M ISE EN ŒUVRE M OVE IT DMZ
V1.8
Mars 2013
VOTRE CONTACT
COMMERCIAL
FLORENCE LAPREVOTE LIGNE DIRECTE :0134933530 EMAIL : FLAPREVOTE@ORSENNA.FR
VOTRE CONTACT
TECHNIQUE
JEAN-PHILIPPE SENCKEISEN EMAIL : JPSENCKEISEN@ORSENNA.FR
T ABLE DES MATIERES
1 Préambule ... 3
1.1 Orsenna ... 3
1.2 Notre métier, vous accompagnez sur vos projets ... 3
1.2.1 Missions d’analyse du marché ... 3
1.2.2 Benchmarks ... 3
1.3 Partenaires Editeurs ... 3
2 Analyse Globale Projet Type ... 4
2.1 Points forts du produit MoveIt DMZ ... 4
2.2 Présentation globale ... 5
2.3 Produits Mis en Œuvre – Solution Move It ... 6
2.4 MoveIT DMZ versus WS_SFTP... 7
2.5 Architecture & Haute disponibilité ... 8
2.5.1 MoveIt DMZ ... 8
2.5.1.1 Architecture multi-niveaux ... 8
2.5.1.2 Ferme de serveurs ... 8
2.5.2 MoveIt Central ... 10
2.6 Analyse– Fonctionnalités attendues ... 11
2.6.1 Organisation du stockage et gestion des droits d’accès ... 11
2.6.2 Notification des utilisateurs ... 13
2.6.3 Sécurité des transferts ... 14
2.6.4 Intégrité des transferts ... 16
2.7 Analyse– Fonctionnalités Complémentaires (Option) ... 18
2.7.1 Ad Hoc Transfer Module ... 18
2.7.2 MoveIt DMZ API Interface ... 21
2.8 Pré-requis Environnement Serveur ... 22
3 Mise en œuvre Projet ... 23
3.1 Présentation de la démarche méthodologique pour la réalisation de la prestation ... 23
3.2 Phase 1 : Initialisation du projet ... 23
3.2.1 Description ... 23
3.2.2 Points d’entrée ... 23
3.3 Phase 2 : Mise en œuvre ... 24
3.3.1 Description ... 24
3.3.2 Points d’entrée ... 24
3.3.3 Fournitures et revues ... 24
3.4 Phase 3 Formation et transfert de compétence ... 24
3.5 Livrables et documentation ... 25
3.6 Tableau de charge de travail ... 26
4 Prestations complémentaires ... 27
4.1 Maintenance ... 27
4.2 Assistance, expertise et formation ... 27
5 Budget ... 28
5.1 Architecture MoveIT Dmz ... 28
5.2 Architecture MoveIT Dmz avec Failover et Environnement de développement ... 29
5.3 Prestations Ingénierie-Formation ... 30
6 Conclusion ... 31
1 P
REAMBULE1.1 O
RSENNAOrsenna est présent depuis 2005 sur le marché du transfert de fichier.
Orsenna intervient à toutes les étapes de vos projets de supervision : - Analyse des besoins
- Consultation des éditeurs - Mise en œuvre des solutions
1.2 N
OTRE METIER,
VOUS ACCOMPAGNEZ SUR VOS PROJETS1.2.1 Missions d’analyse du marché
Orsenna est missionné régulièrement par les éditeurs ou les intégrateurs afin de réaliser : - Etude technique comparative des outils (Ex: Ipswitch)
- Animation de séminaire de présentation (Ex : Ipvista, Ipswitch)
1.2.2 Benchmarks
Nous réalisons régulièrement une validation des produits du marché sur notre plate-forme de tests soit au titre de la veille technologique soit pour des besoins ponctuels de clients.
Notre plate-forme est constituée par des environnements variés au niveau des plates-formes applicatives.
1.3 P
ARTENAIRESE
DITEURSOrsenna s’appuie sur les produits du marché en intégrant les solutions adaptées à votre environnement avec l’éditeur Ipswitch:
Editeur de WSFTP Server Editeur de MoveIT
2 A
NALYSEG
LOBALEP
ROJETT
YPEDans le cadre des prestations de service pour les clients et fournisseurs , il est prévu de pouvoir proposer une nouvelle prestation, consistant en la mise à disposition d’une plateforme de stockage et d’échange sécurisé de fichiers hébergée sur le réseau.
L’objectif de ce document est de décrire les différentes phases du projet et les moyens humains et techniques mis en œuvre pour la réalisation de ces travaux.
2.1 P
OINTS FORTS DU PRODUITM
OVEI
TDMZ
Voici les différents points forts du produit :
Sécurité : Contrôler et gérer de façon sécurisée les transferts de fichiers au sein et en dehors de l’entreprise afin d’éviter la violation de données.
Respect : Permet aux entreprises qui transfert des données confidentiels de répondre aux exigences des politiques de conformité et de gouvernance.
Personne à personne : Donner à une personne non technique une solution facile afin de transmettre et recevoir rapidement des fichiers de toutes tailles.
Rapports et suivi : Permet de réaliser des rapports personnalisables pour le suivi des taches réalisées dans l’entreprise.
2.2 P
RESENTATION GLOBALELe réseau d’échange de documents est composé des entités suivantes : - Siège
- Centres distants - Clients
Cet environnement doit permettre de :
Fournir une gestion des droits d’accès aux fichiers restreint en s’appuyant notamment sur l’AD.
Assurer la confidentialité des transferts de fichiers en HTTPS INTERNET
LAN
DMZ Firewall
Utilisateur Interne Utilisateur
externe
Serveur de fichiers
Serveur Moteur échange
Accès aux fichiers venants de l'utilisateur externe
ou mise à disposition de fichiers pour l'utilisateur externe Dépôt ou
téléchargement sécurisé en mode web
2.3 P
RODUITSM
IS ENŒ
UVRE– S
OLUTIONM
OVEI
TDans le cadre de cet exemple, les produits pouvant être mis en œuvre sur l’environnement vis- à-vis des thèmes abordés sont les suivants:
- MOVEit DMZ Server
Le composant MoveIT Dmz assure la fonction de serveur de transfert de fichiers sécurisé, il est idéalement situé en DMZ.
Optionnellement, l’intégration du module Ad-Hoc permet de bénéficier de fonctions améliorées de Messagerie sécurisé et d’une intégration avec Outlook.
2.4 M
OVEIT DMZ
VERSUSWS_SFTP
WS_FTP Server 7.5
Corporate MOVEit DMZ 7.0 Visibilité
Contrôle de l’intégrité des
logs -- OK
Des rapports détaillés et
personnalisables -- OK
Gestion
Le partage de fichiers de personne à personne
Fichier max de 2GB par l’interface Web
(limitation IIS)
Pas de limite car Active X Langues de l’interface pour
les utilisateurs finaux Anglais & Allemand Anglais, Allemand, Français et Espagnol Administration et délégation
des tâches Serveurs et hôtes Serveurs, hôtes et groupes L'authentification via une
base de données utilisateur externe
LDAP, AD, NT, ODBC LDAP, AD, NT, ODBC, RADIUS Authentification multiples
par hôte -- OK
Intégration aux formulaires
des sites Web et SharePoint -- OK
SDK avec interface API -- OK
Application / Exécution
Règles d'expiration des fichiers / dossiers sur le
serveur
-- OK
Sécurité indépendante de
l’OS -- OK
Encryptions des données sur
le serveur -- OK
Plusieurs clés SSH par
utilisateur -- OK
2.5 A
RCHITECTURE& H
AUTE DISPONIBILITE 2.5.1 MoveIt DMZVoici les différents types de configuration : Configuration Besoin de
l’entreprise
Nombre de nœuds MoveIt DMZ
Détails Déploiement de
l’architecture en plusieurs niveaux
Sécurité et conformité au
politique IT
1 actif ou plus Possibilité de déployer MoveIt DMZ, les fichiers systèmes ainsi que la base de données sur 3 serveurs
différents.
Ferme de serveurs Performance et extensibilité
2 actif ou plus Utilisation du « load balancer » afin de distribuer
les charges à travers les multiples MoveIt DMZ
2.5.1.1 Architecture multi-niveaux
Un déploiement avec un nœud unique d'application (un MoveIt DMZ Entreprise) offre une sécurité accrue en segmentant la base de données et les composants du système de fichiers sur des serveurs différents. Les fichiers et les données sont déplacés hors de la DMZ publique.
Un déploiement multi-niveaux peut exploiter l'infrastructure en intégrant également MoveIt DMZ avec des serveurs d'entreprise et de base de données existante ainsi qu’avec des serveurs de stockage SAN / NAS.
Figure 1 - Architecture 3 tiers
2.5.1.2 Ferme de serveurs
Un déploiement avec plusieurs nœuds MOVEit DMZ Enterprise augmente les performances et la disponibilité en répartissant la charge lors de la distribution des fichiers.
Une configuration en mode « Ferme de serveurs » nécessite un minimum de deux licences MOVEit DMZ Entreprise identiques, chacune avec le même nombre d’organisations et d’options (Plugin). L’acquisition de deux ou plusieurs licences permet à l’utilisateur d'utiliser les fonctionnalités requise pour l’application « MoveIt DMZ Enterprise Web Farm » sans frais supplémentaire.
MOVEit DMZ en mode « webfarms » peut être utilisé avec un Load Balancer physique (Cisco ou F5), ou avec le service Network Load Balancing de Microsoft.
Figure 2 - Architecture Ferme Web
MoveIt DMZ Enterprise en mode « ferme web » permet à plusieurs nœuds d'application d’utiliser un emplacement de stockage des données afin de stocker l’ensemble des fichiers cryptés. La configuration (utilisateurs, fichiers, dossiers et journaux d'audit) est stockée dans la base de données de MOVEit DMZ Enterprise d’un des serveurs.
Haute disponibilité et performance :
Le déploiement des composants MoveIt DMZ Enterprise avec un accès contrôlé par un
« Load Balancer » permet d’augmenter les performances ainsi que la disponibilité. La haute disponibilité peut être mise en place en utilisant plusieurs Cluster de base de données ainsi que plusieurs nœuds liés aux espaces de stockage des « FileSystem ». Ces informations peuvent être stockés sur des NAS / SAN.
MOVEit DMZ Enterprise en mode « ferme de serveurs » opère comme un seul MOVEit DMZ Enterprise qui gère toutes les demandes des clients, et coordonne les données vers les nœuds.
2.5.2 MoveIt Central
Une solution native permet le mode « Failover » de MoveIt Central, ce mode fonctionne en Actif Passif automatique.
Le module Failover permet de répliquer automatiquement :
- Paramètres (Tâches, Host, Groupes, Paramètres de debug, informations sur les états, les différentes clés, les scripts spécifiques et les statistiques).
2.6 A
NALYSE– F
ONCTIONNALITES ATTENDUES2.6.1 Organisation du stockage et gestion des droits d’accès
Le produit MoveIT DMZ permet de gérer dans la DMZ des dossiers, sous dossiers et fichiers associés à des droits utilisateurs ou à des droits de groupes
Figure 3 : Droits sur les dossiers
L’interface de la passerelle est personnalisable par groupe d’utilisateur afin de n’afficher que les éléments nécessaires à la fonction de chaque catégorie d’utilisateur.
Figure 4 : Personnalisation de l'interface
2.6.2 Notification des utilisateurs
Différents mécanismes de notifications sont accessibles dans l’environnement MoveIT :
MoveIt DMZ : Notification par dossier/fichier
Sur la base de règles liées au téléchargement (fichier reçu, fichier téléchargé, fichier non téléchargé), des notifications peuvent être émises.
Figure 5 : Notification fichier DMZ
Les messages sont configurables au niveau des contenus :
Figure 6 : Configuration Message Notification
2.6.3 Sécurité des transferts
La sécurité des transferts est assurée via l’utilisation de connexion sécurisée (option par défaut) soit HTPPS, SFTP ou FTPS
Ci-après les différentes règles possibles affectables aux utilisateurs ou groupes :
Différents modes peuvent être utilisés :
Figure 7 : Configuration HTTPs
Figure 8 : Configuration FTPS
Figure 9 : Configuration SFTP
2.6.4 Intégrité des transferts
Le contrôle d’intégrité des transferts est effectué sous réserve que le composant client (client FTP) supporte cette fonctionnalité. Ceci permet de prouver qui a transféré le fichier.
Les composants supportant cette fonctionnalité sont :
MOVEit Upload/Download Wizard (ActiveX or Java) avec o Internet Explorer 6.0, 7.0 et plus
o FireFox (2.0, 3.0, and 3.5)
o Google Chrome (versions 2.0 and 3.0)
o Safari (versions 2, 3, and 4) under Macintosh OS X
Enfin d’autres clients FTP supportent ce contrôle d’intégrité en FTPS:
MOVEit Freely (free command-line)
MOVEit Buddy (GUI)
MOVEit Central (w/Admin)
WS_FTP Professional & WS_FTP Home (GUI, version 7 and higher, Windows) ( version 12 and higher)
SmartFTP (GUI, version 1.6 and higher, Windows)
Le composant MOVEit Upload/Download Wizard correspond à:
Figure 10 : MoveIT WIZARD
2.7 A
NALYSE– F
ONCTIONNALITESC
OMPLEMENTAIRES(O
PTION)
2.7.1 Ad Hoc Transfer Module
Ce plugin donne aux utilisateurs un moyen sûr d'envoyer rapidement de façon sécurisée des messages et fichiers cryptés à d'autres personnes en utilisant leur navigateur ou directement à travers Outlook.
Les avantages :
Augmenter la productivité: Pas de temps perdu à trouver comment envoyer un fichier à quelqu'un d'autre (fichier directement stocké sur MoveIt DMZ).
Simplifier la collaboration: Envoyez facilement les fichiers cryptés ainsi que les messages sécurisés à n’importe qui (interne ou externe à la société).
Intégration direct à Outlook.
Ne charge plus le serveur mail de l’entreprise avec les pièces jointes (sauvegarde sur le serveur MoveIt DMZ).
Gestion des utilisateurs directement dans l’interface Web de MoveIt DMZ (Quota, droits…).
Possibilité de mettre en place le plugin sur l’ensemble des utilisateurs à distance.
Création automatique d’un utilisateur temporaire si l’utilisateur n’est pas présent dans la base, celui-ci recevra un login et mot de passe afin de télécharger le fichier
(suppression automatique du compte au bout de X jours…)
Gestion des rapports pour le suivi.
Figure 11 : Outlook avec envoi sécurisé
Depuis Outlook on peut préciser des valeurs telles que :
Notification
Fichier périmé sur une durée ou un nombre de téléchargement
Figure 12 : Paramètres Outlook pour l'envoi
On dispose dans l’espace MoveIT DMZ d’une zone lié à cette messagerie sécurisée :
Figure 13 : Réception d’un nouveau fichier (lien + password)
Figure 14 - Accès au site web
Vous avez ensuite la possibilité de télécharger le package (l’expéditeur pourra être notifié en cas de téléchargement ou de non téléchargement dans les X jours).
Figure 15 - Téléchargement du fichier
2.7.2 MoveIt DMZ API Interface
MoveIt DMZ API offre aux clients une API (incluant les applications WEB) afin d’accéder à une grande variété de services et de possibilités administratives à travers MoveIt DMZ :
Créer, transférer et supprimer des fichiers, des messages et des formulaires Web
Créer, gérer et supprimer des utilisateurs, des dossiers et des autorisations
Sécuriser et stocker des fichiers, des messages et des formulaires Web
Exécuter des rapports prédéfinis et créer et exécuter des rapports personnalisés
Utiliser la base de données utilisateur intégrée de MOVEit DMZ
L’API peut être utilisée par ASP.NET, ASP, Access, C++, .NET, SQL Server DTS, Office, C#, VB, VBScript et autres sur Windows Vista Business Edition/XP/2000/2003/2008.
L’API est livré avec un client en ligne de commande pour FTP/FTPS qui peut être utilisé par des scripts ou des batchs, ainsi que par le gestionnaire de tâches Windows.
L’API permet également la gestion des clés SSH et des certificats SSL. Les programmeurs peuvent utiliser le COM ou l'API Java pour la gestion des clés SSH et des certificats SSL.
2.8 P
RE-
REQUISE
NVIRONNEMENTS
ERVEURL’environnement recommandé pour MoveIt DMZ est :
Système exploitation : Windows 2008 (32-bit and 64-bit English and 32-bit German);
Windows Server 2003 (32-bit and 64-bit English and 32-bit German)
OS pour les API et le Wizard: Windows 7 (32-bit and 64-bit English); Windows Vista (32-bit and 64-bit English); Windows Server 2008 (32-bit and 64-bit English);
Windows Server 2003 (32-bit and 64-bit English); Windows XP (32-bit English). Java version: RHEL 5, Ubuntu 8.0.4, MacOS 10.4 and 10.5
Virtualisation: Support pour VMware ESX (32-bit and 64-bit guest servers) &
Microsoft Hyper-V 1.0 (32-bit and 64-bit guest servers)
Navigateurs: Internet Explorer 6.0, 7.0 and 8.0 (Windows only); Mozilla Firefox 2.0 and 3.5 (Windows, Mac and RedHat Linux); Chrome 2.0 and 3.0 (Windows only);
Safari 3.0 and 4.0 (Mac only)
Versions Outlook ( Ad Hoc Transfer module Outlook plug-in): Outlook 2003 (32- bit only) and Outlook 2007 (32-bit only).
Nous recommandons d’utiliser les versions d’OS 32 bits ou 64 bits en version US pour faciliter le support technique.
3 M
ISE EN ŒUVREP
ROJETDans le cadre du projet et sur la base des éléments d’informations disponibles, nous
proposons une mise en place de la solution de supervision sur la base d’un planning de travail suivant :
3.1 P
RESENTATION DE LA DEMARCHE METHODOLOGIQUE POUR LA REALISATION DE LA PRESTATIONLa mise en œuvre du projet comprend les phases suivantes :
Phase 1 : Initialisation du projet,
Phase 2 : Mise en œuvre
Phase 3: Formation et Transfert de Compétences.
3.2 P
HASE1 : I
NITIALISATION DU PROJET 3.2.1 DescriptionLa première phase du projet est une phase d’initialisation, qui est une phase de prévision et d’organisation de l’ensemble des actions à mener pendant le déroulement du projet pour atteindre les objectifs assignés. Il s’agit essentiellement de définir et mettre en place les moyens nécessaires, en particulier définir :
Le rôle des participants du groupe de projet devant intervenir au cours de la phase,
Les modalités de travail,
Les objectifs poursuivis,
Les moyens matériels et logiciels nécessaires au maquettage - prototypage.
Cette étape, importante pour cadrer le projet, sera réalisée en partie sous la forme d’une réunion de lancement prévue au démarrage des travaux.
Tâches
Définition de l’équipe projet : les différents intervenants, leurs rôles et responsabilités,
Déterminer le mode de communication pendant le déroulement du projet,
Planning,
Préciser les trames des livrables,
Préciser le mode de fonctionnement avec le client et les règles d’arbitrage,
Détailler finement le planning du projet et positionner les différents jalons,
Répartir les tâches par collaborateur,
Préciser les normes et méthodes utilisées, 3.2.2 Points d’entrée
Cahier des charges ,
La Proposition Technique et Financière de Orsenna,
3.3 P
HASE2 : M
ISE EN ŒUVRE3.3.1 Description
Cette phase permet de mettre en œuvre des scénarios de validation de la solution. Ce déploiement est effectué en collaboration avec les équipes du client.
Les procédures d’administration et d’exploitation sont mises en œuvre à cette occasion.
Le client fournit une aide pour accéder aux environnements (notamment en cas de problème technique dû aux règles de sécurité et de filtrage).
3.3.2 Points d’entrée
Cahier des charges,
La Proposition Technique et Financière d’Orsenna,
3.3.3 Fournitures et revues
Documentation d’Exploitation, destiné aux administrateurs
3.4 P
HASE3 F
ORMATION ET TRANSFERT DE COMPETENCENous disposons d’un canevas standard de formation pour les utilisateurs et les Administrateurs sur l’environnement proposé.
Celui-ci inclus un plan de formation sur 1 jour qui reste néanmoins adaptable à vos besoins.
3.5 L
IVRABLES ET DOCUMENTATIONLes livrables fournis dans le cadre du projet sont les suivants :
Documentation d’Exploitation
Les prestations s’effectuent en fonction des besoins dans les locaux du client ou dans les locaux d’Orsenna.
Les prestations de documentation s’effectuent systématiquement dans les locaux d’Orsenna.
3.6 T
ABLEAU DE CHARGE DE TRAVAILPhase Tâche Charge de travail Détails de la tâche
1- Initialisation Réunion de lancement &
Installation
1 J Réunion lancement du projet – Installation environnement
2 Mise en œuvre
Validation 3 J
Définition des environnements de validation
Mise en place des scénarios de validation
Formation 2 J Formation, Transfert de compétence
Total 6 J
La charge de travail estimée est donc de 6 jours dont 2 jours de formation.
4 P
RESTATIONS COMPLEMENTAIRES4.1 M
AINTENANCEUne prestation de maintenance est assurée par Orsenna sur les bases suivantes :
- Hotline téléphonique et email 08h30-18h30 (Jours ouvrés) (Un maximum de 10 incidents)
- Veille technologique sur les composants logiciels, - Relais auprès des supports techniques des éditeurs, - Aide à l’installation des mises à jour logicielles.
- Intervention préventive sur site de 1 jour/an
L’objectif des interventions préventives est, notamment, de valider les évolutions de la plateforme, d’analyser les bases de données d’évènements et d’assurer tout conseil sur une problématique cliente.
Cette prestation est effectuée sur la base d’une enveloppe budgétaire de 2 Hommes/jours.
4.2 A
SSISTANCE,
EXPERTISE ET FORMATIONDes prestations complémentaires d’assistance, d’expertise ou de formation peuvent être mises en place sur demande.
5 B
UDGETLe budget mis en œuvre comprend les éléments suivants (coûts en USD).
Des fortes variations du taux de change €/$ sont susceptibles d’affecter la proposition. Une mise à jour en € sera effectué avant une commande définitive.
5.1 A
RCHITECTUREM
OVEIT D
MZP/N MoveIT DMZ Tarif
MM-1100-0700 MOVEit DMZ Server Lic for Single Win2003/2008 Server $12 500,00
MM-7000-0700 Annual Standard Support - MOVEit DMZ $2 500,00
Total $ 15 000
Options module AdHoc Tarif
MM-1210-0700
MOVEit DMZ Ad Hoc Module (unlimited users) - when ordered with
MOVEit DMZ** $6 500,00
MM-7255-0700
1-Year Standard Support for MOVEit DMZ Ad Hoc Module (unlimited
users) $2 000,00
Total en USD $8 500,00
Total $ 23 500
Service Agreement : Contrat de maintenance 12 mois Ipswitch. Il comprend les mises à jour logiciel ainsi que le support email et téléphonique avec Ipswitch US.
5.2 A
RCHITECTUREM
OVEIT D
MZ AVECF
AILOVER ETE
NVIRONNEMENT DE DEVELOPPEMENT Le budget pour l’environnement MoveIT DMZ est :P/N MoveIT DMZ Mode Failover avec module AdHoc Tarif
MM-1100-0700 MOVEit DMZ Server License $ 12 500
MM-1210-0700 MOVEit DMZ Ad Hoc Transfer Module $ 6 500
MM-1105-0700 MOVEit DMZ Server License - High Availability $ 12 500 MM-1215-0700 MOVEit DMZ Ad Hoc Transfer Module - High Availability $ 6 500
MM-7000-0700 Annual Standard Support - MOVEit DMZ $ 2 500
MM-7255-0700 Annual Standard Support - MOVEit DMZ Ad Hoc Transfer Module $ 2 000
MM-7000-0700 Annual Standard Support - MOVEit DMZ $ 2 500
MM-7255-0700 Annual Standard Support - MOVEit DMZ Ad Hoc Transfer Module $ 2 000
Total sans Resiliency $ 49 000
Des fortes variations du taux de change €/$ sont susceptibles d’affecter la proposition.
Service Agreement : Contrat de maintenance 12 mois Ipswitch. Il comprend les mises à jour logiciel ainsi que le support email et téléphonique avec Ipswitch US.
5.3 P
RESTATIONSI
NGENIERIE-F
ORMATIONP/N Description Tarif Qté Total HT
Moveit-INST Installation, configuration & formation
sur 6 jours 990 € 6 5 940 €
Total 5 940 €
NB : La société ORSENNA est centre de formation agrée par l’Etat sous le numéro 11 78 0218178
6 C
ONCLUSIONNotre proposition s’appuie sur les points forts suivants : - Expertise MoveIT & Wsftp_Server
- Forte expérience de mise en œuvre de solutions - Une expertise reconnue par les éditeurs et intégrateurs - Une capacité de développement
- Indépendance vis-à-vis des éditeurs