aryaka aryaka

Aperçu d’Aryaka Secure Remote Access

La solution Secure Remote Access d’Aryaka tire parti des performances du réseau central mondial d’Aryaka et de son approche architecturale « cloud-first » pour fournir la solution optimale aux entreprises qui recherchent le « meilleur des deux mondes » en matière de connectivité des travailleurs à distance : une solution qui combine l’utilisation flexible de ressources réseau déterministes et dédiées à la fois aux succursales et aux travailleurs à distance sur un réseau de haute performance. Cette architecture offre toujours des performances maximales, indépendamment des changements de trafic entre les succursales et les travailleurs à distance, avec une visibilité consolidée sur les performances du réseau et des applications à travers la connectivité centrale de l’entreprise et les domaines VPN.

img

La solution Secure Remote Access d’Aryaka est une solution de réseau privé virtuel très flexible et entièrement gérée. Elle s’appuie sur l’architecture mondiale des points de service d’Aryaka pour une connectivité et une gestion unifiées pour les utilisateurs, où qu’ils se trouvent, vers des ressources sur site et dans le nuage.

Secure Remote Access est basé sur la solution Enterprise VPN de NCP Engineering, l’un des principaux fournisseurs de VPN.

L’accès à distance sécurisé se compose des éléments architecturaux suivants :

Clients d’accès à distance sécurisés

La solution Secure Remote Access fournit une suite de clients gérée de manière centralisée pour tous les principaux systèmes d’exploitation de bureau ou mobiles, y compris :

Les clients d’accès à distance sécurisé d’Aryaka permettent aux utilisateurs finaux de sélectionner le PoP d’Aryaka le plus proche pour un accès optimal et performant au réseau et de l’atteindre avec le protocole de tunneling le plus efficace.
Le client d’accès à distance sécurisé garantit une conformité robuste et unifiée des points d’extrémité. Il protège l’intégrité du réseau de l’entreprise par un contrôle strict de l’accès VPN, qui se termine d’abord sur le nœud d’accès distant sécurisé d’Aryaka le plus proche et se dirige ensuite vers la destination DC privée ou publique appropriée. Le trafic transite par le FlexCore d’Aryaka, ce qui permet de bénéficier des avantages en termes de performances des couches 2 et 3 du réseau central d’Aryaka. Les capacités Zero Trust sont également prises en charge.
Le Secure Remote Access Client est un logiciel de communication destiné à une mise en œuvre universelle dans tout environnement VPN d’accès à distance. Il permet aux travailleurs à distance d’accéder aux applications et aux données de manière transparente et sécurisée, sur site ou dans le nuage, à partir de n’importe quel endroit, comme s’ils se trouvaient dans les locaux de l’entreprise. L’itinérance transparente offre en option une connexion sécurisée et permanente au réseau de l’entreprise, en sélectionnant automatiquement le moyen d’accès le plus rapide à l’internet. Lorsque le point d’accès ou l’adresse IP change, l’itinérance Wi-Fi ou IPsec maintient la connexion VPN. Même derrière des pare-feu dont les paramètres bloquent toujours les connexions de données IPsec, le Secure Remote Access Client garantit la disponibilité de l’accès à distance en trouvant un chemin déverrouillé. Le client prend en charge l’ouverture de session de domaine à l’aide d’un fournisseur de services d’identification après avoir établi une connexion VPN au réseau de l’entreprise.
Une fonction de contournement dans le Secure Remote Access Client permet à l’administrateur informatique de configurer le client de manière à ce que certaines applications soient exemptées du VPN et que les données soient envoyées sur l’internet même lorsque le tunneling fractionné est désactivé. Cela permet d’éviter que des applications telles que le streaming vidéo ne sollicitent inutilement l’infrastructure de l’entreprise.
Toutes les configurations du client peuvent être verrouillées par l’administrateur, ce qui signifie que l’utilisateur ne peut pas modifier les configurations verrouillées.
Le Secure Remote Access Client est simple à installer et à utiliser. Une interface utilisateur graphique et intuitive fournit des informations sur tous les états de connexion et de sécurité. De plus, des informations détaillées sur les journaux permettent une assistance efficace de la part du service d’assistance.

Nœud d’accès à distance sécurisé

Les clients de l’accès à distance sécurisé d’Aryaka se connectent au nœud d’accès à distance sécurisé d’Aryaka le plus proche d’eux. Les nœuds d’accès distant sécurisé d’Aryaka sont des services virtuels hébergés sur les points de service mondiaux d’Aryaka, qui permettent à 95 % des travailleurs du savoir de la planète d’accéder au réseau central d’Aryaka en moins de 30 ms. Les Service PoPs d’Aryaka hébergent des services qui vont au-delà de la connectivité réseau de base : accélération du réseau et des applications, séparation stricte des ressources dédiées au client et cryptage sécurisé du trafic, entre autres.

Une fois les connexions sécurisées établies, la fonction Secure Remote Access Node reçoit le trafic de tous les clients qui y accèdent et l’achemine à travers le réseau FlexCore Global Aryaka à haute performance vers le QG/DC de l’entreprise ou vers un emplacement de service SmartCloud qui s’apparie de manière optimale en fonction de l’emplacement de l’utilisateur.

Les nœuds d’accès à distance sécurisés sont basés sur une architecture multi-locataire et un système d’exploitation Linux renforcé qui est optimisé pour une sécurité maximale. En outre, l’architecture Aryaka Service PoP garantit des performances déterministes et une haute disponibilité.

Le nœud d’accès distant sécurisé peut gérer un nombre très évolutif de connexions au réseau de l’entreprise via un VPN IPsec. Les utilisateurs des clients d’accès à distance sécurisé peuvent se voir attribuer la même adresse IP privée à partir d’un pool attribué par l’entreprise à chaque fois qu’ils se connectent au réseau. Cela facilite grandement l’administration à distance, car chaque utilisateur peut être identifié par son adresse IP. Si l’adresse IP est attribuée dynamiquement à partir d’un pool, elle sera réservée à l’utilisateur pour une période définie (bail). Le DNS dynamique (DynDNS) garantit que la passerelle VPN reste accessible si une adresse IP dynamique est attribuée à l’appareil.

Gestionnaire d’accès à distance sécurisé

Le Secure Remote Access Manager assure la configuration et la gestion de tous les composants de la solution Aryaka Secure Remote Access. Avec le Secure Remote Access Node, il est également chargé de l’authentification des utilisateurs via la communication avec les systèmes IAM (Identity & Access Management) existants des entreprises.

Le gestionnaire d’accès à distance sécurisé permet à Aryaka de fournir et de gérer les clients d’accès à distance sécurisé et les nœuds d’accès à distance sécurisé dans les points d’accès. Il établit également la connectivité avec les systèmes IAM globaux des entreprises pour l’authentification des clients d’accès à distance sécurisé. Grâce à ce mécanisme, l’état de sécurité des terminaux mobiles et fixes est vérifié avant que l’appareil n’accède au réseau de l’entreprise. Tous les paramètres sont définis de manière centralisée par Aryaka au nom de l’entreprise, et les travailleurs à distance se voient accorder des droits d’accès en fonction de leur conformité à ces paramètres.

Secure Remote Access Manager est un élément clé pour fournir une solution VPN facile à mettre en place et à utiliser.

Le Secure Remote Access Manager s’intègre à la gestion de l’identité existante de l’entreprise (par exemple, Microsoft Active Directory) et demande des mises à jour régulières. Dès qu’un nouvel employé est répertorié dans cette base de données, le Secure Remote Access Manager crée une configuration individuelle pour cet utilisateur, selon des modèles définis. Si un ancien employé a été supprimé de la base de données, le Secure Remote Access Manager bloque immédiatement son accès VPN. Il n’est donc plus nécessaire de configurer manuellement les ordinateurs de tous les employés mobiles. Le Secure Remote Access Manager permet également de déployer rapidement un grand nombre d’utilisateurs et de certificats logiciels.

Secure Remote Access Manager offre les fonctions suivantes :

Configuration du client

 Secure Remote Access Manager permet de configurer et de gérer tous les composants de la solution Aryaka Secure Remote Access. Cela inclut les clients d’accès à distance sécurisé pour Windows, macOS, iOS et Android. Tous les paramètres pertinents sont prédéfinis et stockés dans des modèles.

Processus de mise à jour automatique

 Le processus de mise à jour entièrement automatique permet à l’administrateur de fournir de manière centralisée à tous les clients Secure Remote Access des mises à jour de configuration et de certificat. Dès que le client se connecte au réseau de l’entreprise, le système le met automatiquement à jour. Si des dysfonctionnements surviennent lors de la transmission, la configuration existante n’est pas affectée.

Gestion des licences
(utilisé uniquement par les opérateurs Aryaka)

 Les licences de tous les composants connectés sont stockées de manière centralisée dans le PAM et gérées par Aryaka pour les entreprises. Le système les transfère dans un pool de licences et les gère automatiquement selon des directives spécifiques. Ce transfert de licence peut être utilisé pour : le transfert dans une configuration par client distant ou passerelle, le retour de la licence dans le pool de licences lorsqu’un employé quitte une entreprise, ou le déclenchement d’une invite lorsqu’il n’y a plus de licences disponibles.

System Monitor
(utilisé par les opérateurs d’Aryaka)

 Aryaka peut offrir aux entreprises un aperçu immédiat de tous les événements importants au sein de la solution d’accès à distance sécurisé. L’administrateur peut utiliser le moniteur du système selon ses besoins pour appeler des informations d’état en temps réel, ou pour accéder à des référentiels de données précédemment sauvegardés pour l’environnement d’accès à distance.

Avantages de l’accès à distance sécurisé d’Aryaka

Améliorez considérablement les performances du VPN mondial en tirant parti du réseau WAN Global Aryaka Zero Trust.

Améliorez l’expérience et la productivité de l’utilisateur final grâce à un comportement déterministe du réseau

Visibilité immédiate du réseau, de la performance des applications et de l’expérience des utilisateurs

Spécifications techniques

Client d’accès à distance sécurisé

Suite universelle de clients VPN à administration centralisée pour Windows, macOS, iOS et Android

Systèmes d’exploitation Microsoft Windows, macOS, iOS, Android
Capacités de confiance zéro
  • Pare-feu L3/L4/Application intégré
  • Accès le moins privilégié en fonction de l’identification de l’utilisateur, de la position de l’appareil et de l’emplacement du réseau avec
    Zero Trust capabilities
  • Protection permanente des utilisateurs, l’accès au réseau n’étant possible qu’après authentification de l’utilisateur
  • Zero-Touch Zero-Trust basé sur les certificats et l’authentification des appareils
  • Politiques strictes de contrôle d’admission assurant la conformité des appareils aux politiques de sécurité avec option de quarantaine
  • Intégration avec les solutions MFA (authentification multifactorielle) et OTP (mot de passe à usage unique) existantes
Caractéristiques de sécurité Le client d’entreprise prend en charge toutes les principales normes IPsec conformément aux RFC.
Contournement du VPN La fonction VPN Bypass permet à l’administrateur de définir les applications qui peuvent communiquer directement sur l’internet malgré la désactivation du split tunneling sur la connexion VPN. Il est également possible de définir quels domaines ou adresses cibles peuvent contourner le tunnel VPN
Réseau privé virtuel
  • IPsec (tunneling de couche 3), les propositions IPsec peuvent être déterminées par la passerelle IPsec (IKEv1/IKEv2, IPsec phase 2).
  • Journal des événements
  • Communication uniquement dans le tunnel
  • fragmentation et réassemblage de la taille du MTU, DPD, NAT-Traversal (NAT-T) ; mode tunnel IPsec
Cryptage
  • Processus symétriques : AES 128,192,256 bits ; Blowfish 128,448 bits ; Triple-DES 112,168 bits
  • Processus dynamiques pour l’échange de clés : RSA jusqu’à 2048 bits ; remise en place transparente des clés (PFS)
  • Algorithmes de hachage : SHA-1, SHA-256, SHA-384, SHA-512, MD5, groupe DH 1,2,5,14-21, 25-30
Processus d’authentification
  • IKE (mode agressif et mode principal, mode rapide) ; XAUTH pour l’authentification étendue de l’utilisateur
  • Mode de configuration IKE pour l’attribution dynamique d’une adresse virtuelle à partir du pool d’adresses interne (IP privé)
  • PFS
  • PAP, CHAP, MS CHAP V.2
  • IEEE 802.1x : EAP-MD5 (Extensible Authentication Protocol) : Authentification étendue relative aux commutateurs et aux points d’accès (couche 2)
  • Secrets prépartagés, mots de passe à usage unique et systèmes de réponse par défi ;
    RSA SecurID ready.
Fonctionnalités de mise en réseau Emulation LAN : Adaptateur Ethernet avec interface NDIS, prise en charge complète des réseaux locaux sans fil (WLAN) et des réseaux étendus sans fil (WWAN).
Itinérance transparente En cas d’erreur du support de communication, le basculement automatique du tunnel VPN vers un autre support de communication Internet (LAN/WWAN/3G/4G) sans modification de l’adresse IP garantit que les applications communiquant via le tunnel VPN ne sont pas perturbées et que la session vers le nœud d’accès distant sécurisé n’est pas interrompue.
Recherche de chemin VPN IPsec/ HTTPS de repli (port 443) si le port 500 (encapsulation UDP) n’est pas possible
Attribution d’adresses IP DHCP (Dynamic Host Control Protocol), DNS : Connexion à la passerelle centrale avec changement d’adresse IP publique par interrogation de l’adresse IP via un serveur DNS.
Moyens de communication Internet, LAN, Wi-Fi, GSM (y compris HSCSD), GPRS, 3G, LTE, HSDPA, PSTN
Gestion hiérarchique
  • DPD avec intervalle de temps configurable ; mode de maintien court
  • Itinérance Wi-Fi (transfert)
  • Délai d’attente (contrôlé par le temps et les frais) ; Gestionnaire de budget
  • Modes de connexion : automatique, manuel, variable
APN de la carte SIM L’APN (Access Point Name) définit le point d’accès d’une connexion de données mobiles chez un fournisseur. Si l’utilisateur change de fournisseur, le système utilise automatiquement les données APN de la carte SIM pour configurer le Secure Client.
Compression des données IPCOMP (lzs), deflate
Qualité de service Priorité à la bande passante sortante configurée dans le tunnel VPN (peut varier selon le système d’exploitation du client)
Fonctionnalités supplémentaires Encapsulation UDP, prise en charge WISPr, itinérance IPsec, itinérance Wi-Fi, Split Tunneling
Protocoles point à point PPP sur RNIS, PPP sur GSM, PPP sur Ethernet ; LCP, IPCP, MLP, CCP, PAP, CHAP, ECP
RFC et projets de l’Internet Society
  • RFC 2401 -2409 (IPsec), RFC 3947 (négociations NAT-T), RFC 3948 (encapsulation UDP)
  • Architecture de sécurité IP, ESP, ISAKMP/Oakley, IKE, XAUTH, IKECFG, DPD, NAT Traversal (NAT-T), encapsulation UDP, IPCOMP ; RFC 7427 : IKEv2-Authentication (Padding-method)
Moniteur client Interface utilisateur intuitive et graphique
  • Multilingue (anglais, espagnol, français, allemand) ; utilisation intuitive
  • Configuration, gestion et surveillance des connexions, statistiques de connexion, fichiers journaux, test de disponibilité de l’internet, outil de traçage pour le diagnostic des erreurs.
  • Affichage de l’état de la connexion
  • Prise en charge intégrée des cartes Mobile Connect, intégrées
  • Client Monitor peut être personnalisé pour inclure le nom de l’entreprise ou des informations sur le soutien.
  • Gestion de la configuration et des profils protégée par mot de passe, verrouillage des paramètres de configuration
Nœud d’accès à distance sécurisé

Accès à distance au réseau de l’entreprise grâce au réseau central mondial d’Aryaka

Général
Emplacements des PoP HyperScale d’Aryaka Aryaka a des points de service dans plus de 40 endroits dans le monde, à moins de <30ms de 95% de tous les travailleurs du savoir dans le monde.
Gestion Aryaka Secure Remote Access Manager fournit le portail de provisionnement et d’exploitation – les administrateurs d’entreprise peuvent obtenir des informations immédiates sur leur déploiement VPN.
Haute disponibilité Les PoP de service d’Aryaka sont construits sur une architecture et une topologie hautement redondantes pour assurer une haute disponibilité.
DNS dynamique (DynDNS) Connexion établie via Internet avec des adresses IP dynamiques. Enregistrement de chaque adresse IP actuelle auprès d’un fournisseur DNS dynamique externe. Dans ce cas, le tunnel VPN est établi via l’attribution de noms.
DDNS Les clients VPN connectés sont enregistrés auprès du serveur de noms de domaine via le DNS dynamique (DDNS), ce qui signifie que les clients VPN ayant des IP dynamiques peuvent être atteints via un nom (permanent).
Administration des utilisateurs Administration des utilisateurs locaux ; serveur OTP ; RADIUS ; LDAP, Novell NDS, MS Active Directory Services
Statistiques et journalisation Statistiques détaillées, fonctionnalité de journalisation, envoi de messages SYSLOG
FIPS Inside Le client IPsec intègre des algorithmes cryptographiques basés sur la norme FIPS. Le module cryptographique intégré, qui contient les algorithmes correspondants, a été validé comme étant conforme à la norme FIPS 140-2 (certificat n° 1747).

La conformité FIPS sera toujours maintenue lorsque les algorithmes suivants sont utilisés pour l’établissement et le cryptage d’une connexion VPN :

  • Groupe Diffie Hellman : Groupe 2 ou supérieur (DH à partir d’une longueur de 1024 bits)
  • Algorithmes de hachage : SHA1, SHA 256, SHA 384 ou SHA 512 bits
  • Algorithmes de cryptage : AES 128, 192 et 256 bits ou Triple DES
Processus d’authentification client/utilisateur Jeton OTP, nom d’utilisateur et mot de passe (XAUTH)
Gestion des connexions
Gestion des lignes Détection du pair mort (DPD) avec intervalle de temps configurable ; délai d’attente (contrôlé par la durée et les frais)
Protocoles point à point LCP, IPCP, MLP, CCP, PAP, CHAP, ECP
Gestion du pool d’adresses Réservation d’une adresse IP à partir d’un pool pour une période définie (bail)
VPN IPsec
Réseau privé virtuel
  • IPsec (tunneling de couche 3), conforme à la RFC
  • Ajustement automatique de la taille du MTU, fragmentation et réassemblage ; DPD
  • Traversée NAT (NAT-T)
  • Modes IPsec : Mode tunnel, mode transport, recomposition transparente de la clé ; PFS
RFC et projets de l’Internet Society
  • RFC 2401 -2409 (IPsec), RFC 3947 (négociations NAT-T), RFC 3948 (encapsulation UDP),
  • Architecture de sécurité IP, ESP, ISAKMP/Oakley, IKE, IKEv2 (y compris MOBIKE), authentification par signature IKEv2, XAUTH, IKECFG, DPD, NAT Traversal (NAT-T), encapsulation UDP, IPCOMP, authentification IKEv2 conforme à la RFC 7427 (padding process)
Cryptage
  • Processus symétriques : AES (CBC/CTR/GCM) 128, 192, 256 bits
  • Blowfish 128, 448 bits ; Triple-DES 112, 168 bits ; Processus dynamiques pour l’échange de clés : RSA jusqu’à 4096 bits ; Diffie-Hellman Groupes 1, 2, 5, 14-21, 25-30
  • Algorithmes de hachage : SHA-1, SHA 256, SHA 384 ou SHA 512
Recherche de chemin VPN Repli vers HTTPS à partir d’IPsec (port 443) si ni le port 500 ni l’encapsulation UDP ne sont disponibles
Itinérance transparente Le système peut automatiquement transférer le tunnel VPN vers un autre moyen de communication (LAN / Wi-Fi / 3G / 4G) sans changer l’adresse IP afin d’éviter d’interrompre la communication via le tunnel VPN ou de déconnecter les sessions d’application.
Processus d’authentification
  • IKEv1 (mode agressif et principal), mode rapide ; XAUTH pour l’authentification étendue de l’utilisateur
  • IKEv2, EAP-PAP / MD5 / MS-CHAP v2 / TLS
  • Mots de passe à usage unique et systèmes de réponse par défi
Attribution d’adresses IP
  • DHCP (Dynamic Host Control Protocol) sur IPsec
  • DNS : Sélection de la passerelle centrale avec des adresses IP publiques dynamiques en interrogeant l’adresse IP via un serveur DNS.
  • Mode de configuration IKE pour l’attribution dynamique d’une adresse virtuelle aux clients à partir de la plage d’adresses internes (IP privée)
  • Différents pools peuvent être attribués en fonction du support de connexion (Client VPN IP).
Compression des données IPCOMP (lzs), Deflate
Gestionnaire d’accès à distance sécurisé

VPN as a Service géré de manière centralisée avec fonctionnement entièrement automatique d’un VPN d’accès à distance

Fonctions prises en charge Mise à jour automatique, Configuration du pare-feu client, Surveillance du système
Administration des utilisateurs LDAP, Novell NDS, MS Active Directory Services
Statistiques et journalisation Statistiques détaillées, fonctionnalité de journalisation, envoi de messages SYSLOG
Processus d’authentification client/utilisateur Jeton OTP, nom d’utilisateur et mot de passe (XAUTH)
RFC et projets pris en charge
  • RFC 2138 Remote Authentication Dial In User Service (RADIUS) ; RFC 2139 RADIUS
  • Comptabilité ; RFC 2433 Microso CHAP
  • RFC 2759 Microso CHAP V2
  • RFC 2548 Attributs RADIUS spécifiques au fournisseur Microso
  • RFC 3579 Prise en charge par RADIUS du protocole d’authentification extensible (EAP) ; RFC 2716
  • Protocole d’authentification PPP EAP TLS
  • RFC 2246 Protocole TLS
  • RFC 2284 PPP Extensible Authentication Protocol (EAP) ; RFC 2716 Certificat
  • Protocole de gestion
  • RFC 2511 Format du message de demande de certificat

À propos d’Aryaka

Aryaka est le leader dans la fourniture de SASE unifié en tant que service, une solution entièrement intégrée combinant le réseau, la sécurité et l’observabilité. Conçue pour répondre aux exigences de l’IA générative ainsi qu’au monde hybride multi-cloud d’aujourd’hui, Aryaka permet aux entreprises de transformer leur réseau sécurisé pour offrir des performances, une agilité, une simplicité et une sécurité sans compromis. Les options de livraison flexibles d’Aryaka permettent aux entreprises de choisir leur approche préférée pour la mise en œuvre et la gestion. Des centaines d’entreprises internationales, dont plusieurs figurent dans le classement Fortune 100, font confiance à Aryaka pour leurs solutions de réseaux sécurisés. Pour en savoir plus sur Aryaka, veuillez consulter le site www.aryaka.com.