspondants de scurit

ZoneCentral se charge de la r-applicationautomatique du plan de chiffrement chaque dmarrage

Rev.23


Les conteneurs chiffrs

La fonction Zed! permet lutilisateur de crer des conteneurs de fichiers compresss - chiffrs

Lergonomie est identique celle des zip sous Windows XP

Le conteneur est accessible avec la cl daccs de lutilisateur qui le cre et les accs de recouvrement

Lutilisateur peut ajouter de nouveaux accs sur chaque conteneur par MP ou par certificat

Pour les postes non quips de ZoneCentral, PrimX fournit un package libre de licence : Zed! Limited Editionil possde toutes les fonctions de Zed! sauf les services de cration de nouveaux conteneurs et dajout daccs sur un conteneur existant.Zed! Limited est disponible sous forme installable ou comme simple excutable

Rev.23


Politique commerciale et support Prospection directe - Ventes indirectes

En FranceRseau dintgrateurs : spcialiss - institutionnels - gnralistesRseau de distributeurs : grossistes valeur ajoute - revendeursPrestataires dinfogrance

A linternationalRseau dimportateurs valeur ajoute en 2006

SupportFormation/support des intgrateurs Prestations de conseil/consultingContrat de maintenance volutive et support niveau 2Rubrique Web PrimX Tools : Outils daide au dploiement en libre service

Rfrences

Rev.23


Rappel des fonctionnalits - packages (1)

55Gestion de rles (utilisateur, administrateur de zone, recouvrement, secours)5Gestion de groupes (listes d'accs)

55Compatible PKI et LDAPoption5Accs par cls RSA sur porte-cls cartes&tokens PKCS#11, conteneurs CSP55Accs par cls RSA sur porte-cls fichiers PFX/P12 55Accs par mots de passe (force contrlable)

Cls d'accs utilisateurs55Fichiers temporaires chiffrs55Compatible roaming (profil chiffr) et dossiers chiffrs off-line55Dtection automatique des cls-mmoires USB avec proposition de chiffrement55Chiffrement possible de postes ou de volumes entiers, y compris le volume systme (sauf le systme lui-mme, pour permettre l'administration bureautique par un tiers)

55Chiffrement possible du profil utilisateur (bureau, mes documents, temporaires, cache Internet, )

55Chiffrement possible du cache des navigateurs (protection Intranet)option5Conteneurs compresss-chiffrs pour changes55Chiffrement automatique du swap

5Chiffrement de fichiers partags sur les units locales, amovibles ou rseau (serveurs Windows,UNIX, Novell)55Chiffrement la vole, de fichiers personnels sur units locales ou amovibles

ZC expressZoneCentralChiffrement

Rev.23


Rappel des fonctionnalits - packages (2)

55Administration systme, rseau et bureautique possible par un tiers sans droit den connatre

55Automate dapplication, de rapplication ou de contrle du plan de scurit55Administration simplifie, dlgue ou centralise

5Outil dadministration graphique ou en ligne de commande(toutes oprations5Administration in-place , back-office , ou distante

55Mot de passe de secours5Dlgation de droits de rles, combinable avec les utilisateurs et groupes Windows

55Installation automatisable (compatible SMS, Tivoli, etc.)55Politique de scurit sous forme de GPO (Group Polilicy Object), administrable en domaines

Administration

55Possibilit dinterdire la cration de fichiers en clair sur les supports amovibles ou dans certaines zones

55Effacement par surcharge la vole55Driver clavier anti-keylogger 55Moteur cryptographique oprant en mode kernel

ZC expressZoneCentralScurit de lenvironnement

Rev.23


Pourquoi choisir ZoneCentral ?

UniversalitUn seul produit pour plusieurs cas dapplications : portables, supports amovibles (cl USB), postes en rseau, serveurs de fichiers

Facilit dintgration dans le contexte de lentrepriseAcceptabilit par les utilisateursSadapte linfrastructure de gestion de cls de lentrepriseNe modifie pas lexploitation du rseau

EvolutivitNouvelle technologie ouverte

Scurit renforce de lenvironnement Crypto implmente sous forme de driversEffacement par surcharge la voleEtc.

Confiance : en cours de certification EAL2+ ; la cible concerne la totalit du produit , fonctions dadministration incluses

Rev.23


Coordonnes

Sige : 10 place Braudier69428 Lyon Cedex 03Tel : 04 26 68 70 02Fax : 04 26 68 70 04

Direction commerciale : 42 avenue Montaigne75008 ParisTel : 01 74 72 11 [email protected]

ZoneCentral Presentation

Documents

Transcript of ZoneCentral Presentation