gestion et sécurisation des échanges xcmon, global … · applications, protocoles, réseaux) ......
TRANSCRIPT
PMPI 03.31/2004 PDB
Document strictement confidentiel – Avitis Group
Gestion et sécurisation des échangesXcMon,Global Data Exchange System
2
ProblématiqueConstat
Les échanges électroniques sont au cœur de l’activité de toutes les entreprises
Évolution constante du périmètre de l’entreprise : fusion/acquisitions et partenaires extérieurs
Multiplication d’environnements techniques hétérogènes (serveurs, applications, protocoles, réseaux)
Augmentation des contraintes de sécurité et de traçabilité des échanges
Besoins :
Solution unifiée de gestion des échanges de l’entreprise étendue
Garanties d’acheminement, de sécurisation et d’historisation des échanges
3
SolutionXcMon : Global Data Exchange System
Solution globale de gestion des échanges : fichiers et messages
Dédiée aux protocoles standards IP de l’entreprise étendue : FTP, HTTP
Ouverte à l’ensemble des principales plates-formes (MF, Midrange, Open)
Modulaire (de la PME à l’entreprise du CAC40)
Éprouvée (plus de 200 clients en France)
Principaux modules :
XcMFT = Gestion des transferts de fichiers (Managed File Transfer)
XcMQ = Gestion des transferts de messages (Message Queuing)
XcWop = Console de supervision unifiée
4
Principaux avantages
Amélioration du niveau de service
Automatisation et industrialisation des échanges
Garantie d’acheminement
Traçabilité
Flexibilité : prise en compte très rapide de nouveaux flux
Sécurisation des échanges
Authentification forte
Chiffrement
Supervision consolidée de l’ensemble des échanges
Réduction des coûts
5
Quelques références significatives
Plus de 200 utilisateurs en France dont:
Groupe Crédit Agricole
Groupama
MGEN
ALCATEL (mondial)
VINCI
Bouygues Télécom
Bacou Dalloz
TopAchat.com
RueduCommerce.com
PMPI 03.31/2004 PDB
Document strictement confidentiel – Avitis Group
Gestion sécurisée des transferts de fichiers XcMFT, le module de Managed File Transfer de la suite XcMon
7
ProblématiqueBesoins :
Solution unifiée de gestion des transferts de fichiers de l’entreprise étendue
Couverture des principaux protocoles d’échanges (FTP, HTTP)
Garanties d’acheminement, de sécurisation et d’historisation des transferts
Architecture modulaire et souple permettant une intégration aisée de nouveaux flux applicatifs
Intégration avec les flux e-business
Indépendance vis-à-vis des plates-formes serveurs
8
Solution : XcMFT
Gestion de l’ensemble des transferts de fichiers (internes et externes)
Solution dédiée aux protocoles standards: FTP, FTPS, HTTP, HTTPS
Interface l’ensemble des serveurs FTP/HTTP du marché
Très hautes performances (nombre de transferts simultanés illimités)
Garantie d’acheminement des fichiers (persistance)
Virtualisation des chemins d’accès
Sécurisation des transferts y compris pour les protocoles non sécurisés
Historisation complète des méta-données associées aux transferts
Fonctionnement identique sur tous types de plates-formes
9
Principes d’architecture
Afin de s’intégrer parfaitement aux règles de communication et de sécurité de l’entreprise, trois types d’architecture sont possibles :
Point-to-Point : les serveurs applicatifs communiquent directement entre eux
Hub-and-Spoke : les serveurs applicatifs communiquent entre eux via un serveur pivot (hub) qui peut ou non se trouver dans une DMZ
Snow Flake : Configurations de type Hub-and-Spoke interconnectées
Ces trois types d’architecture peuvent être mixés et utilisés simultanément au sein d’une même entreprise
10
Modes de fonctionnement
Afin de couvrir l’ensemble des besoins de transfert de fichiers internes et externes à l’entreprise, XcMon dispose de trois modes:
Peer-to-Peer : Serveur XcMFT à serveur XcMFT
serveurs internes à l’entreprise ou à une communauté d’entreprises équipées de XcMon
Client/Server : Client XcMFT vers serveur XcMFT (Client léger gratuit)
pour partenaires extérieurs souhaitant être exclusivement initiateur des transferts
Foreign : Serveur XcMFT vers serveur FTP/HTTP standard (rien à installer)
pour partenaires extérieurs souhaitant être exclusivement correspondant des transferts
11
Modes de fonctionnement
12
Comparatif des modes de fonctionnement
Mode Peer to Peer Mode Client/Server Mode Foreign
Mode de communicationInitiateur du transfert Serveur XcMFT Client XcMFT Serveur XcMFTCorrespondant du transfert Serveur XcMFT Serveur XcMFT Serveur FTP/HTTP
SécuritéAuthentification forte Oui Oui NonChiffrement Dans et hors SSL Dans et hors SSL SSL
Négociation préalable au transfert(port, login/password, protocole) Oui Oui Non
Gestion des nom symboliques(utilisateurs, répertoires, fichiers) Oui Oui Non
Optimisation des fluxCompression Oui Oui NonParallélisme paramétrable Oui Non (unitaire par client) OuiReprises automatiques Oui Oui Oui
Traçabilité des transferts
Historique des transferts Serveurs XcMFT (tous les partenaires de l'échange) Serveur XcMFT Serveur XcMFT
Journal des événements Serveurs XcMFT (tous les partenaires de l'échange) Serveur XcMFT Serveur XcMFT
13
Principe de fonctionnement1 – Dépôt des commandes (validation) 6 – Process XCCLI vers serveur FTP / HTTP2 – Prise en compte asynchone du transfert 7 – Notification de fin de tarnsfert3 – Stockage de la commande dans le catalogue 8 – Procédure post-transfert (optionnel)4 – Procédure pré-transfert (optionnel) 9 – Mise à jour catalogues et historiques5 – Négociation avec le correspondant
Mailbox1
XcMFTXcMFT
2
Procédurepost-transfert
Procédurepost-transfert
88
Historique Historique9 9
FichierServeur
FTP – HTTP
xccli
6Fichier
ProcédurePré-transfert
Fichier
4
Catalogue
3
XcMFTXcMFT
Catalogue
Négociation5
7Notification
Système Initiateur Système Correspondant
14
Automatisation et Intégration
Procédure pré-transfert
Une commande de transfert peut être conditionnée par l’exécution d’une procédure utilisateur paramétrable
La procédure pré-transfert peut modifier le fichier à transférer, valider ou refuser le transfert
Procédure post-transfert
En fin de transfert, une procédure peut être activée automatiquement sur le système initiateur, et / ou, sur le système correspondant
Les procédures post-transfert peuvent être différentes en fonction de la fin, normale ou anormale, du transfert
Les procédures post-transfert peuvent être externes (process utilisateur) ou internes (commandes de transfert XcMFT)
15
Exemple : Signature électroniqueGrace aux procédures pré-transfert et post-transfert, XcMon peut intégrer automatiquement les systèmes de signature électronique du marché.XcMon propose en option la signature LP7 de LEX PERSONA™ (signature et horodatage solide basés sur des standards technologiques éprouvés)
XcMFTXcMFT
xccli
XcMFTXcMFT
Fichier LP7Le fichier LP7 contient le document d’origine, ses signatures et toute sa traçabilité
Fichier LP7
ServeurFTPS
DocumentWord, Autocad, PDF,
XML, …
ProcédurePré-transfert
Procédurepost-transfert
Transfert
16
Autres fonctions avancées
Garantie d’acheminement et gestion de l’indisponibilité
Pas de perte de commandes : dépôt des commandes de transfert dans une mailbox puis traitement asynchrone par le moniteur XcMFT
Persistance du transfert : jusqu’à l’exécution ou l’abandon manuel du transfert (reprises ou re-soumission automatiques du transfert)
Gestion d’adresse de secours : Alternate Pathing automatique (deux adresses IP différentes peuvent être définies par correspondant)
Transferts automatiques par « scan » de répertoires
Gestion de listes de diffusion
Planification des transferts
Gestion de tables de conversion de caractères (ASCII EBCDIC)
17
Support de plates-formes hétérogènesFonctionnalités et interfaces identiques pour toutes les plates-formes :
Mainframe : MVS, OS390, z/OS, GCOS 8
Midrange : OS400, i/OS
UNIX : AIX, Solaris, HP-UX, Linux (RedHat et SuSe)
Windows (95 et suivantes)
Netware (5.1 et suivantes)
Trois modes de dépôts de commandes de transfert, avec la même syntaxe, pour l’ensemble des plates-formes :
Batch (.bat, script, jcl, …)
API
Manuel par l’opérateur
18
ProtocolesXcMFT est conforme au spécifications des protocoles suivants:
FTP (RFC-959)
XcMon renforce la sécurité de FTP en proposant des fonctions de contrôle des correspondants, de gestion sécurisé des Login FTP, ainsi qu’un système intégré de compression et de chiffrement des données (PKI)
FTPS (RFC-2246 et RFC-2228) – Sécurisation des échanges par SSL v3
Authentification forte par certificat X509 v3
Chiffrement de la session (systématique) et des données (optionnel)
HTTP 1.0 (RFC-1945) et HTTP 1.1 (RFC-2616)
Réception (GET) et Envoi (POST)
Avec ou sans authentification (user/mot de passe RFC-2617)
HTTPS – Sécurisation des échanges par SSL v3
19
XcMFT: Au-delà de FTPFTP/Standard FTP/XcMFT
Gestion des transfertsDéclenchement asynchrone XTransferts binaire/texte/EBCDIC X XGestion de noms logiques des fichiers XEnvoi à des destinataires multiples XRoutage multi correspondants XGestion du parallélisme XReprises automatiques XSécuritéAuthentification des correspondants XContrôle d'accès X XGestion sécurisée des Login/mot de passe XGarantie d'acheminement XPersistance des commandes XGestion d'adresse de secours XAutomatisationDéclenchement automatisé sur événement XScans de répertoires récursifs XPlanification et report XAcquittement XTraitement pré et post transfert synchronisé XGestion avancée des erreurs XPilotagePilotage et contrôle à distance centralisé XCentralisation possible des requêtes XSuivi de bout en bout des échanges XHistorique des transferts XAlerte XTransportCompression des données XChiffrement des données X
PMPI 03.31/2004 PDB
Document strictement confidentiel – Avitis Group
Gestion sécurisée des échanges de messages XcMQ, le module de Message Queuing de la suite XcMon
21
ProblématiqueBesoins :
Solution de gestion des échanges de messages en complément des transferts de fichiers
Communication asynchrone entre applications réparties sur différents serveurs
Garanties d’acheminement, de sécurisation et d’historisation des échanges de messages
Indépendance vis-à-vis des plates-formes serveurs
22
Solution
XcMQ :
Solution de gestion des échanges de messages complémentaire au module XcMFT
Solution basée sur une gestion de queues de messages sécurisées
Garantie d’acheminement des messages
Sécurisation des échanges de messages
Historisation complète des méta-données associées aux échanges
Architecture modulaire
Fonctionnement identique sur tous types de plates-formes
23
Principes d’architecture
Afin de s’intégrer parfaitement aux règles de communication et de sécurité de l’entreprise, trois types d’architecture sont possibles :
Point-to-Point : les serveurs applicatifs communiquent directement entre eux
Hub-and-Spoke : les serveurs applicatifs communiquent entre eux via un serveur pivot (hub) qui peut ou non se trouver dans une DMZ
Snow Flake : Configurations de type Hub-and-Spoke interconnectées
Ces trois types d’architecture peuvent être mixés et utilisés simultanément au sein d’une même entreprise
24
Principe de fonctionnement1 – Dépôt de la commande de transfert de message (validation) 5 – Transfert du message2 – Prise en compte asynchrone de l’échange 6 – Acquittement de réception de message3 – Stockage de la commande dans le catalogue, et du message dans la queue 7 – Activation de process (optionnel)4 – Négociation avec le correspondant 8 – Mise à jour catalogues et historiques
Catalogue
XcMQXcMQ
4 Négociation
6 Acquittement
XcMQXcMQ
2
Historique Historique
8 8
Mailbox1Activation de
process7
Catalogue
3
Queue
5Send message
Receive messageTransfert du message
Queue
Système Initiateur Système Correspondant
25
Mode de fonctionnement
Échanges entre serveurs XcMQ exclusivement
Traitement des messages
Association de procédures externes ou internes (XcMQ ou XcMFT) àchaque queue de message:
Activation automatique des procédures à chaque réception de message
Paramétrage des procédures avec tout ou partie du message reçu
Sérialisation possible des activations avec acquittement utilisateur
Mise à disposition de messages pour les applications (API)
Gestion des queues de messages :
Nombre infini de queues de messages
Gestion de la durée de vie des messages pour chaque queue
26
Fonctions clés
Garantie d’acheminement et gestion de l’indisponibilité
Pas de perte de commandes : dépôt des commandes d’échange dans une mailbox puis traitement asynchrone par le moniteur XcMQ
Persistance de l’échange : jusqu’à l’exécution ou l’abandon manuel de l’échange (reprises ou re-soumission automatiques de l’échange)
Gestion d’adresse de secours : Alternate Pathing automatique (deux adresses IP différentes peuvent être définies par correspondant)
Traçabilité des échanges
Historique des échanges
Journal des événements
27
Fonctions clés (suite)
Sécurisation des échanges
Authentification
Négociation préalable à l’échange
Accès protégé aux queues de messages
Vérification de l’intégrité du message
Gestion de listes de diffusion
Gestion de tables de conversion de caractères (ASCII EBCDIC)
28
Support de plates-formes hétérogènesFonctionnalités et interfaces identiques pour toutes les plates-formes :
Mainframe : MVS, OS390, zOS, GCOS 8
Midrange : OS400, iOS
UNIX : AIX, Solaris, HP-UX, Linux (RedHat et SuSe)
Windows (95 et suivantes)
Netware (5.1 et suivantes)
Trois modes de dépôts de commandes d’échange, avec la même syntaxe, pour l’ensemble des plates-formes:
Batch (.bat, script, jcl, …)
API
Manuel par l’opérateur
29
XcMessenger: Visualisation des échangesVisualisation sélective de messages
Vue centralisée
Queues de messages pré-définies
Messages d’erreurs des logs des moniteurs XcMQ et XcMFT
PMPI 03.31/2004 PDB
Document strictement confidentiel – Avitis Group
Gestion centralisée des échanges XcWop, le module de Supervision unifiée de la suite XcMon
31
XcWop : Principales caractéristiques
Solution unifiée de supervision de la suite XcMon:
Configuration des moniteurs
Administration des moniteurs
Gestion des requêtes
Vue centralisée des échanges fichiers et messages
Surveillance
Fonctionne sur une plate-forme Windows
Profils :
administrateur (plusieurs administrateurs simultanés possibles)
utilisateur (requêtes d’échanges uniquement)
32
XcWop : Configuration des moniteurs
Notions de configuration de travail et de configuration active
Assistant à la définition (wizard)
Génération automatique de configurations
Distribution des configurations sur les moniteurs distants
Prise en compte par les moniteurs sans interruption des échanges
Archivage des configurations dans la base XcWop
Gestion automatique des éventuelles évolutions de syntaxe lors des montées de version
33
XcWop : Administration des moniteurs
Suivi de l’activité des moniteurs
Arrêt et redémarrage d’un moniteur
Visualisation des journaux d’un moniteur
Visualisation des paramètres de fonctionnement
34
XcWop : Gestion des requêtes
Trois types de requêtes
Requêtes d’échanges : fichiers et messages
Requêtes de consultation des catalogues des échanges en cours
Requêtes de consultation de l’historique des échanges
Requêtes définies et sauvegardées dans la base XcWop
Distribution des requêtes sur moniteurs distants pour exécution par les applications batch
Possibilité de soumettre ou relancer un échange manuellement
35
XcWop : Gestion des requêtes (suite)
Gestion de communautés de moniteurs:
Consultation du catalogue et de l’historique des échanges pour un ensemble de moniteurs
36
XcWop : Visualisation des échanges
Vue en temps réel ou issue de l’historique des échanges :
Un moniteur ou une communauté de moniteurs
Visualisation générale ou détaillée d’un échange
ClickdroitClickdroit
Bulle contextuellede visualisation rapide
Bulle contextuellede visualisation rapide
37
XcWop : Surveillance
Vue en temps réel :
État de fonctionnement des moniteurs
Messages d’erreurs liés aux moniteurs
Messages d’erreurs liés aux échanges
PMPI 03.31/2004 PDB
Document strictement confidentiel – Avitis Group
Évolutions majeures à venir XcMon 2007
39
Principales évolutions de la suite XcMon
Au-delà des fichiers et des messages un gestion encore plus globale des échanges de l’entreprise étendue:
Emails (SMTP et POP3)
SMS
XcMQ interfacé avec les principaux systèmes de MQ du marché
Nouvelle interface d’administration de type browser web (en complément de XcWop sur windows)
40
Action Soft / AVITIS France30 RUE DE GRAMONT
75002 PARIS
TELEPHONE - +33.1.53.45.44.40
FAX - +33.1.53.45.44.44
AVITIS SuisseAVENUE DES MORGINES,12
CH-1213 PETIT LANCY
TELEPHONE - +41.22.879.62.00
FAX - +41.22.792.39.82
WWW.ACTION-SOFT. COM / WWW.AVITIS.NET
AVITIS ItalieVIA NOMENTANA, 220
00162 ROMA
TELEPHONE - +39.686.39.90.51
FAX - +39.686.37.88.67