Bonjour David, Extrait de nos SLA sur Forcepoint ONE:
Network Infrastructure Availability • Forcepoint controlled systems (servers, hardware, and associated software) that are responsible for delivering Forcepoint ONE (“Network Infrastructure”) will be available 99.9% of the time. • Network Infrastructure “Service Unavailability” means a period when the Network Infrastructure fails to process proxied traffic in substantial conformance with Forcepoint’s published Documentation as may be updated by Forcepoint from time to time, measured during any given calendar month. • In the event of Service Unavailability for 0.1% or more of any calendar month, Customer may be eligible for a Service Credit equal to 1 day for each 2-hour period of Service Unavailability, subject to a maximum credit of 5 days in any 1 calendar month Si la plateforme est complètement HS, les utilisateurs ne pourront pas accéder aux ressources. Cordialement, Jonathan -----Original Message----- From: David Ponzone <david.ponz...@gmail.com> Sent: Monday, April 3, 2023 9:48 AM To: Delcor, Jonathan <jonathan.del...@forcepoint.com> Cc: DUVERGIER Claude <frnog...@claude.duvergier.fr>; frnog-t...@frnog.org Subject: EXTERNAL: Re: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, FTP, RDP, …) pour le staff en télétravail ? Jonathan, C’est intéressant comme produit. Mais question purement technique (mais néanmoins importante avec tout ce qui est cloud géré par un tiers): il se passe quoi quand le cloud Forcepoint est HS ? C’est quoi le SLA ? > Le 3 avr. 2023 à 09:28, Delcor, Jonathan via frnog <frnog@frnog.org> a écrit : > > Bonjour Claude, > > Disclaimer: Je suis avant-vente Forcepoint > > Je pense qu'une solution ZTNA serait adéquate pour ton besoin. Tu installes > un Linux ou OVA ou NGFW Forcepoint qui va faire une connexion sortante vers > le cloud Forcepoint ONE. > Dans Forcepoint ONE tu associes les groupes d'utilisateurs par > application/IP/sous-réseau. Tu peux même renforcer la connexion suivant la > posture du poste, le pays... Et l'utilisateur sera automatiquement > authentifié via l'agent et donc aura accès aux ressources de façon > transparente. > > Et sans agent les utilisateurs pourront accéder aux applications http/s via > une technologie de reverse au proxy. > > Je reste à disposition pour en discuter. > > Cordialement, > > Jonathan > > -----Original Message----- > From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> On Behalf Of > DUVERGIER Claude > Sent: Wednesday, March 29, 2023 2:41 PM > To: frnog-t...@frnog.org > Subject: EXTERNAL: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, > FTP, RDP, …) pour le staff en télétravail ? > > Bonjour la liste, > > Certains de nos clients limitent les accès a leur SI (site en préproduction, > backoffice web, serveur FTP, etc.) par adresse IPv4. > > On leur communique donc nos adresses IP publiques (celles pour l'accès à > Internet), il les autorisent et voilà. > > Sauf qu'avec le télétravail, le staff qui travaille depuis leur connexion > Internet personnelle n'utilisent pas l'une des adresse IP autorisée et sont > donc bloqués. > > On a bien un service VPN qui permet aux collaborateurs en télétravail > d’accéder au LAN et SI de la société, mais il est configuré pour ne pas > recevoir le trafic réseau "autres" (celui qui irait sur Internet) : > l'idée étant que l'employé qui veut se mater une vidéo musicale en fond ou se > faire un film en streaming pendant sa pause n'utilise pas inutilement la > bande passante du service VPN. > > Historiquement le problème ne concernait que l'accès HTTP : on a donc > installé un proxy web (Squid) en interne (accessible en VPN) que l'employé > peut utiliser. Le trafic passe donc de son ordinateur au serveur proxy via le > tunnel VPN, et après ce serveur accède au SI du client via une adresse > autorisée. > > Mais avec le temps, se pose la question de l'accès à un serveur FTP, puis en > SSH, puis en RDP, etc. > > J'ai l'impression que pour chaque protocole je vais devoir installer un > nouveau serveur intermédiaire. Et que tant qu'à faire dans ce cas là, autant > leur configurer une session utilisateur sur un Ubuntu (accessible en bureau à > distance) qui utilise une des adresses IPs publiques autorisée et ça > fonctionnera pour tout les protocoles. > Mais bon, le RDP c'est peu pratique pour l'utilisateur. > > Vous avez une façon de faire pour ces cas là ? Une solution technique (tel > qu'un proxy TCP ou un genre de logiciel bastion qui gère plein de > protocole) ? Ou alors reconfigurer le VPN pour qu'il accepte tout le trafic > et puis c'est marre ? > > -- > Duvergier Claude > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
