À propos de la connexion d'appareils itinérants
Certains appareils administrés se trouvent toujours en dehors du réseau principal (par exemple, les ordinateurs dans les succursales régionales d'une entreprise ; les kiosques, les distributeurs de billets et les terminaux installés dans différents points de vente ; les ordinateurs dans les bureaux à domicile des employés). Certains appareils sortent du périmètre de temps en temps (par exemple, les ordinateurs portables des utilisateurs qui visitent les succursales régionales ou le bureau d'un client).
Vous devez toujours surveiller et administrer la protection des appareils itinérants : recevoir des informations réelles sur leur état de la protection et maintenir leurs applications de sécurité à jour. Cela est nécessaire, car, par exemple, si un tel appareil est compromis alors qu'il est éloigné du réseau principal, il pourrait devenir une plateforme de propagation de menaces dès qu'il se connecte au réseau principal. Pour connecter des appareils itinérants au Serveur d'administration, vous pouvez utiliser deux méthodes :
- Passerelle de connexion dans la zone démilitarisée (DMZ)
Voir le schéma de trafic de données : Serveur d'administration sur LAN, appareils administrés sur Internet, passerelle de connexion utilisée
- Serveur d'Administration dans la zone démilitarisée
Voir le schéma de trafic de données : Serveur d'administration dans la DMZ, appareils administrés sur Internet.
Une passerelle de connexion dans la DMZ
Une méthode recommandée pour connecter des appareils itinérants au Serveur d'administration consiste à organiser une DMZ dans le réseau de l'organisation et à installer une passerelle de connexion dans la DMZ. Les appareils externes se connecteront à la passerelle de connexion, et le Serveur d'administration à l'intérieur du réseau amorcera la connexion aux appareils via la passerelle de connexion.
Par rapport à l'autre méthode, celle-ci est plus sécurisée :
- Il n'est pas nécessaire d'ouvrir l'accès au Serveur d'administration depuis l'extérieur du réseau.
- Une passerelle de connexion compromise ne présente pas un risque élevé pour la sécurité des appareils du réseau. Une passerelle de connexion ne gère rien elle-même et n'établit aucune connexion.
En outre, une passerelle de connexion ne nécessite pas de nombreuses ressources matérielles.
Cependant, cette méthode comporte un processus de configuration plus compliqué :
- Pour qu'un appareil serve de passerelle de connexion dans la DMZ, vous devez installer l'Agent d'administration et le connecter au Serveur d'administration d'une manière très spécifique.
- Vous ne pourrez pas utiliser la même adresse pour vous connecter au Serveur d'administration dans toutes les situations. De l'extérieur du périmètre, vous devrez utiliser non seulement une adresse différente (adresse de passerelle de connexion), mais également un mode de connexion différent : via une passerelle de connexion.
- Vous devez également définir différents paramètres de connexion pour les ordinateurs portables situés à différents endroits.
Le scénario de cette section décrit cette méthode.
Serveur d'administration dans la DMZ
Une autre méthode consiste à installer un seul Serveur d'administration dans la DMZ.
Cette configuration est moins sécurisée que l'autre méthode. Pour gérer les ordinateurs portables externes dans ce cas, le Serveur d'administration doit accepter les connexions de n'importe quelle adresse sur Internet. Il gérera toujours tous les ordinateurs du réseau interne, mais à partir de la DMZ. Par conséquent, un serveur compromis pourrait causer d'énormes dégâts, malgré la faible probabilité d'un tel événement.
Le risque diminue considérablement si le Serveur d'administration de la DMZ ne gère pas les appareils du réseau interne. Une telle configuration peut être utilisée, par exemple, par un fournisseur de services pour gérer les appareils des clients.
Cette méthode peut être intéressante dans les cas suivants :
- Si vous connaissez bien l'installation et la configuration du Serveur d'administration et que vous ne souhaitez pas effectuer une autre procédure pour installer et configurer une passerelle de connexion.
- Si vous avez besoin de gérer plus d'appareils. La capacité maximale du Serveur d'administration est de 100 000 appareils, tandis qu'une passerelle de connexion peut prendre en charge jusqu'à 10 000 appareils.
Cette solution présente également des difficultés possibles :
- Le Serveur d'administration nécessite plus de ressources matérielles et une base de données supplémentaire.
- Les informations sur les ordinateurs seront stockées dans deux bases de données indépendantes (pour le Serveur d'administration à l'intérieur du réseau et une autre dans la DMZ), ce qui complique la surveillance.
- Pour gérer tous les appareils, le Serveur d'administration doit être intégré dans une hiérarchie, ce qui complique non seulement la surveillance, mais également la gestion. Une instance de Serveur d'administration secondaire impose des limitations sur les structures possibles des groupes d'administration. Vous devez décider quelles tâches et stratégies distribuer à une instance de Serveur d'administration secondaire et la manière de le faire.
- La configuration des appareils externes pour utiliser le Serveur d'administration dans la DMZ depuis l'extérieur et pour utiliser le Serveur d'administration principal depuis l'intérieur n'est pas plus simple que la configuration pour utiliser une connexion conditionnelle via une passerelle.
- Risques de sécurité élevés. Une instance de Serveur d'administration compromise facilite la compromission de ses ordinateurs portables administrés. Si cela se produit, il suffit aux pirates informatiques d'attendre que l'un des ordinateurs portables revienne sur le réseau de l'entreprise afin de pouvoir continuer leur attaque sur le réseau local.