Systancia Cleanroom 4.5 : accroitre et simplifier la sécurité d’aujourd’hui et de demain Solution de PAM (Privileged Access Management), Systancia Cleanroom offre aux entreprises la définition précise des accès d’administration réalisables sur son SI avec une traçabilité fine des actions réalisées.Cette nouvelle version apporte de nombreuses nouveautés à découvrir dans leur totalité dans la release note ou dans une version animée avec une démonstration live.Faire évoluer son SI avec le Silotage ADLe silotage AD (« AD tiering ») est un ensemble de principes et de règles de sécurité pour sécuriser un environnement fonctionnant sur l’Active Directory de Microsoft. Systancia Cleanroom propose une solution pour accéder aux serveurs dans ce contexte de sécurité particulier. Aucun compromis de sécurité n’est nécessaire pour l’accès aux postes PAW (Privileged Access Workstation) grâce à un nouveau composant : la Passerelle Cleanroom pour Windows. Ce composant garanti l’étanchéité du poste PAW tout en sécurisant l’accès réalisé par Systancia Cleanroom.Pour en savoir plus sur la mise en œuvre du PAM dans un contexte et conformément au silotage AD, téléchargez notre ebook ! Appliquer une authentification forte pour tout type d’utilisateurs Les méthodes d’authentificationL’authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service… More à deux facteurs deviennent unifiées entre la console d’administration et le portail utilisateur.Bénéficiez d’un large éventail de méthodes d’authentification à deux facteurs :TOTPFIDO2OTP (par mail ou SMS)Certificat (installé sur le poste ou présent sur une clef/carte à puce)RADIUS (interfaçage avec tout mécanisme de MFA supportant RADIUS)Pour plus de souplesse il est maintenant possible d’affecter plusieurs méthodes d’authentification multifacteurs sur un domaine.Le produit permet également d’exploiter une authentification renforcée gérée par une solution tierce grâce à la fédération d’identités (SAMLv2). Sécuriser les comptes utilisés par des automatisations Une nouvelle fonctionnalité fait son entrée pour tout besoin DevSecOps : Systancia Cleanroom ACM (Application Credential Manager). Les analystes font parfois référence à cette fonctionnalité comme « Application-to-Application Password Management » (AAPM). Cette nouvelle fonctionnalité permet d’éliminer toutes les traces d’identifiants présents en dur dans des scripts ou fichiers. Pour cela le coffre-fort Cleanroom est exploité afin de stocker les identifiants, l’accès aux identifiants étant sécurisé par l’utilisation d’un agent et l’application de politiques d’accès restreignant les accès indésirables. Contrôler la robustesse des identifiants des utilisateurs locaux Les utilisateurs locaux sont ceux stockés et gérés directement au sein de Systancia Cleanroom. Ils peuvent être utilisés pour des accès administrateurs au produit ou pour des accès utilisateurs lorsqu’il n’est pas souhaité de créer un identifiant dans son annuaire d’entreprise (par exemple pour les prestataires). Pour ces accès critiques, une politique de mot de passe adaptée est paramétrable selon les contraintes définies par votre DSI/RSSI. Il est entre-autres possible d’appliquer des contraintes sur le nombre et le type des caractères composant le nouveau mot de passe, de gérer sa durée de vie ainsi que de limiter la réutilisation de mot de passe. Intégrer une charte d’utilisation à Systancia Cleanroom Les utilisateurs de Systancia Cleanroom pouvant être des administrateurs internes et des prestataires, ayant des accès sensibles à votre SI, la signature de chartes d’utilisation peut leur être imposée avant toute utilisation du produit. Simplifier l’utilisation du TOTPL’utilisation de TOTP est considérée comme l’une des méthodes d’authentificationL’authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service… More à double facteurs les plus robustes. Pour en simplifier son usage et limiter la charge d’administration, Systancia Cleanroom peut afficher un QR Code à scanner sur toutes les applications mobiles gérant le TOTP (par exemple Google Authenticator ou Microsoft Authenticator).Affiner les accès HTML5Les transferts de fichiers ne sont plus autorisés par défaut. Un nouveau paramètre est disponible pour toutes ressources HTML5 RDP ou SSH permettant d’activer ou non la possibilité de réaliser un transfert de fichiers suivant la criticité du serveur à accéder.Simplifier les modifications de groupes avec Microsoft Entra IDLes administrateurs de la solution peuvent déclencher à tout moment une synchronisation vers Microsoft Entra ID (anciennement Azure AD) lorsqu’une configuration de fédération d’identités SAMLv2 est paramétrée avec l’IDP Microsoft Entra ID. En quelques clics, l’ensemble des nouveaux comptes ajoutés se retrouvent dans la console Systancia Cleanroom.Protéger vos identifiants du coffre-fort CleanroomL’utilisation du coffre-fort intégré Systancia Cleanroom propose désormais la possibilité de l’externaliser dans le LAN sur une base de données PostgreSQL. Pour assurer une haute disponibilité et une redondance des données, une nouvelle appliance virtuelle cluster PostgreSQL est disponible sur la Marketplace Systancia Cleanroom.Transférer des fichiers vers des machines supportant SFTPL’application SSH évolue afin de proposer un mode d’accès SFTP pour permettre à l’utilisateur le transfert de fichiers avec le serveur cible. L’administrateur conserve la traçabilité des différentes actions entreprises (répertoires accédés, fichiers téléchargés ou supprimés).Etendre les usages de vos administrateurs internesSystancia Cleanroom met à disposition des administrateurs internes la fonctionnalité d’accès direct permettant à ces derniers d’utiliser leurs outils habituels pour se connecter aux serveurs tout en ayant la traçabilité accrue proposée par le produit.Les protocoles RDP, VNC et SFTP sont maintenant supportés pour les accès directs sans agent à installer sur le serveur cible.Les accès directs authentifiés SSH permettent de ne plus passer obligatoirement par le menu de sélection de l’application.
Blog Recommandations de l’ANSSI relatives à l’administration sécurisée des systèmes d’information : quelles nouveautés dans cette 3ème version du PA-022 ?