Description

Forefront Protection Manager, anciennement Stirling Console de Management, simplifie la gestion de la sécurité en proposant une console de gestion unique pour configurer la sécurité des points terminaux, des serveurs de messagerie et des serveurs de collaboration. L’approche adoptée se base sur deux constats :

1. Les offres de sécurité actuelles sont très spécialisées, avec des « silos » (protection des systèmes d’exploitation, des applications, infrastructure de gestion des identités et des accès, etc.). Les attaques exploitant différents vecteurs (réseau, messagerie, sites web, etc.) et agissant principalement sur les aspects infrastructure (création de comptes administrateur, exploitation de vulnérabilités des OS, etc.), et la « non-communication » entre les applications de sécurité au sens large nuisent à l’efficacité de la protection.
2. Lorsqu’une attaque est en cours, les temps de réaction nécessaires pour la contrer, et surtout éviter toute propagation, sont très réduits : de l’ordre de quelques secondes à comparer avec les quelques jours nécessaires, avec des procédures classiques (humaines), pour détecter qu’une attaque est en cours.

Il est donc important de trouver une solution permettant de réagir rapidement (et de la façon la plus automatique possible) à des informations issues des différentes applications de sécurité (OS, applications, périmètre) pouvant indiquer qu’une attaque est en cours.
Forefront Protection Manager fait partie de la suite de sécurité Forefront Protection Suite (dont le nom de code était « Stirling ») regroupant Forefront Threat Management Gateway 2010, Forefront Protection 2010 for Exchange Server, Forefront Protection 2010 for SharePoint Server et Forefront EndPoint Protection 2010 (successeur de Forefront Client Security, qui sera disponible dans le courant du second semestre 2010).

Principales fonctionnalités

Une technologie de réponse dynamique basée sur un partage, par les différentes applications, d’informations concernant les événements en cours et leur impact sur la sécurité (Security Assessment Sharing) :

• Exemples d’évaluations : ordinateur compromis, ordinateur vulnérable, compte utilisateur compromis, etc. (+ de 70 évaluations seront disponibles avec la bêta 2 de Stirling).
• Pour chaque type d’évaluation, trois niveaux de criticité (haut, médium, bas).
• Notion de « fidélité » : Forefront Protection Manager peut-il être sûr que l’information remontée est exacte ? (3 niveaux : haut, médium, bas).
• À partir de ces informations, des stratégies de réponses dynamiques sont appliquées automatiquement :
  • par type d’évaluation ;
  • les réponses peuvent impliquer les applications Forefront et les services d’infrastructure ;
  • ces réponses sont de 4 types (alerte, audit, scan et protection) ;
  • les aspects « protection » peuvent inclure des actions sur l’infrastructure (Active Directory, NAP, etc.) ;
  • des approbations manuelles sont possibles ;
  • la durée d’application de la réponse peut être définie.

Une console unique pour l’administration des différents composants :

• Administration par rôles des différents composants.
• Définition des stratégies à appliquer (réponse dynamique).
• Possibilité de lancer manuellement des actions spécifiques.
• Déploiement des signatures, logiciels et stratégies.

Des fonctions d’analyse :

• Un tableau de bord permettant d’avoir une vue globale de la sécurité du SI.
• Un tableau de bord de gestion des risques.
• Des analyses d’activité.

Montée en charge par la répartition des rôles sur différents serveurs.
Intégration avec l’infrastructure System Center Operations Manager (produit nécessaire pour la collecte d’événements), System Center Configuration Manager, SQL Server, Windows Server Update Services, Active Directory, et NAP (Network Access Protection).