Mobilité : quand IDaaS, CASB et EMM fusionneront…
Au départ, l’identité. Le cloud et la mobilité sont venus brouiller les cartes. IDaaS, CASB et EMM vont fusionner
Avec les services IT «historiques», l’identité n’était pas un sujet très complexe à traiter. 80% des besoins étaient adressés à un domaine Active Directory. Les services ou applications nécessitant une authentification faisaient également partie de ce domaine. Quant aux 20% restants, ils n’étaient -le plus souvent- pas spécialement traités, laissant l’utilisateur avec plusieurs comptes différents et autant de mots de passe différents pour son usage d’entreprise.
Puis vint la mobilité… Que faire, en effet, lorsque les terminaux qui accèdent aux applications sont des terminaux mobiles multi-OS ? Qui n’a jamais dû saisir son mot de passe d’entreprise sur son terminal mobile pour accéder à sa boite aux lettres, à SalesForce ou tout autre service d’entreprise ? Voici deux ans, l’industrie pariait sur l’IDaaS (IDentity-as-a-Service), aves des acteurs comme Okta parmi les leaders. Aujourd’hui, on voit plus large, avec la convergence attendue avec la gestion de la mobilité d’entreprise (EMM – Enterprise Mobility Management) et avec les passerelles de sécurisation des accès aux applications cloud (CASB – Cloud Acces Security Broker).
Microsoft y travaille, mais également IBM et VMware. Cisco ne vient-il pas de mettre la main sur CloudLock à cette fin ? Une intégration avec ISE (Identity Services Engine) permettrait de boucler la boucle de visibilité et de contrôle des accès. Peu avant, Symantec, qui compte parmi les leaders de la gestion des identités et des accès, s’était offert Blue Coat qui, lui, avait pris pied sur le marché des CASB en 2015… Une chose est sûre : une grande intégration est en cours, parce qu’accéder à des services cloud depuis le Web ou un terminal mobile, c’est pareil !
L’heure est aux grandes manoeuvres. Chacun avance ses pions. En septembre 2015, IBM présentait Cloud Security Enforcer, une offre intégrant justement IDaaS, CASB et prévention des menaces. Quant à la brique d’EMM, IBM en dispose depuis la fin 2013, avec MaaS360 de FiberLink. Big Blue est fin prêt !
Pas si simple, en revanche, pour VMware. Le spécialiste de la virtualisation et de l’identité ne peut se contenter de la brique EMM d’AirWatch, il lui faut compléter l’offre avec une solution de CASB. Un accord avait été signé avec CloudLock. Mais, maintenant que ce dernier est tombé dans l’escarcelle de Cisco, il lui faudra revoir ses plans…
VMware prône l’intégration par l’identité
Pour VMware, la sécurité de la mobilité n’est en rien isolée. Son approche combine AirWatch, Identity Manager et Workspace ONE. A la clé, une solution intégrée de la gestion des identités et des environnements de travail. Et VMware d’ajouter Verify, une nouvelle application dédiée à l’authentification à double facteur.
Outre la gestion d’identité, la gestion de terminaux, VMware inclut la fourniture d’applications en temps réel. A travers un catalogue d’applications qu’il crée lui-même, l’utilisateur y accède en cliquant sur une simple icône. Les applications à usage professionnel sont isolées des autres. Des fonctionnalités additionnelles pourront pousser plus loin l’isolation. Par exemple, le logiciel Boxer de cette suite permet de créer un espace sécurisé et chiffré contenant les e-mails, les contacts et le calendrier.
En mariant Workspace ONE avec VMware Identity Manager et AirWatch, VMware crée une expérience utilisateur sans couture entre poste de travail, web et mobile. Pour ce faire, VMware utilise un système breveté Secure App Token System (SATS) qui établit la confiance entre l’utilisateur, le terminal, l’application et l’entreprise. Si un doute subsiste, une action d’authentification supplémentaire peut être demandée avec un VMware Verify reposant sur une authentification multi-facteurs.
La sécurité remonte jusqu’au data center avec NSX, la plate-forme de virtualisation de réseau conçue pour le Software-Defined Data Center. Une intégration a été réalisée entre AirWatch et NSX, qui applique un modèle «Zero Trust» basé sur la micro-segmentation qu,i comme son nom l’indique, cloisonne au plus petit niveau et évite ainsi à des malwares par exemple de se propager latéralement (trafic Est-Ouest) dans une architecture applicative.