Règles d'autorisation de la passerelle ENC
Séquence de connexion
Cette section traite la fonctionnalité commune à tous les noeuds ENC et servant à participer à l'infrastructure virtuelle ENC. La fonctionnalité commune est divisée en trois phases distinctes : connexion physique, authentification puis autorisation.
Connexion physique
En premier lieu, tous les noeuds doivent être répertoriés dans la table de la liste blanche d'adresses IP pour être autorisés à se connecter au noeud ENC cible. Sur chaque connexion établie vers un noeud ENC, le composant d'autorisation est appelé à vérifier si l'accès doit être autorisé ou refusé. En cas de refus, la connexion est immédiatement interrompue.
Authentification
Une fois une connexion de transport réseau établie, les homologues impliqués dans la conversation utilisent le protocole TLS pour s'authentifier mutuellement, valident la confiance de l'identité authentifiée, via une autorité de certification tierce approuvée, ainsi que la validité de l'identité.
Autorisation
Suite à la phase d'authentification, l'identité authentifiée est transmise au composant d'autorisation pour la vérification de l'événement "Connexion authentifiée". L'objet sécurisé pour cet événement est le noeud ENC cible. Une règle d'accès visant à autoriser (ou refuser) cette opération peut être spécifiée avec l'ordinateur individuel comme objet sécurisé, un groupe de noms d'ordinateur spécifié à l'aide d'une expression de correspondance par caractère générique ou d'une appartenance au domaine.
Tout échec de la séquence ci-dessus sera audité par le sous-système d'audit de sécurité, si la catégorie ou les messages appropriés sont activés. Le composant d'audit peut
également être configuré pour enregistrer toutes les opérations réussies.
Chaque noeud ENC, que ce soit un serveur, un routeur ou un agent client, s'enregistre auprès des noeuds auxquels ils se connectent. Un événement séparé est défini pour chaque type d'enregistrement du fait que seuls les noeuds du serveur de passerelle ENC doivent être autorisés à exécuter une opération d'enregistrement ; seuls les routeurs de passerelle ENC doivent être autorisés à effectuer un enregistrement de routeur, et ainsi de suite.
Selon votre infrastructure, vous pouvez créer des entrées de contrôle d'accès individuelles pour chaque événement et/ou chaque objet sécurisé, ou vous pouvez regrouper les événements et ordinateurs dans un domaine pour un contrôle d'accès moins précis.
480 Manuel d'implémentation
