Introduction au guide pratique beem Basic Security Edition
Ce guide est destiné aux administrateurs informatiques, aux chefs de projet techniques et aux partenaires impliqués dans l'intégration et la migration vers beem Basic Security Edition.
Ce guide vous aide à migrer un environnement existant vers beem Basic Security Edition et à intégrer votre locataire dédié. Il utilise des modules modulaires avec des étapes claires pour l'activation, la configuration et la migration des environnements existants et nouveaux. Utilisez les modules pour personnaliser une transition en douceur et une utilisation efficace des fonctionnalités de beem Basic Security Edition.
Que sont les blocs de construction ?
Les modules offrent une approche modulaire pour la mise en œuvre de beem Basic Security Edition. Chaque module peut être appliqué dans différents ordres afin de correspondre aux objectifs et à l'environnement de votre organisation.
La condition de départ est la base de tous les blocs de construction. À partir de là, vous pouvez organiser les blocs dans l'ordre qui correspond le mieux à vos besoins.
Les blocs de construction peuvent également être utilisés de manière itérative, ce qui vous permet de répéter certaines étapes lorsque vous affinez ou améliorez des processus. Cette flexibilité garantit que l'approche d'intégration et de migration peut être adaptée à n'importe quelle situation.
Condition de départ
Avant de commander beem Basic Security Edition, vous devez décider comment le processus d'intégration sera géré. Vous avez trois options :
- Swisscom Center of Excellence : forfaits de services payants avec accompagnement par des experts tout au long de la planification et de la migration. Idéal si vous souhaitez bénéficier d'une assistance structurée.
- Partenaire : intégration menée par un partenaire certifié. Recommandé si vous travaillez déjà avec un partenaire de confiance ou si vous avez besoin d'une expertise externe.
- Faites-le vous-même (DIY) : géré en interne par votre équipe informatique. Convient si vous disposez des ressources, des connaissances et de l'expérience nécessaires et préférez avoir un contrôle total.
Votre choix dépend des ressources disponibles, de votre expertise interne et de vos besoins en matière d'assistance. Une fois votre décision prise, vous pouvez passer votre commande pour beem Basic Security Edition et procéder à l'Approvisionnement de locataires.
Approvisionnement de locataires
Une fois que vous avez passé commande via le beem Hub, Tenant Provisioning sécurise automatiquement les appareils éligibles (appareils mobiles, PC, Mac, tablettes et terminaux IoT équipés d'une carte SIM Swisscom) via beemNet. La protection est active au niveau national et en itinérance. Les emplacements que vous sélectionnez lors de la configuration sont ajoutés à votre tenant en même temps que ces appareils. Cette étape automatisée jette les bases d'une configuration ultérieure : dès le départ, vos premiers appareils et sites sont connectés au réseau sécurisé beemNet sans configuration manuelle.
Les fonctionnalités de sécurité Internet sont activées par défaut, bloquant immédiatement les sites Web malveillants et autres menaces en ligne. Notez que tous les produits SIM ne prennent pas en charge à la fois la protection et la connexion ; certains n'offrent qu'une seule fonctionnalité. Si vous prévoyez d'utiliser le masquage d'adresse IP de terminaison, sachez que les environnements nécessitant des adresses IP publiques fixes peuvent nécessiter des exceptions ou des modèles alternatifs. Évaluez ces exigences dès le début afin de garantir un déploiement sans heurts.
Blocs de construction
l’appli beem
L’appli beem pour Windows, macOS, iOS, iPadOS et Android protège les appareils clients lorsqu'ils se connectent via des réseaux tiers ou non sécurisés (par exemple, le Wi-Fi public). Elle utilise l'inspection approfondie des paquets pour détecter et bloquer le trafic dangereux, vous offrant ainsi une protection granulaire contre les sites Web malveillants et les réseaux compromis.
Déploiement
Vous pouvez installer l'application de deux façons :
- Libre-service : les utilisateurs téléchargent et installent eux-mêmes l'application.
- Déploiement géré : les administrateurs déploient l'application sur les appareils inscrits via la gestion des appareils.
Tous les appareils sont gérés de manière centralisée dans le beem Hub.
Licence
Une licence utilisateur valide est requise pour :
- Authentification sans mot de passe dans l’appli beem.
- Protection des appareils contre les cybermenaces.
- Accès zéro confiance aux applications métier pour les employés et les partenaires.
Pour préparer :
- Définissez les utilisateurs que vous souhaitez intégrer et les groupes auxquels ils doivent appartenir.
- Commandez et attribuez les licences nécessaires dans le beem Hub.
- Utilisez les groupes comme critères dans les politiques d'accès pour le contrôle des applications basé sur le contexte.
INFO
Lorsque vous gérez les comptes et les groupes UNID, concentrez-vous sur l'alignement avec les besoins de l'entreprise plutôt que sur l'optimisation excessive des attributions de licences.
Expérience utilisateur et administrateur
- Les utilisateurs finaux reçoivent des notifications push spécifiques à leur appareil en temps réel et peuvent consulter leur tableau de bord de sécurité personnel dans l'application. Le tableau de bord affiche les contenus bloqués et les incidents évités.
- Les administrateurs ont accès à un tableau de bord de sécurité agrégé et anonymisé au niveau de l'entreprise, qui leur offre une visibilité sur la protection globale tout en préservant la confidentialité des données individuelles.
Device Management
La gestion des appareils permet un contrôle centralisé des appareils clients fonctionnant sous Windows, macOS, iOS, iPadOS et Android. Elle vous permet de renforcer la sécurité et de protéger les données de l'entreprise sur l'ensemble de votre parc d'appareils.
Capacités
- Bloquez à distance les appareils perdus ou volés.
- Effacez les données d'entreprise des appareils enregistrés sans affecter le contenu personnel.
- Appliquez des politiques d'appareils prédéfinies qui sont mises à jour en permanence.
Activation
Après votre commande initiale, vous pouvez activer la gestion des appareils dans le beem Hub. Ce processus relie la plateforme de gestion des appareils mobiles (MDM) à votre tenant beem Basic Security Edition.
Configuration
- Décidez si vous souhaitez gérer tous les systèmes d'exploitation pris en charge ou uniquement certains d'entre eux.
- Effectuez toutes les étapes de configuration spécifiques au système d'exploitation directement dans le beem Hub (par exemple, créer et associer un compte Apple Business Manager pour gérer les appareils iOS et macOS).
- Une fois activées, choisissez parmi les politiques d'appareils prédéfinies et attribuez-les aux groupes d'appareils concernés.
Découverte d'applications
La découverte des applications consiste à identifier toutes les applications métier présentes dans votre environnement, à déterminer qui doit y avoir accès et à définir comment elles peuvent être utilisées. Elle s'applique aux applications hébergées sur des serveurs locaux, dans des clouds privés ou publics et sur des plateformes SaaS.
Objectif
Il est essentiel de dresser un inventaire complet des applications avant la migration. Sans cela, des applications importantes pourraient rester non protégées ou mal configurées. Lors de la création de l'inventaire, posez-vous les questions suivantes :
- Comment les utilisateurs accèdent-ils actuellement à cette application ? Uniquement en interne ou également en externe ?
- L'accès est-il fourni via VPN, accès à distance ou directement via le cloud ?
- Quels groupes ou rôles nécessitent un accès ?
- L'application fonctionne-t-elle sur site, dans le cloud ou en tant que SaaS ?
Cela garantit que les applications sont cataloguées à la fois selon des modèles d'accès techniques et des exigences commerciales.
Détection automatisée dans beem Basic Security Edition
Pour faciliter ce processus, beem Basic Security Edition offre une fonction automatisée de détection des applications.
- Mode apprentissage : fonctionne pendant une période configurable (par exemple, plusieurs semaines) afin de capturer l'utilisation normale.
- Analyse passive : surveille le trafic LAN/WAN à l'aide du reniflage de protocole, de l'heuristique et de l'agrégation afin d'identifier les serveurs d'applications potentiels.
- Analyse active : complète les méthodes passives en sondant les nœuds du réseau qui ne génèrent pas nécessairement un trafic élevé.
- Catalogue SaaS : une bibliothèque intégrée d'environ 8 000 applications SaaS permet la détection automatique de nombreux services courants.
Le résultat est une vue consolidée des applications utilisées, simplifiant la configuration des métadonnées et des routes des applications dans beem Fabric.
Modèles de connectivité
Chaque type d'application nécessite une approche de connectivité différente. Lors de la découverte, déterminez le modèle qui s'applique à chaque application :
- Applications privées sur site (Edge Interceptor) :
- Les applications hébergées sur des serveurs locaux peuvent être publiées en toute sécurité à l'aide du routeur Swisscom Centro Business.
- Le routeur transfère le trafic Internet entrant directement vers l'hôte final du réseau local (entrée), ce qui élimine le besoin d'un pare-feu distinct sur site dans cette configuration.
- Les directives de sécurité peuvent être définies par adresse IP publique fixe ou par nom de domaine complet (FQDN).
- Applications privées dans le cloud (tunnel) :
- Les applications privées hébergées dans le cloud sont sécurisées grâce à des tunnels cryptés entre les appareils clients et l'infrastructure cloud.
- La connectivité basée sur un tunnel prend en charge plusieurs modèles de déploiement (par exemple, IaaS, PaaS) et garantit une application cohérente des politiques dans différents environnements.
- Applications SaaS (CASB en ligne) :
- Le trafic SaaS est sécurisé par un courtier de sécurité d'accès au cloud (CASB) en ligne, qui surveille l'activité et applique des politiques en temps réel.
- Vous pouvez sélectionner dans le catalogue SaaS pris en charge afin d'appliquer des contrôles Zero-Trust aux services choisis.
Pourquoi il est important de détecter la maladie à un stade précoce
La cartographie des applications et des exigences de connectivité dès le début évite d'avoir à refaire le travail plus tard dans le processus de migration. En sachant si une application appartient à un modèle Edge Interceptor, tunnel ou CASB, vous pouvez aligner la configuration de beem Basic Security Edition sur votre environnement professionnel dès le départ. Au cours du processus de découverte, différentes approches de connectivité doivent être envisagées en fonction du déploiement des applications : les applications sur site nécessitent généralement des modèles de connectivité Edge Interception, les applications hébergées dans le cloud sont mieux servies par des connexions tunnel sécurisées, tandis que les applications Software-as-a-Service bénéficient d'une intégration en ligne Cloud Access Security Broker (CASB). Comprendre ces exigences de connectivité dès le début permet de déterminer la configuration beem Basic appropriée pour chaque type d'application.
Accès Internet
beem Basic Security Edition offre une sécurité Internet intégrée pour tous les appareils connectés. Les fonctionnalités de protection contre les menaces et de confidentialité sont activées par défaut, offrant aux utilisateurs une navigation sécurisée avec le blocage automatique des sites Web malveillants, des tentatives d'hameçonnage et des réseaux non sécurisés. La plateforme donne la priorité à la sécurité Internet dès le départ, garantissant une protection immédiate contre les menaces provenant du Web.
Masquage de l'adresse IP d'un point de terminaison
Une fonctionnalité centrale de beem Basic Security Edition est le masquage des adresses IP des terminaux, qui dissimule les adresses IP des appareils et des sites à l'Internet public.
- Fonctionnement : la traduction d'adresses réseau de niveau opérateur (CGNAT) traite vos adresses IP privées comme non routables et les remplace par une adresse IP publique partagée provenant du pool beem.
- Ce que les autres voient : les sites Web et services externes voient l'adresse IP publique suisse partagée, jamais l'adresse IP réelle du client ou du site.
- Comportement par défaut : le masquage est activé par défaut pour les appareils et les emplacements.
Avantages
- Confidentialité : empêche les sites Web et les tiers de suivre les adresses IP individuelles des appareils.
- Sécurité : réduit l'exposition aux attaques ciblées telles que les attaques par déni de service (DoS) ou l'ingénierie sociale.
- Conformité : garantit que l'adresse IP publique présentée à Internet est toujours suisse, conformément aux exigences en matière de protection des données et à la réglementation.
Exceptions et planification
Si vous avez besoin d'une connectivité entrante (par exemple, une adresse IP publique fixe pour publier des services), vous pouvez désactiver le masquage par emplacement. Dans ces cas :
- Exception par emplacement : le cloaking peut être désactivé pour certains sites spécifiques.
- Limitations : l'utilisation d'adresses IP publiques fixes avec le masquage désactivé peut poser des problèmes de configuration.
- Recommandations : Dans la mesure du possible, adoptez des alternatives modernes et centralisées afin de maintenir un Security Level élevé tout en répondant aux exigences en matière de connectivité.
Accès Zero-Trust pour les applications professionnelles privées
Les applications commerciales privées et les données d'entreprise peuvent être sécurisées à l'aide d'un modèle d'accès zéro confiance. Ces applications peuvent être hébergées sur des serveurs locaux au sein du réseau de l'entreprise ou déployées dans le cloud.
Pour les appareils clients qui font déjà partie de beemNet, l'accès zéro confiance aux applications privées est pris en charge même sans l’appli beem.
Approche de mise en œuvre
Les organisations peuvent mettre en place l'accès zéro confiance par étapes :
- Commencez par les applications critiques : sécurisez d'abord les services essentiels à l'activité afin de réduire les risques les plus élevés.
- Déployez progressivement : étendez la protection à d'autres applications au fil du temps, en utilisant le même cadre Zero-Trust.
- Aligner sur les priorités commerciales : veiller à ce que les étapes de migration correspondent aux besoins opérationnels et aux ressources disponibles.
Cette approche progressive minimise les perturbations, réduit la complexité et garantit la protection des fonctions commerciales essentielles dès le début du déploiement.
Accès Zero-Trust pour les logiciels en tant que service (SaaS)
L'accès aux applications SaaS que vous avez sélectionnées peut être sécurisé et contrôlé à l'aide des principes d'accès zéro confiance.
Un courtier de sécurité d'accès au cloud (CASB) en ligne applique les politiques en temps réel. Grâce à un proxy direct, le CASB peut appliquer des contrôles d'accès zéro confiance à la fois à l'intérieur et à l'extérieur de beemNet, en fonction de votre choix de déploiement.
Cela garantit que seuls les utilisateurs authentifiés et autorisés ont accès aux applications SaaS, les politiques étant appliquées de manière cohérente, quel que soit leur emplacement.
Connectez et protégez les serveurs (web) locaux
Vous pouvez exposer en toute sécurité des serveurs web locaux à Internet lorsque le site du serveur est connecté à beemNet via une connexion haut débit Swisscom.
- Méthodes d'accès : les serveurs locaux peuvent être publiés à l'aide d'une adresse IP fixe ou d'un DNS dynamique (DynDNS).
- Contrôles de sécurité : les directives de sécurité sont appliquées par adresse IP fixe ou nom de domaine complet (FQDN).
- Gestion du trafic : le routeur Swisscom Centro Business transfère le trafic Internet entrant (ingress) vers l'hôte final du réseau local à l'aide de la fonctionnalité Edge Interceptor.
- Impact sur l'infrastructure : cette configuration élimine le besoin d'un pare-feu distinct sur site, car le routage et l'application des mesures de sécurité sont gérés par le routeur et les politiques beem.
Préparation du réseau et du trafic
Avant de mettre en œuvre beem Basic Security Edition, vous devez préparer votre réseau afin qu'il prenne en charge une connectivité sécurisée et des performances fiables.
Accès au serveur local
Si vous prévoyez de rendre des serveurs locaux (web) accessibles depuis Internet :
- Connectivité : les serveurs doivent être connectés à beemNet via une connexion haut débit Swisscom.
- Méthodes de publication : les serveurs peuvent être publiés à l'aide d'adresses IP fixes ou d'un DNS dynamique (DynDNS).
- Application des mesures de sécurité : des directives de sécurité peuvent être définies pour chaque adresse IP fixe ou nom de domaine complet (FQDN).
- Gestion du trafic : le trafic Internet entrant (ingress) est transféré directement vers l'hôte LAN via la fonctionnalité Edge Interceptor intégrée au routeur Swisscom Centro Business.
- Impact : cette configuration élimine le besoin d'un pare-feu local distinct.
Tâches de préparation du réseau
Pour garantir une intégration harmonieuse et une stabilité à long terme :
- Évaluer les politiques de routage : examiner le routage réseau existant afin de confirmer sa compatibilité avec l'intégration de beemNet.
- Planification de la bande passante : vérifiez que la capacité disponible est suffisante pour gérer le trafic crypté et sécurisé.
- Conception de l'intégration : aligner l'adressage IP, le DNS et les modèles de connectivité avec la configuration de base prévue pour beem.
Une préparation adéquate réduit le risque de perturbations lors du déploiement et garantit que les services beem Basic fonctionnent avec une sécurité et des performances optimales dès le départ.
Mise hors service du VPN
La migration des solutions VPN traditionnelles vers beem Basic Security Edition nécessite une approche progressive afin d'éviter toute interruption et d'assurer la continuité de l'accès.
Étapes clés
- Évaluation : examinez toutes les connexions VPN existantes et identifiez les applications et les groupes d'utilisateurs qui en dépendent actuellement.
- Remplacement : transférez progressivement ces connexions vers des méthodes d'accès zéro confiance prises en charge par beem Basic.
- Déploiement progressif : remplacer l'utilisation du VPN par étapes, en validant chaque phase avant de passer à la suivante.
- Mise hors service : ne retirez l'ancienne infrastructure VPN qu'après avoir vérifié que tous les utilisateurs concernés disposent d'un accès sécurisé et fiable via beem Basic.
Orientation
- Réalisez le processus par étapes, et non en une seule fois, afin de minimiser le risque de perturbation des activités.
- Veillez toujours à ce que les applications critiques restent accessibles tout au long de chaque phase.
- Documentez chaque étape afin que les dépendances et les exceptions soient entièrement prises en compte avant l'arrêt définitif. Cette approche garantit que la mise hors service du VPN renforce la sécurité tout en maintenant la continuité des opérations commerciales.
Mise hors service du pare-feu
Avec beem Basic Security Edition, l'infrastructure traditionnelle de pare-feu sur site peut être mise hors service de manière contrôlée, car la plateforme offre des fonctions de sécurité intégrées.
Étapes clés
- Documentation : Capturez toutes les règles de pare-feu, tables NAT et politiques de sécurité existantes actuellement utilisées.
- Mappage : traduisez ces règles en politiques beem Basic équivalentes dans le hub beem.
- Test : Vérifiez que les nouvelles politiques fournissent l'accès et la protection souhaités sans créer de lacunes.
- Suppression progressive : mettez hors service les anciens pare-feu par étapes, uniquement après avoir validé chaque étape.
Fonctions de sécurité intégrées
Le besoin en pare-feu autonomes est réduit, car beem Basic Security Edition offre :
- Inspection approfondie des paquets pour une analyse granulaire du trafic.
- Détection avancée des menaces contre le trafic malveillant et les tentatives d'intrusion.
- Application centralisée des politiques pour tous les utilisateurs et tous les appareils.
Cette approche permet aux organisations de simplifier leur infrastructure, de bénéficier d'une gestion unifiée de la sécurité, tout en conservant un contrôle granulaire sur l'accès au réseau et la posture de sécurité.
Mise hors service de l'infrastructure de bureau virtuel (VDI)
L'infrastructure de bureau virtuel (VDI) traditionnelle peut être progressivement supprimée à mesure que l'accès zéro confiance remplace les méthodes traditionnelles de fourniture d'applications. Cela réduit la dépendance vis-à-vis des environnements VDI centraux tout en permettant un accès sécurisé, indépendant du type d'appareil utilisé.
Étapes clés
- Inventaire : examinez toutes les applications actuellement fournies via VDI et classez-les (critiques pour l'activité ou non critiques).
- Migration : transition de l'accès aux applications vers le modèle Zero-Trust, permettant une utilisation sécurisée sur les appareils gérés et non gérés.
- Réduction progressive : désactivez progressivement les ressources VDI, en validant chaque étape afin de vous assurer que les applications migrées fonctionnent comme prévu.
- Retrait définitif : ne retirez définitivement l'environnement VDI qu'après avoir vérifié que toutes les applications requises fonctionnent de manière sécurisée et fiable via beem Basic Security Edition.
Avantages
- Flexibilité : les applications deviennent accessibles sur un plus large éventail d'appareils sans nécessiter de session VDI.
- Sécurité : l'accès « Zero-Trust » impose des contrôles basés sur l'identité et le contexte pour chaque application.
- Continuité : la mise hors service progressive évite toute interruption des activités en garantissant que chaque phase est testée et validée avant de passer à la suivante.
Approches de mise en œuvre avec beem Basic
Les composants de beem Basic Security Edition peuvent être combinés dans différentes séquences afin de répondre aux besoins de chaque organisation. Cette approche modulaire garantit que la migration peut être adaptée aux priorités commerciales, à l'infrastructure existante et aux ressources disponibles.
Ce chapitre fournit des exemples de chemins de mise en œuvre. Chaque chemin illustre comment les éléments constitutifs peuvent être organisés pour soutenir un objectif spécifique, tel que le déploiement axé sur la sécurité, la gestion des appareils, la visibilité des applications ou la conformité. Les exemples soulignent également la flexibilité du cadre : les organisations peuvent suivre une séquence recommandée ou adapter l'ordre des éléments constitutifs en fonction de leur environnement et de leur stratégie.
Principes de mise en œuvre
Les exemples suivants illustrent comment les composants de base de beem Basic Security Edition peuvent être combinés dans différentes séquences de migration. Chaque séquence est conçue pour une situation ou une priorité commerciale spécifique, telle que la sécurité immédiate, la gestion des appareils, la visibilité des applications ou la conformité.
Les exemples sont rédigés dans un langage clair et non technique afin que les décideurs, les partenaires et les administrateurs puissent comprendre les options et choisir la voie qui convient le mieux à leur organisation.
Exemples
Séquence A : Approche axée sur la sécurité
Pour les entreprises qui accordent la priorité à une protection immédiate contre les cybermenaces Cette séquence est idéale si vous souhaitez protéger vos appareils et vos données contre les pirates informatiques, le phishing ou les sites Web malveillants le plus rapidement possible.
Idéal pour : les petites entreprises ou celles dont les employés travaillent à distance et qui s'inquiètent des risques liés à la sécurité.
Séquence B : Approche centrée sur les appareils
Pour les entreprises disposant de nombreux appareils ou employés mobiles Cette séquence est idéale si vous souhaitez vous concentrer sur la gestion et la sécurisation des appareils, tels que les téléphones et les ordinateurs portables, utilisés par les employés travaillant à partir de différents endroits.
Idéal pour : les entreprises ayant mis en place une politique BYOD (Bring Your Own Device) ou dont les employés travaillent à distance.
Séquence C : Approche axée sur les applications
Pour les entreprises qui souhaitent comprendre leur environnement applicatif avant de sécuriser l' Cette séquence est idéale si vous disposez de nombreuses applications et souhaitez les répertorier avant d'apporter des modifications afin de vous assurer que rien n'est oublié.
Idéal pour : les entreprises disposant d'environnements applicatifs complexes qui ont besoin d'une vue d'ensemble claire avant la migration.
Séquence D : Approche axée sur la conformité
Pour les entreprises des secteurs réglementés qui ont besoin d'une documentation exhaustive Cette séquence est conçue pour les entreprises qui doivent respecter des règles strictes (par exemple, dans le domaine de la santé ou de la finance) et qui ont besoin de suivre chaque étape de la migration.
Idéal pour : les entreprises des secteurs réglementés qui ont besoin de registres détaillés et d'une conformité totale.
Séquence E : Approche au démarrage
Pour les nouvelles entreprises disposant d'un minimum de systèmes existants Cette séquence s'adresse aux start-ups ou aux nouvelles entreprises qui démarrent avec peu ou pas de systèmes informatiques existants, et met l'accent sur une configuration rapide et simple.
Idéal pour : les nouvelles entreprises ou les start-ups qui développent leur infrastructure informatique à partir de zéro.
Séquence G : Approche hybride axée sur le cloud
Pour les entreprises qui dépendent fortement des applications cloud et disposent de certains systèmes sur site Cette séquence s'adresse aux entreprises qui utilisent principalement des applications cloud (par exemple, Salesforce), mais qui disposent également de quelques systèmes sur site, et qui accordent la priorité à la sécurité du cloud.
Idéal pour : les entreprises qui utilisent à la fois des systèmes cloud et sur site, et qui accordent la priorité à la sécurité du cloud.
Séquence H : Approche centrée sur l'IoT
Cette séquence est parfaite pour les entreprises où les appareils IoT (par exemple, les traceurs GPS dans les camions, les capteurs dans les usines ou les caméras dans les bâtiments) sont essentiels, car elle met l'accent sur la sécurisation et la gestion de ces appareils.
Idéal pour : les entreprises disposant de nombreux appareils IoT, telles que les sociétés de logistique équipées de traceurs GPS, les usines dotées de machines intelligentes ou les bâtiments équipés de capteurs et de caméras.