Documentation technique
ceBox®
CeBox® est une solution de gestion de parc qui intégre de la virtualisation de poste de travail en Mode VDe (Virtual Desktop Efficace, Evolutive, Economique et co-friendly).
Ce produit vous permet de déployer facilement un environnement de travail à vos collaborateurs sans infrastructure serveur.
Le système d’exploitation ceBox® OS peut s’installer sur l'ensemble des postes de travail que vous avez sur votre parc en fonction de prés requis matériel.
Afin de vous familiariser avec la solution ceBox®, vous trouverez ci-dessous une description précise des différents composants de la solution en mode LAN et ceBox® télétravail.
Système d’exploitation ceBox®
ceBoxOS® est une distribution Linux compilée par nos équipes R&D afin d’obtenir un système
d’exploitation optimisé et sécurisé transformant votre machine en hyperviseur local :
» Fonctionnalités Clés :
✓ Gestion du Hardware en mode intégré
✓ Intègre la gestion d’un réseau tunnelisé
✓ Intègre une gestion de disque virtuel streaming cloud
✓ Gère des authentifications, des configurations.
✓ Gère un hyperviseur pour lancer des machines virtuelles.
» Sécurité des services et du réseau :
✓ Pare-feu Linux Netfilter intégré, peut être personnalisé
✓ Service d'écoute seulement sur l'interface privée du tunnel
✓ Tous les flux réseaux sont encapsulés dans le tunnel sécurisé, géré au sein du
kernel linux
Wisper cloud
Le cloud privé Wisper est utilisé pour stocker les masters (OS et applications) ainsi que leurs versions précédentes.
Les données client ne sont en aucun cas stockées dans le cloud privé de Wisper.
Le réseau ceBox®
La configuration réseau doit permettre l'échange de flux entre les différents composants de la ceBox®. C'est une condition préalable à l'exploitation.
La matrice des flux UDP TCP ci-dessous présente les ouvertures nécessaires au bon fonctionnement du produit.
Flux Lan
Voir la documentation Matrice de Flux ceBox®
NB : Il est recommandé d’avoir une liaison symétrique de 10 Mbits/s entre le WSO® du site principal et le Cloud Wisper.
Fonctionnalité de tunnelisation
La solution Wisper intègre un système VPN “tout en un” sécurisé et maîtrisé.
Par défaut, chaque ceBox® intègre un système de tunneling chiffré entre les ceBox®, le WSO® et le Cloud.
Description du mécanisme de tunnelisation
Ce mécanisme s'applique à toutes les versions du produit : ceBox® LAN et ceBox® télétravail.
Nous utilisons ce mode de fonctionnement pour trois raisons :
- Mise en place d’un processus d’échange de clés publiques entre WSO®, ceBox® et Cloud
- Souplesse du déploiement des ceBox® : le WSO® accepte toujours les clés publiques ceBox®
- Gain de temps et sécurisation Wisper du VPN : le process de construction d’un VPN client standard n’est plus utilisé (échange de clés, phases…).
Les protocoles de sécurité sont :
- ChaCha20 pour le cryptage symétrique, authentification par ly1305, Conformément à la RFC7539 dans l’AEAD construction.
- Curve25519 pour ECDH
- BLAKE2s pour le hashing et le keyed hashing, conformément à la RFC7693.
- SipHash pour les hashtable keys
- HKDF pour les key dérivation, conformément à la RFC5869
La Console de Management
La console d'administration ceBox® est dédiée à l'administration de la solution.
Elle permet la création et l'administration de PC virtuels. Elle se connecte directement au service de stockage de votre WSO® pour afficher la liste des masters et leurs versions. Elle est également alimentée directement par le WSO®, qui l'informe en temps réel de l'état des ceBox®.
La console est dotée de multiples fonctionnalités permettant, entre autres, de piloter à distance les VM/ ceBox®, de notifier vos utilisateurs, de surveiller les ressources système et de gérer la création et l’attribution des masters.
Il y a deux modes d’installation de cette console :
- Console Java (client lourd) sur poste dédié.
- Console Web accessible en HTTP sur le WSO® (sur demande au support Wisper)
Les machines Virtuelles
Les PCs virtuels (ou VMs) sont des machines virtuelles hébergées localement par ceBox®. Elles sont définies par ce que l'on appelle une " Association ". L'association est composée d’une version maître d'un script d'intégration (par exemple l'intégration avec votre Active Directory) et de quelques autres paramètres.
Le PC virtuel est en "lecture seule". Cela correspond à une instance non persistante du maître. Cela signifie que le PC virtuel "Read Only" démarre toujours comme son maître sans altération. Toutes les données spécifiques à l'utilisateur (profils d'utilisateur, données de production, etc.) doivent être redirigées vers votre solution de stockage réseau.
De plus et selon les besoins clients, nous pouvons mettre à disposition trois autres modes de fonctionnement :
- VM read only + disque persistant
- VM persistante sur une période donnée
- VM persistante
ceBox® -- Matériel
Nous pouvons installer notre environnement sur tous types de machines répondant aux prérequis
techniques de la solution ceBox® à savoir :
✓ Microprocesseur Compatible Virtualisation
✓ Mémoire Vive : à partir de 8 Go
✓ Disques SSD
La couche logicielle primaire d'une ceBox® correspond au système d'exploitation de type hyperviseur
appelé : ceBoxOS®. Le système d'exploitation ceBoxOS® offre aux utilisateurs la possibilité d’utiliser
une machine virtuelle fonctionnelle et sécurisée (Mode Lecture Seul).
La machine virtuelle qui va être ainsi déployée va utiliser les performances natives de la
machine et non pas un serveur dédié.
Web Service Optimiser (WSO®)
Le cache de l'optimiseur appelé WSO® sert de " cache proxy " pour la ceBox®. Cela signifie qu'au démarrage de la machine virtuelle, la ceBox® puise dans le cache WSO® les blocs de données correspondant au maître, pour fournir son propre cache d'hyperviseur.
Dans le cas où les blocs de données ne sont pas disponibles dans le WSO®, les requêtes ceBox® sont redirigées vers le cloud. En retour, les blocs de données sont synchronisés depuis le cloud, vers le WSO®, puis enfin vers la ceBox®.
L'autre fonction du WSO® est de collecter et d'enregistrer, au fur et à mesure des besoins, des informations sur l'état de la flotte de ceBox®. Ces informations sont ensuite diffusées sur les consoles de gestion. Le WSO® est donc l'élément central entre les différents composants de la solution ceBox®. Le WSO® peut être virtualisé.
Préconisation Matériel d’un WSO® pour un parc de 300 Machines LAN
» Système d’exploitation Client : Installation via ISO Wisper
» CPU : Sockets virtuels : 4 sockets virtuels et 2 noyaux par socket.
» Mémoire : 16 Go
» Taille du Disque : entre 500 Go minimum
ceBox® télétravail
Le POP/POE (Passerelle Télétravailleur Entrée et Sortie)
Cette passerelle permet aux environnements utilisateurs télétravailleur d’accéder aux outils métiers
internes.
Nous différencions les POP (Point of Présence) des POE (Point of Exit), le premier orientant les VM
des clients vers le second
Le POP, principalement installé en Datacenter, permet une tunnelisation des VM des télétravailleurs
vers un point de sortie, il aiguille ainsi les clients vers le POE souhaité.
Le POE étant relié au réseau interne du client, les VM accéderont ainsi aux différents applicatifs
accessibles.
L’installation des POP / POE se fait sur une VM Linux Ubuntu dernière version, son dimensionnement
dépend du volume de client en mode télétravailleur.
La solution ceBox® télétravail utilise le même mécanisme de tunnelisation que celui décrit plus haut.
Ce dernier étant basé sur des technologies éprouvées (SDWAN : OpenVSwitch, Vxlan), il permet l’accès au Service d’information du client depuis n’importe quel point du globe.
Ce mode de fonctionnement garanti :
- Des performances basées sur le protocole UDP
- Une stabilité, basée sur le kernel Linux
- Une sécurité optimale, car auditée par le monde opensource
Flux télétravail
Voici la Matrice de Flux ceBox®
Les flux réseaux des ceBox® ainsi que leurs machines virtuelles sont encapsulées et permettent donc :
» D’administrer les ceBox®
» D’avoir des flux réseaux des VM qui intègrent directement votre Lan au niveau du POE
» Une complète gestion des flux de communication ceBox® vers le WSO®. En effet, la connexion
directe entre les différents composants ceBox® permet d'éviter les latences et rend la solution
adaptée aux protocoles exigeants (VOIP par exemple).
» De fonctionner en mode LAN aussi bien qu’en mode Télétravail.
Ce véritable réseau tunnelisé au sein de votre entreprise (couple POP/POE) permet une
gestion extrêmement simple des VM. Il est ainsi possible de les faire accéder à n’importe
quel réseau de votre entreprise, dès lors qu’un point de sortie est présent.
Sécurité physique et MFA
La sécurité des données est garantie par le système ceBox® télétravail selon plusieurs axes :
Sécurité Physique
- Chaque ceBox® télétravail est équipée nativement d'un boîtier Kensington (K-slot) pour la fixation physique.
- Le BIOS est protégé par un mot de passe confidentiel.
- La gestion des ports USB se fait nativement.
- La mise en place du processus de chiffrement couplé au MFA implique l’utilisation d’une clé USB qui doit être branchée sur la ceBox® télétravail pour lui permettre de fonctionner.
Clé USB et Authentification multi-facteurs (MFA)
- ceBoxOS® peut être chiffré depuis la console (module de DataEncryption, codage en AES 256, Linux kernel filesystem encryptions).
- Ce processus implique l’utilisation d’une clé USB nécessaire au démarrage de la ceBox® télétravail (NB : un mode sans clé USB avec stockage interne de la clé de chiffrement est possible).
- La mise en place de la clé de sécurité physique, passe par une sécurisation de celle-ci, nous avons fait le choix d’utiliser un processus d’authentification MFA (Protocol utilisé : RFC 623 / TOTP : Time-Based One-Time Password Algorithm).
- L’utilisation d’une application compatible TOTP (ex : Google Authentificator, Windows Authentificator...) sur le téléphone portable du client est préconisée afin de déverrouiller la clé de chiffrement.
Description du processus de chiffrement VM/Clé/OTP
Le processus de chiffrement répond à trois besoins de sécurité :
- Chiffrer les données de la ceBox® télétravail afin de garantir la non-divulgation de certaines données en cas de vol par exemple (credentials, cache data).
- Authentifier l’utilisateur par l’intermédiaire d’une clé USB personnelle à insérer dans la ceBox® télétravail
- Autoriser l’utilisateur à déverrouiller la clé USB (NB :Ou le fichier stocké localement) grâce à un processus OTP.
- Démarrage de la ceBoxtélétravail®, le disque de la ceBox® télétravail est chiffré, la ceBox® télétravail est inutilisable
- Insertion de la clé USB par l’utilisateur, le système peut récupérer le certificat.
- Utilisation par l’utilisateur de son logiciel de MFA afin de valider le déchiffrement du certificat.
- Validation du certificat déchiffré, permettant de déchiffrer le Disque de la ceBox® télétravail
- La ceBox® télétravail est accessible
Glossaire
Définitions
WSO | Web Service Optimiser |
VPN | Virtual Private Network |
VM | Images Virtuelles (Virtual Machines) |
CCG | Nouvelle dénomination du WSO® Cebox Cloud Gateway |
AWS | Amazon Web Services |
OS | Système d’exploitation (Operating System) |
MFA | Authentification multi-facteurs |
OTP | Mot de passe à usage unique (One-Time Password) |
Updated about 1 year ago