Auteurs
Meeta Gupta
Scott Pendleton
Architecte de solutions
Catégories
RUCKUS Wi-Fi d’entreprise du gouvernement fédéral des États-Unis
Une agence réglementaire fédérale a été confrontée à ce défi en 2020. L’agence souhaitait une solution Wi-Fi qui se trouvait sur une infrastructure conforme au Federal Risk and Authorization Management Program (FedRAMP), qui était un service géré, et qui fournirait une couverture Wi-Fi sécurisée et contrôlée à ses cinq sites à travers le pays pour plus de 1 300 utilisateurs finaux, selon une nouvelle étude de cas, Comment les agences fédérales peuvent obtenir un Wi-Fi hautement sécurisé, sans passer par le processus ATO.
Sécuriser le sans fil au bureau
Pour activer cette capacité, les décideurs d’agence se sont tournés vers Paliton Networks et CommScope RUCKUS, qui ont conçu et déployé une solution hautement évolutive qui permet à tous les employés de cette agence de mener des activités officielles sur leurs ordinateurs portables d’équipement fourni par le gouvernement (GFE), sans avoir besoin de déployer deux réseaux distincts : l’un pour les activités officielles et l’autre pour les activités non officielles.
La solution, appelée Internet d’entreprise non officielle contrôlée, ou CNOBI de Paliton, a été conçue pour fournir une couverture Wi-Fi aux entreprises non officielles du gouvernement. Cependant, elle peut être utilisée pour fournir une couverture Wi-Fi aux entreprises officielles également. Il est contrôlé car il limite l’accès aux seules personnes explicitement autorisées. Il est contrôlé car il fournit des services de filtrage des URL RUCKUS pour limiter l’accès au contenu non sécurisé sur le lieu de travail. Il est contrôlé car RUCKUS Analytics permet de créer des rapports sur l’activité des utilisateurs. En tant que service de base, il n’est pas officiel car, bien qu’il réponde à de nombreuses exigences, il réside en dehors du processus de sécurité et d’accréditation de l’agence. Un avantage distinct lorsqu’il est combiné à d’autres solutions.
Avec une solution gérée, différents types d’utilisateurs peuvent être séparés sur le même réseau. Les agences peuvent authentifier les employés pour mener des activités officielles sur leurs appareils GFE, des activités non officielles sur les appareils BYOD et parrainer l’accès aux visiteurs de l’agence.
En tant que service géré, CNOBI et ses composants sont détenus, exploités et entretenus par Paliton. La solution est hautement sécurisée, répond à de nombreux contrôles de sécurité du NIST (National Institute of Standards and Technology), est conforme à la FIPS (Federal Information Processing Standard) et fonctionne sur une infrastructure autorisée par le FedRAMP : Microsoft Azure GovCloud.
Avantages CNOBI
Avec la solution CNOBI en place, les employés d’agence peuvent se trouver dans n’importe quel établissement d’agence, utiliser leurs ordinateurs portables GFE et, sans fil et en toute sécurité, être en mesure de mener des activités officielles.
Comme de nombreuses agences pendant la pandémie, cette agence fédérale a fourni des ordinateurs portables GFE à ses employés afin qu’ils puissent travailler à domicile. Ces ordinateurs portables sont équipés de logiciels de sécurité et de fonctionnalités qui les obligent à se connecter automatiquement au réseau privé virtuel (VPN) hautement sécurisé de l’agence immédiatement après la connexion à un réseau Wi-Fi fiable.
Si cela peut être fait à la maison, pourquoi pas dans un environnement de bureau ?
Le mariage des deux solutions offre aux employés d’agence un service de confiance pour effectuer un travail officiel sur les ordinateurs portables GFE tout en maintenant la mobilité au bureau. Un utilisateur peut simplement se déconnecter et se reconnecter automatiquement via le VPN via Wi-Fi partout où CNOBI a une couverture. Le matériel et le logiciel CommScope RUCKUS certifiés FIPS résidant en haut de l’infrastructure FedRAMP fournissent une assurance de service et permettent aux appareils GFE d’appliquer des normes de cryptage plus élevées.
CNOBI protège également les utilisateurs et les réseaux sans fil contre les attaques de fragments, une nouvelle catégorie de vulnérabilités zero-day qui affectent la plupart des appareils Wi-Fi, à la fois les clients et les réseaux. Les adversaires peuvent exploiter ces vulnérabilités pour exécuter du code malveillant, prendre le contrôle des appareils, capturer des données et utiliser les appareils pour lancer d'autres attaques.
Les utilisateurs de CNOBI sont protégés par nature, car la solution repose sur le protocole 802.1X EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) pour authentifier les identités individuelles basées sur des certificats au lieu de mots de passe partagés. Les systèmes basés sur EAP-TLS atténuent les attaques de fissuration, d’homme au milieu ou de fragmentation, car chaque côté de la connexion Wi-Fi, le système Wi-Fi et l’appareil de l’utilisateur final, s’authentifie mutuellement. Si l’un ou l’autre des deux côtés ne fait pas confiance à l’autre, il ne peut pas se connecter. Cela empêche l’utilisateur final de se connecter accidentellement à un appareil malveillant, garantissant que seuls les utilisateurs autorisés peuvent se connecter au système Wi-Fi. Une fois que les utilisateurs ont inscrit leurs appareils, ils n’ont plus jamais besoin de saisir de mot de passe.
De plus, CommScope RUCKUS Analytics aide à améliorer la gestion et l’efficacité de l’agence. Il s’agit notamment d’analyses prédictives pour alerter les responsables d’agences sur les mesures d’utilisation anticipée des ressources afin de permettre des ajustements de politique préventive ou de contrôle, si nécessaire.
CNOBI simplifie l'informatique tout en fournissant aux employés des agences un Wi-Fi hautement sécurisé depuis n'importe quel endroit où le service est déployé.
Pour en savoir plus, téléchargez l’étude de cas fédérale : Comment les agences fédérales peuvent obtenir un Wi-Fi hautement sécurisé, sans passer par le processus ATO
