|
|
|
|
|
Les fonctions de sécurité suivantes sont des fonctionnalités du logiciel MOVEit et sont disponibles en plus de la protection du système d'exploitation et des services d'applications associés.
Lors des transferts, MOVEit utilise SSL ou SSH pour crypter les communications. La force de cryptage minimale utilisée lors des transferts Web (par exemple : 128 bits) est configurable dans l'interface MOVEit.
Cette valeur peut être configurée par organisation. Pour configurer cette valeur pour une organisation donnée, connectez-vous en tant qu'administrateur système, affichez l'organisation pour laquelle cette valeur doit être définie, puis cliquez sur le lien « Change Req » (Modifier l'exigence) pour définir la valeur.
Remarque : Si vous définissez la valeur de cryptage minimale de l'organisation Système (#0), vous pouvez appliquer ce paramètre à TOUTES les organisations du système.
MOVEit stocke tous les fichiers sur disque à l'aide du cryptage AES 256 bits (http://csrc.nist.gov/encryption/aes) avec validation FIPS 140-2. C'est la méthode de cryptage standard utilisée par le gouvernement fédéral des États-Unis. MOVEit Crypto, le moteur de cryptage sur lequel repose MOVEit, a été certifié par les gouvernements des États-Unis et du Canada pour sa conformité avec les consignes FIPS 140-2 en matière de cryptographie.
En outre, MOVEit remplace les fichiers qui viennent d'être supprimés par des séquences d'octets aléatoires, afin d'éviter que les fichiers cryptés restent sur un disque physique alors que les utilisateurs pensent les avoir détruits.
Si les fichiers reçus par MOVEit étaient copiés « en clair » dans une grande mémoire tampon, les chevaux de Troie pourraient potentiellement y « renifler » les fichiers sensibles.
Au lieu de cela, MOVEit spoole les fichiers reçus par morceaux dans des mémoires tampon beaucoup plus petites, les crypte et les écrit sur disque presque immédiatement. Ce processus permet de réduire l'exposition des données de deux manières : 1) La quantité d'informations exposée est réduite, et 2) la durée d'exposition de ces informations est également réduite. Cette technique offre en outre de meilleures performances.
L'une des questions qui reviennent souvent à ce sujet est « pourquoi ne pas se contenter de stocker les fichiers à l'aide de SSL ou SSH ? ». La réponse est très simple : SSL et SSH font appel à des clés temporaires qui sont renégociées chaque fois qu'un client établit une nouvelle connexion. Or nous avons besoin de clés « permanentes » pour le stockage.
Si vous utilisez certains clients de transfert de fichiers avec un serveur MOVEit, l'intégrité des fichiers transférés sera contrôlée. Tous les clients sécurisés MOVEit FTP, API et Web (y compris l'assistant de téléchargement) prennent en charge le contrôle de l'intégrité. Les autres clients FTP peuvent tirer profit de ces contrôles d'intégrité. Consultez à ce sujet la rubrique FTP - Interopérabilité - Procédure de contrôle d'intégrité.
Pour réaliser un contrôle d'intégrité, le client et le serveur doivent obtenir chacun un hachage cryptographique du fichier transféré, lors de la dernière étape de transfert. Si les valeurs concordent, les deux parties « savent » que le fichier transféré est bien identique à l'original. Les résultats d'un contrôle d'intégrité sont affichés auprès de l'utilisateur du client de transfert de fichiers et sont également stockés sur le serveur MOVEit pour faciliter une éventuelle consultation ultérieure.
Tous les clients sécurisés MOVEit FTP, API et Web (y compris l'assistant de téléchargement) prennent en charge le contrôle de l'intégrité.
Remarque : Le contrôle de l'intégrité est effectué à part si vous utilisez l'assistant JavaScript.
Si vous utilisez MOVEit Central, MOVEit prend en charge les transferts « basés sur les événements ». Autrement dit, la mise en file d'attente des fichiers sur des serveurs internes démarre dès qu'ils arrivent sur un serveur MOVEit connecté à Internet. Ce processus permet d'éviter que les fichiers (même ceux qui sont cryptés) restent sur le serveur plus longtemps que nécessaire.
MOVEit prend en charge la reprise du transfert à la fois sur les interfaces HTTPS et FTPS. Non seulement c'est utile lors du transfert d'un fichier de plusieurs gigaoctets, mais cela offre également une plus grande sécurité, dans la mesure où les transferts de fichiers volumineux sont moins vulnérables aux attaques par déni de service.
Vous pouvez imposer des quotas relatifs à la taille de divers dossiers afin d'éviter de saturer l'espace de stockage du système.
Vous pouvez imposer des quotas relatifs à la taille de divers utilisateurs afin d'éviter de saturer l'espace de stockage du système.
Les membres utilisateurs finals individuels d'un groupe peuvent être désignés en tant qu'administrateurs de ce groupe. Ces utilisateurs peuvent alors gérer les autres utilisateurs, les autorisations liées aux dossiers et les carnets d'adresses du groupe, selon divers paramètres définis par les administrateurs de l'organisation.
Les administrateurs reçoivent des notifications par e-mail lorsque les utilisateurs sont bloqués, lorsque l'outil interne de contrôle de la cohérence détecte une erreur au niveau de la base de données, etc.
Vous pouvez configurer MOVEit de sorte à ne jamais autoriser les utilisateurs à télécharger un contenu qu'ils viennent de charger dans le système. Cette seule configuration permet d'éviter que des utilisateurs se servent de MOVEit à mauvais escient, pour stocker des contenus personnels ou soumis à des restrictions. (Une autre façon courante de procéder serait de gérer ce scénario à l'aide de restrictions IP.)
Vous pouvez obliger les utilisateurs à changer de mot de passe de façon périodique, grâce aux fonctionnalités de vieillissement des mots de passe de MOVEit. Dans ce cas, les utilisateurs sont avertis (par e-mail) plusieurs jours avant l'expiration de leur mot de passe, puis encore une fois au moment de l'expiration de celui-ci.
Vous pouvez configurer MOVEit afin qu'il enregistre un certain nombre de mots de passe et empêche les utilisateurs de les réutiliser.
Vous pouvez définir plusieurs exigences relatives à la complexité des mots de passe dans MOVEit, y compris l'obligation d'inclure des caractères alphanumériques, de ne pas utiliser un mot issu du dictionnaire et de respecter une certaine longueur.
Si quelqu'un essaie de se connecter à un compte valide avec un mot de passe incorrect à de trop nombreuses reprises, le compte sera verrouillé et les administrateurs en seront avertis par e-mail.
L'une des grandes craintes des administrateurs chargés de gérer une ressource avec un système d'authentification capable de verrouiller des comptes, c'est que quelqu'un parvienne à mettre la main sur une liste de noms d'utilisateurs valides et les verrouille tous. Afin de réduire ce risque, MOVEit propose une fonctionnalité permettant d'empêcher qu'une machine avec une adresse IP spécifique continue d'adresser des demandes au système si MOVEit détecte un trop grand nombre de tentatives de connexion infructueuses. Les administrateurs sont également avertis par e-mail lorsque cela se produit.
Des utilisateurs ou classes d'utilisateurs spécifiques peuvent se voir interdire l'accès à certaines plages d'adresses IP et/ou de noms d'hôtes.
MOVEit consigne les événements de connexion et de déconnexion, ainsi que les changements d'autorisations, l'ajout d'utilisateurs et d'autres actions qui affectent directement la sécurité du système. Les affichages en temps réel de cette piste d'audit et les outils permettant d'effectuer des requêtes détaillées sont disponibles sur les pages Logs (Journaux) et Report (Rapport). Toutes les entrées de journaux sont liées les unes aux autres de manière cryptographique, de sorte que toute altération des données d'audit (ajout, suppression, modification) soit facilement détectable.
Les clients MOVEit RADIUS et LDAP prennent en charge tous les serveurs standard RADIUS et LDAP, y compris Microsoft Internet Authentication Server, Novell BorderManager, Microsoft Active Directory, Novell eDirectory, Sun iPlanet et IBM Tivoli Access Manager (SecureWay).
MOVEit ne révèle pas son nom de produit aux utilisateurs non autorisés via les interfaces SSH et FTP. Vous pouvez également le configurer de sorte à rendre cette information inaccessible des utilisateurs Web. De même, les numéros de version sont seulement accessibles des utilisateurs autorisés. Le fait de masquer ces informations permet d'empêcher les pirates informatiques d'identifier les contenus ciblés sans faire au préalable un important travail de recherche.
Toutes les grandes interfaces de MOVEit (SFTP, FTPS, HTTPS) prennent en charge les certificats client SSL (X.509) et les clés client SSH. Les certificats client SSL et les clés client SSH sont généralement installés sur des postes individuels, mais les certificats client SSL sont également disponibles sous forme de jetons matériels.
Lorsque vous vous servez d'un nom d'utilisateur, les adresses IP, les mots de passe et les clés/certificats client proposent une authentification à un, deux ou trois facteurs.
Les organisations qui craignent de stocker leurs combinaisons nom d'utilisateur-hachage dans la base de données protégée de MOVEit peuvent se servir de la fonctionnalité d'authentification externe et déplacer tous les noms d'utilisateur et mots de passe non-administratifs vers des serveurs RADIUS ou LDAP. (L'accès aux noms d'utilisateurs administratifs restants peut être verrouillé sur des adresses IP internes spécifiques.)
Vous pouvez stocker les fichiers MOVEit cryptés ailleurs que dans la « zone démilitarisée » ou DMZ. Pour cela, vous devez déployer MOVEit sur une partie d'un réseau de zone de stockage (SAN) existant.
Afin d'empêcher les logiciels et matériels d'enregistrement des saisies au clavier de détecter les caractères utilisés pour se connecter à MOVEit via un navigateur Web, nous fournissons un clavier virtuel comme méthode alternative de saisie des données. Ce même clavier s'applique également à d'autres champs de mots de passe utilisés tout au long de l'application, afin de protéger les autres utilisateurs.
Afin de déjouer les attaques par script sur plusieurs cadres ciblant MOVEit, l'interface Web ne peut pas être chargée dans un cadre ou une fenêtre iFrame. Vous pouvez contourner cette configuration en utilisant l'indicateur « contentonly », si votre objectif est d'intégrer MOVEit sur un portail existant en utilisant des cadres. Consultez la page URL Crafting (Construction d'URL) de la documentation pour en savoir plus.