MISE EN ŒUVRE MOVEIT DMZ V1.8

M ISE EN ŒUVRE M ^OVE IT DMZ

V1.8

Mars 2013

VOTRE CONTACT

COMMERCIAL

FLORENCE LAPREVOTE LIGNE DIRECTE :0134933530 EMAIL : FLAPREVOTE@ORSENNA.FR

VOTRE CONTACT

TECHNIQUE

JEAN-PHILIPPE SENCKEISEN EMAIL : JPSENCKEISEN@ORSENNA.FR

T ABLE DES MATIERES

1 Préambule ... 3

1.1 Orsenna ... 3

1.2 Notre métier, vous accompagnez sur vos projets ... 3

1.2.1 Missions d’analyse du marché ... 3

1.2.2 Benchmarks ... 3

1.3 Partenaires Editeurs ... 3

2 Analyse Globale Projet Type ... 4

2.1 Points forts du produit MoveIt DMZ ... 4

2.2 Présentation globale ... 5

2.3 Produits Mis en Œuvre – Solution Move It ... 6

2.4 MoveIT DMZ versus WS_SFTP... 7

2.5 Architecture & Haute disponibilité ... 8

2.5.1 MoveIt DMZ ... 8

2.5.1.1 Architecture multi-niveaux ... 8

2.5.1.2 Ferme de serveurs ... 8

2.5.2 MoveIt Central ... 10

2.6 Analyse– Fonctionnalités attendues ... 11

2.6.1 Organisation du stockage et gestion des droits d’accès ... 11

2.6.2 Notification des utilisateurs ... 13

2.6.3 Sécurité des transferts ... 14

2.6.4 Intégrité des transferts ... 16

2.7 Analyse– Fonctionnalités Complémentaires (Option) ... 18

2.7.1 Ad Hoc Transfer Module ... 18

2.7.2 MoveIt DMZ API Interface ... 21

2.8 Pré-requis Environnement Serveur ... 22

3 Mise en œuvre Projet ... 23

3.1 Présentation de la démarche méthodologique pour la réalisation de la prestation ... 23

3.2 Phase 1 : Initialisation du projet ... 23

3.2.1 Description ... 23

3.2.2 Points d’entrée ... 23

3.3 Phase 2 : Mise en œuvre ... 24

3.3.1 Description ... 24

3.3.2 Points d’entrée ... 24

3.3.3 Fournitures et revues ... 24

3.4 Phase 3 Formation et transfert de compétence ... 24

3.5 Livrables et documentation ... 25

3.6 Tableau de charge de travail ... 26

4 Prestations complémentaires ... 27

4.1 Maintenance ... 27

4.2 Assistance, expertise et formation ... 27

5 Budget ... 28

5.1 Architecture MoveIT Dmz ... 28

5.2 Architecture MoveIT Dmz avec Failover et Environnement de développement ... 29

5.3 Prestations Ingénierie-Formation ... 30

6 Conclusion ... 31

1 P

1.1 O

Orsenna est présent depuis 2005 sur le marché du transfert de fichier.

Orsenna intervient à toutes les étapes de vos projets de supervision : - Analyse des besoins

- Consultation des éditeurs - Mise en œuvre des solutions

1.2 N

,

1.2.1 Missions d’analyse du marché

Orsenna est missionné régulièrement par les éditeurs ou les intégrateurs afin de réaliser : - Etude technique comparative des outils (Ex: Ipswitch)

- Animation de séminaire de présentation (Ex : Ipvista, Ipswitch)

1.2.2 Benchmarks

Nous réalisons régulièrement une validation des produits du marché sur notre plate-forme de tests soit au titre de la veille technologique soit pour des besoins ponctuels de clients.

Notre plate-forme est constituée par des environnements variés au niveau des plates-formes applicatives.

1.3 P

E

Orsenna s’appuie sur les produits du marché en intégrant les solutions adaptées à votre environnement avec l’éditeur Ipswitch:

Editeur de WSFTP Server Editeur de MoveIT

2 A

G

P

T

Dans le cadre des prestations de service pour les clients et fournisseurs , il est prévu de pouvoir proposer une nouvelle prestation, consistant en la mise à disposition d’une plateforme de stockage et d’échange sécurisé de fichiers hébergée sur le réseau.

L’objectif de ce document est de décrire les différentes phases du projet et les moyens humains et techniques mis en œuvre pour la réalisation de ces travaux.

2.1 P

M

I

DMZ

Voici les différents points forts du produit :

 Sécurité : Contrôler et gérer de façon sécurisée les transferts de fichiers au sein et en dehors de l’entreprise afin d’éviter la violation de données.

 Respect : Permet aux entreprises qui transfert des données confidentiels de répondre aux exigences des politiques de conformité et de gouvernance.

 Personne à personne : Donner à une personne non technique une solution facile afin de transmettre et recevoir rapidement des fichiers de toutes tailles.

 Rapports et suivi : Permet de réaliser des rapports personnalisables pour le suivi des taches réalisées dans l’entreprise.

2.2 P

Le réseau d’échange de documents est composé des entités suivantes : - Siège

- Centres distants - Clients

Cet environnement doit permettre de :

 Fournir une gestion des droits d’accès aux fichiers restreint en s’appuyant notamment sur l’AD.

 Assurer la confidentialité des transferts de fichiers en HTTPS INTERNET

LAN

DMZ ^Firewall

Utilisateur Interne Utilisateur

externe

Serveur de fichiers

Serveur Moteur échange

Accès aux fichiers venants de l'utilisateur externe

ou mise à disposition de fichiers pour l'utilisateur externe Dépôt ou

téléchargement sécurisé en mode web

2.3 P

M

Œ

– S

M

I

Dans le cadre de cet exemple, les produits pouvant être mis en œuvre sur l’environnement vis- à-vis des thèmes abordés sont les suivants:

- MOVEit DMZ Server

Le composant MoveIT Dmz assure la fonction de serveur de transfert de fichiers sécurisé, il est idéalement situé en DMZ.

Optionnellement, l’intégration du module Ad-Hoc permet de bénéficier de fonctions améliorées de Messagerie sécurisé et d’une intégration avec Outlook.

2.4 M

IT DMZ

WS_SFTP

WS_FTP Server 7.5

Corporate MOVEit DMZ 7.0 Visibilité

Contrôle de l’intégrité des

logs -- OK

Des rapports détaillés et

personnalisables -- OK

Gestion

Le partage de fichiers de personne à personne

Fichier max de 2GB par l’interface Web

(limitation IIS)

Pas de limite car Active X Langues de l’interface pour

les utilisateurs finaux Anglais & Allemand Anglais, Allemand, Français et Espagnol Administration et délégation

des tâches Serveurs et hôtes Serveurs, hôtes et groupes L'authentification via une

base de données utilisateur externe

LDAP, AD, NT, ODBC LDAP, AD, NT, ODBC, RADIUS Authentification multiples

par hôte -- OK

Intégration aux formulaires

des sites Web et SharePoint -- OK

SDK avec interface API -- OK

Application / Exécution

Règles d'expiration des fichiers / dossiers sur le

serveur

-- OK

Sécurité indépendante de

l’OS -- OK

Encryptions des données sur

le serveur -- OK

Plusieurs clés SSH par

utilisateur -- OK

2.5 A

& H

Voici les différents types de configuration : Configuration Besoin de

l’entreprise

Nombre de nœuds MoveIt DMZ

Détails Déploiement de

l’architecture en plusieurs niveaux

Sécurité et conformité au

politique IT

1 actif ou plus Possibilité de déployer MoveIt DMZ, les fichiers systèmes ainsi que la base de données sur 3 serveurs

différents.

Ferme de serveurs Performance et extensibilité

2 actif ou plus Utilisation du « load balancer » afin de distribuer

les charges à travers les multiples MoveIt DMZ

2.5.1.1 Architecture multi-niveaux

Un déploiement avec un nœud unique d'application (un MoveIt DMZ Entreprise) offre une sécurité accrue en segmentant la base de données et les composants du système de fichiers sur des serveurs différents. Les fichiers et les données sont déplacés hors de la DMZ publique.

Un déploiement multi-niveaux peut exploiter l'infrastructure en intégrant également MoveIt DMZ avec des serveurs d'entreprise et de base de données existante ainsi qu’avec des serveurs de stockage SAN / NAS.

Figure 1 - Architecture 3 tiers

2.5.1.2 Ferme de serveurs

Un déploiement avec plusieurs nœuds MOVEit DMZ Enterprise augmente les performances et la disponibilité en répartissant la charge lors de la distribution des fichiers.

Une configuration en mode « Ferme de serveurs » nécessite un minimum de deux licences MOVEit DMZ Entreprise identiques, chacune avec le même nombre d’organisations et d’options (Plugin). L’acquisition de deux ou plusieurs licences permet à l’utilisateur d'utiliser les fonctionnalités requise pour l’application « MoveIt DMZ Enterprise Web Farm » sans frais supplémentaire.

MOVEit DMZ en mode « webfarms » peut être utilisé avec un Load Balancer physique (Cisco ou F5), ou avec le service Network Load Balancing de Microsoft.

Figure 2 - Architecture Ferme Web

MoveIt DMZ Enterprise en mode « ferme web » permet à plusieurs nœuds d'application d’utiliser un emplacement de stockage des données afin de stocker l’ensemble des fichiers cryptés. La configuration (utilisateurs, fichiers, dossiers et journaux d'audit) est stockée dans la base de données de MOVEit DMZ Enterprise d’un des serveurs.

Haute disponibilité et performance :

Le déploiement des composants MoveIt DMZ Enterprise avec un accès contrôlé par un

« Load Balancer » permet d’augmenter les performances ainsi que la disponibilité. La haute disponibilité peut être mise en place en utilisant plusieurs Cluster de base de données ainsi que plusieurs nœuds liés aux espaces de stockage des « FileSystem ». Ces informations peuvent être stockés sur des NAS / SAN.

MOVEit DMZ Enterprise en mode « ferme de serveurs » opère comme un seul MOVEit DMZ Enterprise qui gère toutes les demandes des clients, et coordonne les données vers les nœuds.

2.5.2 MoveIt Central

Une solution native permet le mode « Failover » de MoveIt Central, ce mode fonctionne en Actif Passif automatique.

Le module Failover permet de répliquer automatiquement :

- Paramètres (Tâches, Host, Groupes, Paramètres de debug, informations sur les états, les différentes clés, les scripts spécifiques et les statistiques).

2.6 A

– F

2.6.1 Organisation du stockage et gestion des droits d’accès

Le produit MoveIT DMZ permet de gérer dans la DMZ des dossiers, sous dossiers et fichiers associés à des droits utilisateurs ou à des droits de groupes

Figure 3 : Droits sur les dossiers

L’interface de la passerelle est personnalisable par groupe d’utilisateur afin de n’afficher que les éléments nécessaires à la fonction de chaque catégorie d’utilisateur.

Figure 4 : Personnalisation de l'interface

2.6.2 Notification des utilisateurs

Différents mécanismes de notifications sont accessibles dans l’environnement MoveIT :

MoveIt DMZ : Notification par dossier/fichier

Sur la base de règles liées au téléchargement (fichier reçu, fichier téléchargé, fichier non téléchargé), des notifications peuvent être émises.

Figure 5 : Notification fichier DMZ

Les messages sont configurables au niveau des contenus :

Figure 6 : Configuration Message Notification

2.6.3 Sécurité des transferts

La sécurité des transferts est assurée via l’utilisation de connexion sécurisée (option par défaut) soit HTPPS, SFTP ou FTPS

Ci-après les différentes règles possibles affectables aux utilisateurs ou groupes :

Différents modes peuvent être utilisés :

Figure 7 : Configuration HTTPs

Figure 8 : Configuration FTPS

Figure 9 : Configuration SFTP

2.6.4 Intégrité des transferts

Le contrôle d’intégrité des transferts est effectué sous réserve que le composant client (client FTP) supporte cette fonctionnalité. Ceci permet de prouver qui a transféré le fichier.

Les composants supportant cette fonctionnalité sont :

 MOVEit Upload/Download Wizard (ActiveX or Java) avec o Internet Explorer 6.0, 7.0 et plus

o FireFox (2.0, 3.0, and 3.5)

o Google Chrome (versions 2.0 and 3.0)

o Safari (versions 2, 3, and 4) under Macintosh OS X

Enfin d’autres clients FTP supportent ce contrôle d’intégrité en FTPS:

 MOVEit Freely (free command-line)

 MOVEit Buddy (GUI)

 MOVEit Central (w/Admin)

 WS_FTP Professional & WS_FTP Home (GUI, version 7 and higher, Windows) ( version 12 and higher)

 SmartFTP (GUI, version 1.6 and higher, Windows)

Le composant MOVEit Upload/Download Wizard correspond à:

Figure 10 : MoveIT WIZARD

2.7 A

– F

C

(O

)

2.7.1 Ad Hoc Transfer Module

Ce plugin donne aux utilisateurs un moyen sûr d'envoyer rapidement de façon sécurisée des messages et fichiers cryptés à d'autres personnes en utilisant leur navigateur ou directement à travers Outlook.

Les avantages :

 Augmenter la productivité: Pas de temps perdu à trouver comment envoyer un fichier à quelqu'un d'autre (fichier directement stocké sur MoveIt DMZ).

 Simplifier la collaboration: Envoyez facilement les fichiers cryptés ainsi que les messages sécurisés à n’importe qui (interne ou externe à la société).

 Intégration direct à Outlook.

 Ne charge plus le serveur mail de l’entreprise avec les pièces jointes (sauvegarde sur le serveur MoveIt DMZ).

 Gestion des utilisateurs directement dans l’interface Web de MoveIt DMZ (Quota, droits…).

 Possibilité de mettre en place le plugin sur l’ensemble des utilisateurs à distance.

 Création automatique d’un utilisateur temporaire si l’utilisateur n’est pas présent dans la base, celui-ci recevra un login et mot de passe afin de télécharger le fichier

(suppression automatique du compte au bout de X jours…)

 Gestion des rapports pour le suivi.

Figure 11 : Outlook avec envoi sécurisé

Depuis Outlook on peut préciser des valeurs telles que :

 Notification

 Fichier périmé sur une durée ou un nombre de téléchargement

Figure 12 : Paramètres Outlook pour l'envoi

On dispose dans l’espace MoveIT DMZ d’une zone lié à cette messagerie sécurisée :

Figure 13 : Réception d’un nouveau fichier (lien + password)

Figure 14 - Accès au site web

Vous avez ensuite la possibilité de télécharger le package (l’expéditeur pourra être notifié en cas de téléchargement ou de non téléchargement dans les X jours).

Figure 15 - Téléchargement du fichier

2.7.2 MoveIt DMZ API Interface

MoveIt DMZ API offre aux clients une API (incluant les applications WEB) afin d’accéder à une grande variété de services et de possibilités administratives à travers MoveIt DMZ :

 Créer, transférer et supprimer des fichiers, des messages et des formulaires Web

 Créer, gérer et supprimer des utilisateurs, des dossiers et des autorisations

 Sécuriser et stocker des fichiers, des messages et des formulaires Web

 Exécuter des rapports prédéfinis et créer et exécuter des rapports personnalisés

 Utiliser la base de données utilisateur intégrée de MOVEit DMZ

L’API peut être utilisée par ASP.NET, ASP, Access, C++, .NET, SQL Server DTS, Office, C#, VB, VBScript et autres sur Windows Vista Business Edition/XP/2000/2003/2008.

L’API est livré avec un client en ligne de commande pour FTP/FTPS qui peut être utilisé par des scripts ou des batchs, ainsi que par le gestionnaire de tâches Windows.

L’API permet également la gestion des clés SSH et des certificats SSL. Les programmeurs peuvent utiliser le COM ou l'API Java pour la gestion des clés SSH et des certificats SSL.

2.8 P

-

E

S

L’environnement recommandé pour MoveIt DMZ est :

 Système exploitation : Windows 2008 (32-bit and 64-bit English and 32-bit German);

Windows Server 2003 (32-bit and 64-bit English and 32-bit German)

 OS pour les API et le Wizard: Windows 7 (32-bit and 64-bit English); Windows Vista (32-bit and 64-bit English); Windows Server 2008 (32-bit and 64-bit English);

Windows Server 2003 (32-bit and 64-bit English); Windows XP (32-bit English). Java version: RHEL 5, Ubuntu 8.0.4, MacOS 10.4 and 10.5

 Virtualisation: Support pour VMware ESX (32-bit and 64-bit guest servers) &

Microsoft Hyper-V 1.0 (32-bit and 64-bit guest servers)

 Navigateurs: Internet Explorer 6.0, 7.0 and 8.0 (Windows only); Mozilla Firefox 2.0 and 3.5 (Windows, Mac and RedHat Linux); Chrome 2.0 and 3.0 (Windows only);

Safari 3.0 and 4.0 (Mac only)

 Versions Outlook ( Ad Hoc Transfer module Outlook plug-in): Outlook 2003 (32- bit only) and Outlook 2007 (32-bit only).



Nous recommandons d’utiliser les versions d’OS 32 bits ou 64 bits en version US pour faciliter le support technique.

3 M

P

Dans le cadre du projet et sur la base des éléments d’informations disponibles, nous

proposons une mise en place de la solution de supervision sur la base d’un planning de travail suivant :

3.1 P

La mise en œuvre du projet comprend les phases suivantes :

 Phase 1 : Initialisation du projet,

 Phase 2 : Mise en œuvre

 Phase 3: Formation et Transfert de Compétences.

3.2 P

1 : I

La première phase du projet est une phase d’initialisation, qui est une phase de prévision et d’organisation de l’ensemble des actions à mener pendant le déroulement du projet pour atteindre les objectifs assignés. Il s’agit essentiellement de définir et mettre en place les moyens nécessaires, en particulier définir :

 Le rôle des participants du groupe de projet devant intervenir au cours de la phase,

 Les modalités de travail,

 Les objectifs poursuivis,

 Les moyens matériels et logiciels nécessaires au maquettage - prototypage.

Cette étape, importante pour cadrer le projet, sera réalisée en partie sous la forme d’une réunion de lancement prévue au démarrage des travaux.

Tâches

 Définition de l’équipe projet : les différents intervenants, leurs rôles et responsabilités,

 Déterminer le mode de communication pendant le déroulement du projet,

 Planning,

 Préciser les trames des livrables,

 Préciser le mode de fonctionnement avec le client et les règles d’arbitrage,

 Détailler finement le planning du projet et positionner les différents jalons,

 Répartir les tâches par collaborateur,

 Préciser les normes et méthodes utilisées, 3.2.2 Points d’entrée

 Cahier des charges ,

 La Proposition Technique et Financière de Orsenna,

3.3 P

2 : M

3.3.1 Description

Cette phase permet de mettre en œuvre des scénarios de validation de la solution. Ce déploiement est effectué en collaboration avec les équipes du client.

Les procédures d’administration et d’exploitation sont mises en œuvre à cette occasion.

Le client fournit une aide pour accéder aux environnements (notamment en cas de problème technique dû aux règles de sécurité et de filtrage).

3.3.2 Points d’entrée

 Cahier des charges,

 La Proposition Technique et Financière d’Orsenna,

3.3.3 Fournitures et revues

 Documentation d’Exploitation, destiné aux administrateurs

3.4 P

3 F

Nous disposons d’un canevas standard de formation pour les utilisateurs et les Administrateurs sur l’environnement proposé.

Celui-ci inclus un plan de formation sur 1 jour qui reste néanmoins adaptable à vos besoins.

3.5 L

Les livrables fournis dans le cadre du projet sont les suivants :

 Documentation d’Exploitation

Les prestations s’effectuent en fonction des besoins dans les locaux du client ou dans les locaux d’Orsenna.

Les prestations de documentation s’effectuent systématiquement dans les locaux d’Orsenna.

3.6 T

Phase Tâche Charge de travail Détails de la tâche

1- Initialisation Réunion de lancement &

Installation

1 J Réunion lancement du projet – Installation environnement

2 Mise en œuvre

Validation 3 J

Définition des environnements de validation

Mise en place des scénarios de validation

Formation 2 J Formation, Transfert de compétence

Total 6 J

La charge de travail estimée est donc de 6 jours dont 2 jours de formation.

4 P

4.1 M

Une prestation de maintenance est assurée par Orsenna sur les bases suivantes :

- Hotline téléphonique et email 08h30-18h30 (Jours ouvrés) (Un maximum de 10 incidents)

- Veille technologique sur les composants logiciels, - Relais auprès des supports techniques des éditeurs, - Aide à l’installation des mises à jour logicielles.

- Intervention préventive sur site de 1 jour/an

L’objectif des interventions préventives est, notamment, de valider les évolutions de la plateforme, d’analyser les bases de données d’évènements et d’assurer tout conseil sur une problématique cliente.

Cette prestation est effectuée sur la base d’une enveloppe budgétaire de 2 Hommes/jours.

4.2 A

,

Des prestations complémentaires d’assistance, d’expertise ou de formation peuvent être mises en place sur demande.

5 B

Le budget mis en œuvre comprend les éléments suivants (coûts en USD).

Des fortes variations du taux de change €/$ sont susceptibles d’affecter la proposition. Une mise à jour en € sera effectué avant une commande définitive.

5.1 A

M

IT D

P/N MoveIT DMZ Tarif

MM-1100-0700 MOVEit DMZ Server Lic for Single Win2003/2008 Server $12 500,00

MM-7000-0700 Annual Standard Support - MOVEit DMZ $2 500,00

Total $ 15 000

Options module AdHoc Tarif

MM-1210-0700

MOVEit DMZ Ad Hoc Module (unlimited users) - when ordered with

MOVEit DMZ** $6 500,00

MM-7255-0700

1-Year Standard Support for MOVEit DMZ Ad Hoc Module (unlimited

users) $2 000,00

Total en USD $8 500,00

Total $ 23 500

Service Agreement : Contrat de maintenance 12 mois Ipswitch. Il comprend les mises à jour logiciel ainsi que le support email et téléphonique avec Ipswitch US.

5.2 A

M

IT D

F

E

P/N MoveIT DMZ Mode Failover avec module AdHoc Tarif

MM-1100-0700 MOVEit DMZ Server License $ 12 500

MM-1210-0700 MOVEit DMZ Ad Hoc Transfer Module $ 6 500

MM-1105-0700 MOVEit DMZ Server License - High Availability $ 12 500 MM-1215-0700 MOVEit DMZ Ad Hoc Transfer Module - High Availability $ 6 500

MM-7000-0700 Annual Standard Support - MOVEit DMZ $ 2 500

MM-7255-0700 Annual Standard Support - MOVEit DMZ Ad Hoc Transfer Module $ 2 000

MM-7000-0700 Annual Standard Support - MOVEit DMZ $ 2 500

MM-7255-0700 Annual Standard Support - MOVEit DMZ Ad Hoc Transfer Module $ 2 000

Total sans Resiliency $ 49 000

Des fortes variations du taux de change €/$ sont susceptibles d’affecter la proposition.

Service Agreement : Contrat de maintenance 12 mois Ipswitch. Il comprend les mises à jour logiciel ainsi que le support email et téléphonique avec Ipswitch US.

5.3 P

I

-F

P/N Description Tarif Qté Total HT

Moveit-INST Installation, configuration & formation

sur 6 jours 990 € 6 5 940 €

Total 5 940 €

NB : La société ORSENNA est centre de formation agrée par l’Etat sous le numéro 11 78 0218178

6 C

Notre proposition s’appuie sur les points forts suivants : - Expertise MoveIT & Wsftp_Server

- Forte expérience de mise en œuvre de solutions - Une expertise reconnue par les éditeurs et intégrateurs - Une capacité de développement

- Indépendance vis-à-vis des éditeurs