L’accès sécurisé pour le gouvernement fédéral

Pulse Secure a une longue histoire avec les agences américaines pour sécuriser les réseaux, satisfaire les mandats de conformité et stimuler la productivité


Que trouve-t-on sur votre réseau ?

Nous comprenons les pressions qu’un accès sécurisé à l’infrastructure informatique critique du pays peut entraîner

  • Pression de conformité - Les agences sont sous pression pour se conformer aux exigences du contrôle d’accès NIST 800-53
  •  Exposition des systèmes - Les dispositifs de protection existants, tels que le Cisco ACS, sont entrés en phase de fin de vie
  • Action coordonnée - Nécessité d’exploiter les infrastructures et les systèmes existants pour automatiser la prévention et la réponse en connaissance de cause
  • Ressources limitées - Les budgets sont limités et le personnel de sécurité expérimenté est rare


Pulse Secure met l’informatique dans la boucle

Protection de l’accès de bout en bout pour les agences civiles, les services de renseignement et le ministère de la défense

  • Répondez aux exigences de conformité pour les commandes 802.1x (IEEE), les STIG de commutateur de niveau 2, la « Conformité à la connexion » et les commandes NIST 800-53 AC
  • Sécuriser l’Internet des objets (IdO) complexe et en pleine expansion
  • Maximisez le retour sur investissement et réduisez le coût total de possession grâce à l’interopérabilité avec l’infrastructure de réseau et de sécurité existante

Suite Pulse Essentials Plus

Essentials Plus permet un accès informatique hybride fluide et sécurisé aux datacenters et infrastructures cloud sur les ordinateurs de bureau, ordinateurs portables, appareils mobiles et dispositifs IoT.  Cette suite inclut une gestion cloud centralisée de l’infrastructure Secure Access avec une interopérabilité étendue.

 

 

Suite Pulse Advanced Plus

Advanced Plus ajoute le contrôle d’accès sur site basé sur les dispositifs et sur les rôles et Optimal Gateway Selection qui connecte les utilisateurs à la passerelle d’applications disponible la plus proche pour qu’ils bénéficient de la meilleure réponse. Cette suite inclut également des analyses du comportement des utilisateurs et entités (User and Entity Behavior Analytics, UEBA).

Suite Pulse Enterprise Plus

Enterprise Plus ajoute de robustes capacités de récupération après sinistre entre régions, datacenters et clouds ainsi qu’un équilibrage flexible des charges pour les applications et passerelles pour optimiser le débit du trafic et l’expérience utilisateur.

Une solution robuste pour les exigences du NIST 800-53

Les organisations informatiques du gouvernement doivent démontrer et maintenir leur conformité avec un nombre important et sans cesse croissant de réglementations et de normes régissant le contrôle d’accès au réseau (network access control - NAC) et l’accès à distance. Depuis plus de douze ans, Pulse Secure aide les agences fédérales civiles, de renseignement et du Département de la Défense (DOD) à faire précisément cela - rapidement, de manière transparente et rentable.

La solution Pulse Secure offre une solution globale pour l’accès local et distant sur la base de l’identité de l’utilisateur et de l’appareil. Les administrateurs configurent les stratégies d’accès contextuelles sur Pulse Connect Secure pour contrôler l’accès VPN au centre de données sur la base d’appareils, de sites, de ressources, d’utilisateurs et de groupes ou même du profilage de point de terminaison. Pulse Policy Secure avec le Pulse Profiler étend les stratégies aux réseaux internes, permettant à l’organisation d’identifier, de profiler, de sécuriser et de gérer des appareils internes tout en fournissant des politiques NAC pour mise en œuvre par un écosystème croissant de solutions de sécurité de tiers. Pulse One permet une gestion centralisée et un rapport afin de fournir une visibilité totale et répondre aux besoins des environnements de conformité les plus stricts.

Mode de fonctionnement

Pulse Policy Secure, notre serveur de politiques NAC, extrêmement performant et évolutif, est fondé sur des normes industrielles robustes, notamment 802.1x et RADIUS. Il sécurise votre réseau en :

  • Protégeant les applications critiques pour la mission et les données sensibles
  • Fournissant des informations sur l’identité des utilisateurs et des appareils pour une application granulaire de la sécurité par des pare-feu, des points d’accès, des commutateurs et d’autres plateformes interopérables de nouvelle génération
  • Fournissant une gestion, un profilage et une surveillance complets du NAC pour la visibilité des utilisateurs et des appareils de l’Internet des objets (IdO)s

 

  • Fournissant un contrôle d’accès granulaire, fondé sur l’identité et le rôle, au centre de données depuis des sites distants
  • Relevant les défis du contrôle d’accès au réseau, tels que les menaces internes, le contrôle de l’accès invité et la conformité réglementaire

 

Government Diagram

Les STIG de la DISA (commutateur de niveau 2, sécurité du serveur d’authentification WLAN) et les mandats 802.1x

Lorsqu’il s’agit de répondre aux exigences d’authentification obligatoires telles que le STIG de niveau 2 de la DISA, qui impose d’activer l’authentification 802.1x, votre agence a peut-être été confrontée au problème suivant : la plupart des vendeurs veulent vendre une solution complète - et coûteuse - qui impliquerait le remplacement de vos systèmes et équipements existants : des systèmes et équipements qui ont nécessité un investissement important et que vous ne voulez pas mettre au rebut pour le moment.

Chez Pulse Secure, nous sommes agnostiques pour les vendeurs. Notre serveur d’authentification AAA/RADIUS, qui permet une authentification 802.1x irréprochable, s’intègre parfaitement dans votre infrastructure existante par des normes ouvertes. Cette intégration vous permet de maintenir vos systèmes actuels en place, ce qui accélère votre délai de rentabilisation en réduisant votre coût total de possession (TCO) et en maximisant votre retour sur investissement (ROI).

De plus, avec la solution RADIUS de Pulse Secure, il n’est pas nécessaire d’activer la connectivité 802.1x avec des solutions complexes à plusieurs niveaux nécessitant une nouvelle définition du réseau. La connectivité est activée via les capacités existantes sur vos points d’extrémité, tels que les PC, les téléphones et les serveurs, en conjonction avec les paramètres activés dans votre commutateur réseau ou point d’accès sans fil existant. Tout passe ensuite par le serveur RADIUS pour assurer une authentification conforme.

Internet des objets

L’Internet des objets (IdO) est là - et il se répand à la vitesse de la lumière. Les appareils IdO nécessitent un accès au réseau mais disposent de mises à jour logicielles et de paramètres de configuration définis par le fabricant qui limitent la capacité de les endurcir. Le ministère américain de la sécurité intérieure (Department of Homeland Security - DHS) a déclaré que l’IdO offre « de multiples possibilités aux acteurs malveillants de manipuler le flux d’informations vers et depuis les appareils connectés au réseau ». Le DHS préconise en outre que les agences définissent des contrôles d’accès au réseau afin de limiter les dispositifs IdO à des ports spécifiques et de structurer les autorisations réseau liées à l’utilisation de l’appareil IdO.

Pulse Secure soutient les initiatives gouvernementales en matière d’IdO en combinant le profilage des appareils avec des contrôles d’accès fondés sur le rôle afin de définir des politiques d’utilisation appropriées. Pulse Profiler, se fondant sur le serveur RADIUS, évalue chaque appareil IdO en fonction de son rôle et de ses droits : en d’autres mots ce qu’est le dispositif, ce qu’il doit faire et où il doit se connecter. Par exemple, une caméra vidéo ne doit se connecter qu’à sa console vidéo. Si elle commence à établir des connexions ailleurs dans le réseau, cela déclenche un signal d’alarme. Le profilage permet donc de contrôler l’accès au réseau pour l’IdO.

En supplément, Pulse Policy Secure détecte et classe automatiquement les appareils IdO et les place dans le réseau de l’IdO défini administrativement. La solution offre également un accès aux appareils IdO sur la base du sponsor, lequel peut approuver ou refuser les appareils IdO suivant les politiques de l’entreprise. Si Pulse Policy Secure détecte un profil d’IdO modifié ou un appareil IdO compromis, il prendra automatiquement des mesures pour mettre les appareils en quarantaine ou dans un réseau isolé.

Conformité à la connexion

Le programme « Conformité à la connexion » impose que tout terminal soit vérifié en ce qui a trait aux exigences de sécurité établies avant de se connecter au réseau de votre agence. Certains fournisseurs permettent à la Conformité à la connexion de fonctionner en mode sans agent. Chez Pulse Secure, nous recommandons la mise en place d’un agent Pulse Secure pour les agences gouvernementales qui se conforment aux directives Conformité à la connexion. Le tableau suivant présente les trois principales raisons de cette recommandation.

Solution sans agent Solution Pulse Secure avec agent
Les solutions sans agent vous permettent d’inspecter les terminaux à distance avant d’autoriser ou d’interdire la connexion de l’appareil au réseau. Toutefois, pour que la solution sans agent fonctionne, l’appareil doit obtenir un accès de niveau 3 via une adresse IP. Par conséquent, vous avez donné à des dispositifs potentiellement non conformes l’accès à votre réseau pendant le processus même de vérification du dispositif. Avec un agent Pulse Secure, il n’est jamais donné d’adresse IP. L’appareil n’obtient jamais une connexion complète au réseau pendant le cycle de validation. Les validations « Conformité à la connexion » sont effectuées au niveau 2 sans requérir un accès au réseau de l’appareil.
Les solutions sans agent interrogent le réseau sur une base de cycles réguliers pour vérifier les mesures de sécurité. Mais si quelqu’un commence à désactiver les protections de sécurité au début d’un cycle, il est possible de causer des dommages conséquents avant que le cycle de sondage suivant ne commence et que le danger ne soit identifié. L’agent Pulse Secure est toujours en fonction et effectue une surveillance continue. Toutes les modifications des mesures de sécurité sont détectées en temps réel, renforçant ainsi le niveau de sécurité de votre réseau.
Les solutions sans agent ne peuvent inspecter les points d’extrémité à distance qu’en utilisant les protocoles WMI sur le réseau. Cette situation est préoccupante, car les protocoles WMI peuvent permettre aux intrus d’automatiser des activités malveillantes - ce qui est totalement inacceptable pour les organismes fédéraux de haute sécurité. L’agent Pulse Secure élimine la nécessité d’utiliser le protocole WMI, potentiellement risqué.

Reconnaissance

« Lors de la récente pandémie, Pulse Secure nous a permis d’augmenter notre accès à distance bien au-delà des objectifs officiels fixés avant l’événement (de 20 % de tous les utilisateurs à 100 % avec une capacité de réserve) en repensant notre solution actuelle et en déplaçant le matériel (installation de dispositifs, séparation des grappes, etc.). »

Ingénieur, Gouvernement fédéral

« Pulse a toujours été fiable et nous a aidé à motiver un certain nombre d’utilisateurs à télétravailler durant la crise du COVID-19. »

– Responsable informatique, Gouvernement local et d’État

« Pulse Secure permet à notre organisation d’accorder un accès extérieur aux actifs internes d’une manière plus rapide et plus sécurisée. »

– Professionnel informatique, Gouvernement local et d’État