Sophos Wireless (v2.3) intègre de nouvelles fonctionnalités de la sécurité synchronisée

ProduitsCycle de vie des produits SophosSophos Wireless

La dernière version de Sophos Wireless apporte des améliorations très demandées à la fonctionnalité de la sécurité synchronisée et affiche désormais également l’identité de l’utilisateur dans Sophos Central Admin pour certains types d’authentification.

Avec le lancement de Sophos Wireless v2.3, vous et vos clients bénéficiez de nombreuses fonctionnalités améliorées.

Les nouveautés :

  1. Sécurité synchronisée : Option pour activer la sécurité synchronisée séparément pour Endpoint et Mobile (UEM)
  2. Sécurité synchronisée : Option pour créer des SSID uniquement pour les appareils administrés
  3. Sécurité synchronisée : Personnalisation de la liste des URL autorisées pour les Security Heartbeat/environnements clôturés rouges
  4. ID utilisateur : L’identité de l’utilisateur est indiquée dans la liste des appareils pour certains types d’authentification

Remarque : Seule la série APX prend en charge toutes les fonctionnalités de la sécurité synchronisée. La sécurité synchronisée dans Wireless ouvre de nouvelles opportunités de ventes croisées, maintenant également aux côtés de XG Firewall pour les comptes utilisant déjà la sécurité synchronisée (tant que Wireless est administré dans Sophos Central).

Activation de la sécurité synchronisée séparée pour Endpoint et Mobile

Même lorsqu’un appareil mobile est administré par l’entreprise, il reste un potentiel point d’entrée d’une attaque sur le réseau. C’est pourquoi il est important de contrôler l’accès non seulement au niveau de l’appareil, mais aussi sur les réseaux auxquels il se connecte, et pour de nombreux appareils mobiles, cela signifie le Wi-Fi. Récapitulatif des fonctionnalités : Sophos Wireless Synchronized Security Si la sécurité synchronisée est activée dans Wireless, le tableau de bord affiche l’état de sécurité de l’appareil, et si celui-ci est rouge, l’accès Wi-Fi est refusé à toutes les URL sauf celles sur la liste d’autorisation (aussi appelé « environnement clôturé », voir ci-dessous pour plus de détails sur cette fonction). Pour les appareils mobiles, l’administrateur peut définir des règles de « Contrôle d’accès réseau » (NAC) pour chaque règle de conformité et définir un état de sécurité vert, jaune ou rouge (voir ci-dessous). Jusqu’à présent, les clients Wireless qui utilisaient déjà la sécurité synchronisée avec XG Firewall et Endpoint ne pouvaient pas profiter de cette fonctionnalité, car une activation dans Wireless signifiait que le signal Security Heartbeat n’était plus envoyé à XG. Nous avons maintenant séparé l’activation, de sorte que l’administrateur peut désactiver la sécurité synchronisée pour Endpoint dans Wireless, mais les paramètres de sécurité utilisés dans Sophos Mobile seront toujours activés (par défaut) et s’appliqueront à tout appareil mobile connecté via le Wi-Fi et administré par le même compte Sophos Central. Ce niveau supplémentaire de contrôle et de sécurité empêche tout appareil mobile se connectant au Wi-Fi de se connecter à des serveurs Web potentiellement malveillants (ce qui pourrait arriver dans le cadre d’une attaque). Tous les clients qui connaissent déjà la valeur des fonctions de la sécurité synchronisées dans XG, peuvent maintenant l’ajouter dans Wireless et Mobile. Rappel : cette fonctionnalité n’est disponible qu’avec les points d’accès APX administrés dans Sophos Central. Questions exploratoires :

  • Comment empêchez-vous un appareil mobile non conforme de se connecter au réseau Wi-Fi de votre entreprise ?
    • Avec Wireless + Mobile dans Sophos Central, cela est entièrement automatisé.
  • Vous utilisez déjà la sécurité synchronisée pour vos postes avec XG Firewall, pouvez-vous imposer des restrictions similaires aux appareils mobiles qui se connectent au réseau Wi-Fi ?
  • Quelle visibilité avez-vous sur l’état de sécurité de vos appareils mobiles ?

 

Limiter les réseaux Wi-Fi aux seuls appareils administrés

Remarque : Cette fonction n’est disponible que si la sécurité synchronisée est activée à la fois pour Mobile et Endpoint dans Sophos Wireless. Vous ne laisseriez pas entrer chez vous une personne en qui vous n’avez pas confiance, et vous ne voudriez certainement pas qu’un utilisateur se promène sur votre réseau d’entreprise alors qu’il n’adhère pas à vos politiques de sécurité. Les entreprises qui envisagent d’évoluer vers le Zero Trust ont probablement déjà fait des recherches sur les différents niveaux de confiance qui peuvent être appliqués aujourd’hui, en particulier dans les environnements de type BYOD (Bring Your On Device). Commencer à administrer un appareil signifie qu’un ensemble de règles est automatiquement appliqué, ce qui implique généralement un certain niveau de confiance. Un élément de cette confiance peut être le niveau d’accès à un réseau Wi-Fi d’entreprise accordé à un appareil. Dans Sophos Wireless, il est désormais possible de créer des SSID qui sont limités aux seuls appareils administrés. La gestion doit se faire dans le même compte Sophos Central. Tout appareil qui se connecte au SSID et qui n’est pas administré sera traité de la même manière qu’un appareil avec un signal Security Heartbeat rouge, c’est-à-dire qui n’aura accès qu’à une liste limitée et personnalisée d’URL. Lorsqu’un utilisateur tente d’accéder à un site qui n’est pas sur la liste d’autorisation, une page d’avertissement est affichée dans le navigateur. Cette page peut être personnalisée une fois que le SSID a été créé (voir image de gauche). Une entreprise peut ainsi afficher des informations supplémentaires pour les employés, par exemple comment enregistrer leur appareil, ou fournir un lien vers un site Web qui a été mis sur la liste d’autorisation à des fins de remédiation. Cette fonction peut également être utilisée pour créer un environnement clôturé dont l’accès est limité aux seules URL figurant sur la liste d’autorisation.

Personnalisation de la liste des URL autorisées pour les Security Heartbeat/environnements clôturés rouges

Jusqu’à présent, un appareil dont l’état de sécurité était rouge était placé dans un environnement clôturé, où il ne pouvait accéder qu’à une liste d’URL prédéfinies créées par Sophos (toutes étaient des domaines *sophos.com). Cette situation est similaire à celle que vous connaissez lorsque vous allez dans un hôtel et que vous n’avez accès qu’au site Web de cet hôtel où vous devez vous inscrire pour bénéficier d’un accès complet au réseau Wi-Fi. Cette version de Wireless ajoute la possibilité de personnaliser la liste d’URL autorisées et donne ainsi aux administrateurs la possibilité d’ajouter, par exemple, les sites Web nécessaires pour résoudre les problèmes de conformité, ou d’autres sites Web internes offrant d’autres informations utiles sur les politiques de l’entreprise ou des téléchargements de sécurité. Dans Sophos Central, il suffit de saisir l’URL ou l’adresse IP et de cliquer sur retour. Si la bordure du champ apparaît rouge, cela veut dire que le format n’est pas pris en charge.

L’identité de l’utilisateur est indiquée dans la liste des appareils pour certains types d’authentification

L’identité de l’utilisateur va être un élément clé de notre stratégie Zero Trust. Si vous savez qui se connecte, vous pouvez leur appliquer le niveau d’accès approprié. Sophos Wireless affichera désormais l’identité de l’utilisateur dans la liste des appareils pour certains types d’authentification. Pour obtenir l’accès, l’utilisateur devra saisir un type d’identifiant, comme son adresse email. Les types d’authentification pris en charge sont les suivants :

  • WPA2 Enterprise
  • Authentification à l’aide du portail captif
    • Connexion par réseau social
    • Authentification du backend

 

Nouvelles opportunités et prochaines améliorations

Toutes ces fonctionnalités améliorent l’utilisation générale de Sophos Wireless et ouvrent davantage de possibilités pour positionner Wireless administré dans Sophos Central à la fois avec XG Firewall et vos clients Sophos Central. Modèle extérieur APX 320X La prochaine étape pour Wireless sera le lancement du nouveau modèle extérieur APX 320X début septembre. La feuille de route est légèrement retardée par rapport au plan initial, et vous l’avez peut-être déjà vu dans la liste des prix en vigueur aujourd’hui. Nous vous donnerons plus d’informations à ce sujet très prochainement.