• Quelle valeur ajoutée y a-t-il lorsqu’on opte pour un serveur appliance ?

• Quels sont les services apportés par un serveur appliance ?

• Quel type d’appliance choisir ?

• Les appliances incluent peu de fonctionnalités en standard, mais des packs optionnels permettent d’en ajouter à la carte. Vérifiez celles disponibles en standard et celles que l’on peut ajouter par la suite.

• Si le boîtier tombe en panne, il n’y a plus d’accès possible aux services fournis, il faut donc prendre un contrat de maintenance avec intervention rapide.

• Veillez à choisir la puissance de l’appliance en tenant compte du nombre d’utilisateurs connectés simultanément (en local ou à distance) et des fonctions pouvant être utilisées par le système, en adéquation avec les besoins à moyen terme de l’entreprise pour ne pas limiter l’évolutivité de votre réseau.

La gestion et le partage des flux d’informations provenant de différents sources et réseaux sont un enjeu majeur pour l’entreprise. Cependant, devant la complexité et le coût engendré par le déploiement, la gestion et la sécurisation de l’ensemble du réseau, les appliances constituent une solution-clé pertinente pour les entreprises ne possédant pas les compétences en interne et désireuses de ne pas lourdement investir dans le domaine de la gestion informatique interne.

Les appliances sont des ordinateurs serveurs dédiés préintégrés. À la différence des serveurs conventionnels, ils se présentent sous la forme d’un simple boîtier avec des prises réseau qui permettent de le connecter avec le réseau local de l’entreprise. Les logiciels de gestion et de sécurité sont déjà installés et partiellement configurés. L’administration et la gestion du boîtier s’effectuent grâce à un navigateur Internet (à distance ou non) ou en connectant un ordinateur sur le connecteur dédié du boîtier.

On distingue trois grands rôles pour ces appliances :

- la sécurité
- le travail collaboratif
- la communication

Une solution appliance est une offre

- prête à l'emploi, sous la forme d’un boîtier à connecter sur le réseau local de l’entreprise, le système est préintégré et préconfiguré

- facile à administrer avec une interface de configuration simplifiée pensée pour les non-spécialistes

Modulable

- gestion des services hébergés à la carte

- multiplication des boîtiers pour accroître le nombre d’utilisateurs géré (clustering)

- utilisation de boîtiers de management centralisés pour la gestion de boîtiers sur plusieurs sites

- fiable et cohérente qui permet d’envisager le système d’information de l’entreprise comme un tout qu’il faut savoir gérer dans son ensemble

- multiapplication utilisant un grand nombre de composants standard (outils bureautiques, environnements graphiques, modules de communication réseau, firewall, etc.), tout en apportant une réelle valeur ajoutée à ses utilisateurs

Le principe général est qu'un spécialiste (la plupart du temps un technicien du partenaire, fournisseur de la solution) effectue l'installation et le paramétrage initial du système et des applications sur l’appliance. L'ensemble fonctionne ensuite tout seul, et ne nécessite pas d'interventions d'administration lourde. Les quelques opérations d'administration, simplifiées, comme la vérification des sauvegardes ou la modification de la configuration (ajout d'un nouvel utilisateur, d'un compte e-mail, etc.) sont effectuées par une personne sur place ayant des droits d'administration, ou bien à distance via un accès sécurisé.

Le partenaire, fournisseur de la solution, peut éventuellement effectuer les tâches d’administration et de surveillance à distance, ce qui nécessite un contrat de maintenance souvent lié au contrat de location de l’appliance.

Ainsi, les entreprises utilisant ce système évitent de réaliser un investissement lourd en termes d'administration informatique.

La segmentation des produits disponibles dans les différentes gammes se fait au niveau de la puissance de traitement de l’appliance c’est-à-dire par rapport au nombre d’utilisateurs pouvant être gérés simultanément et à la complexité des services gérés.

En entrée de gamme, les produits n’ont qu’une faible puissance de traitement, ces appliances ne gèrent qu’une dizaine d’utilisateurs simultanément et les services offerts sont allégés.

Bien entendu, plus on monte en gamme, plus les matériels incluent des fonctionnalités avec un nombre d’utilisateurs plus grand.

En haut de gamme, plusieurs prises (switch intégré) de technologies avancées (gigabit Ethernet ou fibre optique) sont embarquées et permettent des échanges plus rapides.

Ces boîtiers utilisent pour la plupart des mécanismes de sécurité innovants – parfois brevetés – utilisant eux-mêmes un ensemble d’outils ayant chacun une tâche spécifique pour sécuriser le réseau. Ils s’intercalent entre le réseau Internet et le réseau interne de l’entreprise. Leur rôle principal est de distribuer la connexion Internet entre les différents postes du réseau et de sécuriser les échanges de données.

Pour cela, ils sont constitués de différents éléments tels que :

- un pare-feu (ou firewall) système qui protège « intelligemment » un réseau informatique d’attaques éventuelles en bloquant des portes (certains ports TCP/IP) en entrée et en sortie.

- un serveur proxy qui lui-même contient un mécanisme de surveillance pour surveiller, voire restreindre, les accès Internet non désirés et filtrer les adresses de sites web sensibles. Il gère aussi la mise en tampon des pages web les plus fréquemment consultées afin d'en accélérer l'affichage sur les postes de travail. Le couple Firewall/Proxy permet ainsi de se connecter à Internet avec un niveau de sécurité très important, tout en optimisant la bande passante réseau.

- des systèmes de détection d’intrusion (IDS) et de prévention d’intrusion (IDPS) qui analysent le trafic réseau TCP/IP (Ethernet, SLIP et PPP) afin de détecter des activités suspectes pouvant engendrer une corruption du système. Ces systèmes travaillent selon un ensemble de règles prédéfinies leur permettant d'avertir l'administrateur lors de tentatives d'intrusion qu'ils ont détectées en ajoutant des lignes d'information dans le fichier journal de bord ou automatiquement par e-mail.

- un antivirus qui scanne le contenu des pages web, les mails et les données à la recherche de virus ou de script malicieux.

- un antispam qui permet de traiter de manière différenciée la plupart des messages commerciaux non sollicités, publicités, escroqueries reçus par les utilisateurs. En plus d’améliorer le confort, il permet d’alléger le débit disponible sur le réseau.

- une fonctionnalité passerelle VPN ou VPN SSL qui permet de sécuriser par cryptage les accès distants des utilisateurs nomades et les communications entre sites. Ces systèmes utilisent le réseau Internet pour relier deux points géographiques évitant de louer des lignes dédiées très onéreuses.

Certains vont plus loin en proposant des modems ADSL intégrés, un accès WiFi, un serveur d’impression pour partager une imprimante entre plusieurs utilisateurs ou la gestion des flux VoIP (téléphonie par le réseau Internet).

Elles permettent de disposer au choix et dans beaucoup de cas des services suivants :

Messagerie unifiée

Ce type de fonctionnalité utilise la liaison entre l’appliance et le central téléphonique numérique (IPBX) de l’entreprise afin d’unifier les différents moyens de communication. Ainsi, les utilisateurs reçoivent les messages vocaux reçus sur leur téléphone par mail (messages audio en pièce jointe). D’autres fonctions telles que le partage de répertoire entre ordinateur et téléphone avec des interactions (voire plus encore) peuvent également être mises en place.

Outils de travail collaboratif

Le bureau virtuel est une interface web d’accès en local et à distance à son environnement de travail. Il donne donc l’accès à l’ensemble des services et des données informatiques de l’entreprise (messagerie, agenda, contacts, annuaire), favorise le travail collaboratif et unifie le portail de l'entreprise en une unique interface pour tous les utilisateurs connectés en local ou à distance.

L’agenda partagé

Permet aux utilisateurs d’accéder non seulement à leur calendrier mais aussi de le partager en lecture seule ou en lecture/écriture avec d’autres utilisateurs afin de leur permettre de vérifier les disponibilités, d’envoyer des propositions de réunions ou de rendez-vous qui seront ajoutées selon les réponses des différents participants.

La gestion des contacts

Tous les contacts saisis sont automatiquement partagés par tous les utilisateurs et peuvent, une fois renseignés, être synchronisés avec des PDA ou Smartphone. Les contacts sont automatiquement enregistrés dans l'annuaire LDAP intégré au serveur et sont donc aussi accessibles directement depuis le réseau. Il est possible de faire un tri ou une recherche sur de multiples critères (noms, sociétés, etc.).

Partage de ressources

Il s’agit de partager certains des répertoires présents sur l’appliance et du matériel en réseau (imprimantes par exemple) avec des postes d’utilisateurs et de gérer des droits d'accès à ses ressources partagées. Le tout en utilisant un protocole de communication compatible avec tous les systèmes d’exploitation. Cela permet de ne rien installer sur les postes clients et donc de les délester.

Tournées vers les échanges et la convergence des technologies de communication informatique et télécom, ces appliances permettent de disposer des fonctions suivantes :

Messagerie d’entreprise :

C’est aujourd’hui un outil presque obligatoire pour les structures tournées vers la communication. Le serveur de mails intégré gère un domaine personnalisé et fournit à tous les utilisateurs du réseau une adresse e-mail de la forme user@NomEntreprise.com. Le service de messagerie centralise l’accès à plusieurs abonnements de fournisseurs d'accès, réceptionne les messages des différents comptes et les redistribue ensuite aux personnes concernées.

Le serveur de messagerie est entièrement compatible avec tous les logiciels de messagerie du marché (POP/SMTP/IMAP) et offre également un accès web aux boîtes d'e-mails. Il est ainsi possible de lire ses messages à l’extérieur de l’entreprise depuis n'importe quel poste de travail équipé d'un navigateur Internet.

Pour l'échange de messages avec l'extérieur, il est nécessaire de posséder un abonnement chez un fournisseur d'accès qui servira d'intermédiaire avec les services de messagerie des destinataires

Fonctions téléphoniques

Intègre les services de téléphonie à l'environnement informatique et à l'environnement de travail de chaque utilisateur.

Les collaborateurs nomades peuvent transférer les appels entrants de leur poste téléphonique vers leur mobile, téléphone personnel ou celui d'un hôtel.

Mais la notion de convergence permet d’aller plus loin. Il est par exemple possible d’émettre des appels avec un simple clic, depuis le bureau virtuel distant accessible par Internet (cf. travail collaboratif) indépendamment du lieu d’où l’opération est initiée. La fonction demande à l’IPBX de l’entreprise auquel est connectée l’appliance d’initier l'appel. A ce moment, le téléphone distant de l'utilisateur nomade sonne, il décroche et la mise en relation avec le numéro composé est automatique.

Enfin, des synergies fortes entre postes informatiques et téléphones peuvent être trouvées (cf guide sur la téléphonie sur Internet – IP).

Communications à distance sécurisées

Ce type de service permet l’utilisation d’accès à distance VPN SSL sécurisé c'est-à-dire utilisant non plus des lignes dédiées, louées et onéreuses, mais du réseau Internet. Ce système connecte les utilisateurs nomades et les filiales de l’entreprise au siège par des « tunnels » sécurisés et cryptés s’appuyant sur le réseau Internet.

A. Les points à toujours garder en tête

• Les appliances incluent peu de fonctionnalités en standard, mais des packs optionnels permettent d’en ajouter à la carte. Vérifier celles disponibles en standard et celles que l’on peut ajouter par la suite.

• Si le boîtier tombe en panne, il n’y a plus d’accès possible aux services fournis, il faut donc prendre un contrat de maintenance avec intervention rapide.

• Veillez à choisir la puissance de l’appliance en tenant compte du nombre d’utilisateurs connectés simultanément (en local ou à distance) et des fonctions pouvant être utilisées par le système, en adéquation avec les besoins à moyen terme de l’entreprise pour ne pas limiter l’évolutivité de votre réseau.

• L’installation et la gestion du système par un prestataire extérieur est une solution viable, mais disposer d’un minimum de compétences en interne pour configurer l’appareil et réagir rapidement aux éventuels problèmes bénins est assurément un plus. Pensez donc à l’autoformation pour parer à toute éventualité.

• Le faible nombre de ports intégrés d’une appliance peut aisément être contourné en y adjoignant un commutateur réseau (switch).

• Les possibilités de cryptage en VPN et Wi-Fi sont importantes dans le cas de nombreux échanges confidentiels.


B. Ce qu’il faut savoir par ailleurs

• Les appliances de sécurité avec antivirus intégré limitent la vitesse des accès externes, c’est une concession à faire pour augmenter le niveau de sécurisation du réseau et des machines qui le composent.

• Pour utiliser les fonctions de convergence téléphonique, il faut choisir un matériel compatible avec le central téléphonique (IPBX). Certains constructeurs proposent les deux types de matériels et garantissent donc une compatibilité totale.

• Les solutions VPN d’accès à distance sont limitées en débit. Elles sont également limitées en nombre de connexions VPN simultanées. Le bon dimensionnement est donc important pour ne pas se trouver confronté à des limitations trop handicapantes.

• Pour garantir une sécurité maximale, l’appliance de sécurité doit proposer des systèmes de détection et de prévention d’intrusion (IDS et IDPS).