Sécurisation d’une infrastructure IT basée sur le cloud pour plus de 30.000 appareils
Home / Media / News / Sécurisation d'une infrastructure IT basée sur le cloud pour plus de 30.000 appareils par KeyTalk CKMS

Sécurisation d’une infrastructure IT basée sur le cloud pour plus de 30.000 appareils
20 Jan ‘23

Le monde change rapidement et l’accélération augmente chaque décennie. Les entreprises et organisations modernes s’adaptent à une infrastructure informatique entièrement évolutive et accessible de n’importe où via Internet, afin que les employés puissent travailler et collaborer de n’importe où dans le monde.

Un grand client opérant à l’échelle mondiale a relevé le défi il y a 3 ans de fonctionner en toute sécurité sans les installations de la société mère. Cela impliquait de construire une infrastructure informatique flexible capable de prendre en charge plus de 30 000 utilisateurs dans le monde en peu de temps.

Face à cet énorme défi, l’entreprise a choisi de concevoir une nouvelle infrastructure informatique entièrement basée sur le “Cloud” qui peut fournir rapidement et en toute sécurité à tous les employés, à domicile ou sur l’un des milliers de sites dans le monde, un lieu de travail. L’un des principaux défis consistait à créer un accès réseau sécurisé sans les tracas d’une gestion fastidieuse des mots de passe.

L’entreprise a opté pour l’authentification basée sur un certificat 802.1x EAP/TLS, où chaque appareil d’entreprise approuvé accède au réseau mondial de l’entreprise sur la base d’un certificat d’authentification de courte durée et d’une paire de clés cryptographiques pour un accès crypté en toute sécurité.

GlobalSign a été choisi comme fournisseur d’autorité de certification pour les certificats d’authentification et de serveur privés et les certificats de serveur de confiance publique (TLS/SSL), tous les certificats étant émis par la plate-forme d’émission Atlas moderne et entièrement certifiée de GlobalSign. De ce fait, l’entreprise est assurée de respecter les règles strictes de contrôle et de conformité du CAB Forum dans le domaine des PKI. En choisissant un certificat d’authentification de courte durée, elle s’est assurée que tous les appareils sont périodiquement validés afin de maintenir un accès sécurisé au réseau de l’entreprise.

Mais comment un tel certificat d’authentification peut-il être demandé rapidement et facilement de la bonne manière, déployé sur le bon appareil, puis géré et remplacé à temps? Microsoft Intune pour les appareils d’entreprise et Bring Your Own (BYO) a été choisi comme base de la solution compte tenu de l’expérience MS Azure de l’équipe informatique.

Mais comment un appareil géré par Intune demande-t-il un certificat d’authentification à une autorité de certification publique telle que GlobalSign, de sorte qu’il soit clair à tout moment quels appareils ;

  • Obtenu avec succès un certificat;
  • Devraient renouveler leur certificat d’authentification dans les prochains jours ;
  • N’ont pas reçu de certificat et pourquoi pas ;
  • N’ont pas renouvelé leur certificat d’authentification à temps ;
  • Ne sont pas encore munis d’un certificat d’authentification valide.

Pour cela, le KeyTalk Certificate & Key Management System (CKMS), hébergé sur la plate-forme cloud privée Azure, a été choisi comme solution critique pour le traitement et la gestion des demandes de certificat de plus de 30 000 appareils. Les serveurs KeyTalk CKMS sont installés dans une configuration active-active N+1 dans plusieurs régions du monde en conjonction avec Azure LoadBalancers, les HSM Utimaco basés sur le cloud et une base de données Azure MySQL robuste et entièrement évolutive qui crypte toutes les informations de gestion des certificats des appareils.

Une fois que tous les profils ont été déployés et appliqués aux appareils via MS Intune, les appareils sont invités à récupérer un certificat d’authentification auprès des serveurs KeyTalk sur la base du protocole Intune SCEP. Le service KeyTalk agit comme un proxy SCEP pour GlobalSign Atlas, en vérifiant d’abord la demande avec MS Intune. Une fois qu’Intune a confirmé l’autorisation, la demande de signature de certificat (CSR) originale basée sur SCEP est envoyée à GlobalSign Atlas, qui renvoie ensuite un certificat signé ou un message d’erreur si la CSR ne répond pas aux exigences de GlobalSign.

Le service KeyTalk a entre-temps stocké une copie du certificat émis et signé dans la base de données KeyTalk chiffrée et transmet le certificat à MS Intune, qui à son tour le transmet à l’appareil concerné où la clé publique est à nouveau liée à sa propre clé privée à un paire unique, où pour les appareils basés sur le système d’exploitation Windows, la clé privée est stockée sur la puce TPM locale, puis le profil Wifi 802.1x EAP/TLS correct est appliqué.

Quotidiennement, ce client reçoit des rapports automatisés du service KeyTalk sur l’avancement des demandes de certificats et du déploiement, afin que l’équipe Workplace puisse intervenir rapidement si des rapports de demandes infructueuses sont reçus. Cela se traduit par un processus de gestion des certificats d’authentification basé sur le cloud entièrement automatisé pour tous les appareils qui doivent se connecter en toute sécurité à leur réseau informatique mondial. Si vous avez des questions sur cette application moderne et parfaitement fonctionnelle dans le cloud, veuillez nous contacter.

L’équipe KeyTalk