BLOG

Client F5 Edge 7.2.1 : Améliorer la sécurité et simplifier l'expérience utilisateur pour l'accès aux application réseau et Web

Vignette de Jay Kelley
Jay Kelley
Publié le 12 octobre 2020

F5 a récemment publié une nouvelle version du client F5 Edge (v7.2.1). Pour ceux d’entre vous qui ne connaissent pas le client F5 Edge, il s’agit d’un client VPN SSL utilisé pour fournir un accès aux réseaux d’entreprise aux employés travaillant à domicile ou à distance. Il est utilisé avec BIG-IP Access Policy Manager (APM) , la solution proxy de gestion des accès sécurisée et hautement évolutive de F5 qui fournit un contrôle d'accès centralisé aux applications et aux API, et permet également l'accès aux application Zero Trust lorsqu'elle est configurée pour un proxy prenant en charge l'identité (IAP). Le client F5 Edge sécurise accès à distance pour les travailleurs à domicile et à distance. F5 Edge Client est disponible sur Apple macOS et Microsoft Windows. (F5 propose également des clients VPN SSL (clients F5 Access) pour les plateformes Apple iOS, Google Android et Chrome OS. Les clients F5 Access sont disponibles en téléchargement sur l'App Store d'Apple, le Google Play Store et le Chrome Web Store, respectivement.)

Les anciennes versions de F5 Edge Client prenaient en charge Datagram Transport Layer Security (DTLS) version 1.0 pour la connectivité à distance, la sécurisation et le tunneling des applications sensibles aux délais.

F5 Edge Client 7.2.1 prend désormais en charge DTLS 1.2, ce qui permet aux entreprises, aux agences gouvernementales et aux ministères de répondre aux nouvelles exigences de conformité et de cesser d'utiliser DTLS 1.0, qui présente un certain nombre de limitations de sécurité. DTLS 1.2 permet aux applications client/serveur de communiquer sans crainte d'écoute clandestine, de falsification ou de falsification de messages.

Une autre nouvelle fonctionnalité de cette version permet aux configurations de tunneling fractionné basées sur le nom de fonctionner avec des services dont la charge DNS est équilibrée. Cela permet des connexions continues et durables, telles que celles utilisées par les services de streaming, même si une résolution de nom ultérieure génère une adresse IP différente.

Les organisations déploient BIG-IP APM pour fournir à leurs utilisateurs (employés, sous-traitants et autres) un accès à distance à leurs réseaux et pour fournir un accès à distance sécurisé aux applications d'entreprise. Pour réduire les frictions et augmenter l’agilité de leurs utilisateurs, les organisations doivent fournir un accès transparent aux applications Web ainsi qu’à leur réseau sans obliger les utilisateurs à se connecter plusieurs fois. Cela est particulièrement important compte tenu de l’explosion du nombre d’utilisateurs contraints de travailler à domicile ou à distance en raison de la pandémie de coronavirus.

La nouvelle fonctionnalité la plus intéressante de F5 Edge Client 7.2.1 est sa capacité à fournir une authentification unique (SSO) sur les applications Web et accès à distance .

F5 Edge Client 7.2.1 utilise le flux de code d’autorisation Open Authentication (OAuth) pour obtenir un jeton d’accès auprès d’un serveur d’autorisation OAuth. Ce jeton d'accès est ensuite utilisé pour s'authentifier auprès de BIG-IP APM afin d'obtenir un accès à distance sécurisé au réseau d'entreprise d'une organisation. F5 Edge Client 7.2.1 fonctionne avec n’importe quel serveur d’autorisation OAuth conforme et est validé avec les serveurs d’autorisation Azure AD, Okta, Google et Ping Identity.

En utilisant le flux de code d’autorisation OAuth, cette nouvelle version de F5 Edge Client délègue l’authentification au navigateur externe d’un utilisateur. L’authentification des utilisateurs étant effectuée via un navigateur externe, F5 Edge Client peut désormais prendre en charge toutes les nouvelles méthodes d’authentification modernes qui peuvent être prises en charge par les serveurs d’autorisation d’une organisation, notamment :

  • Authentification sans mot de passe à partir d'un appareil Microsoft Windows enregistré à l'aide de données biométriques, telles qu'une empreinte digitale ou une reconnaissance faciale, ou d'un code PIN.
  • 2authentificateurs à 2 facteurs, tels que YubiKey de Yubico, qui sont conformes à la spécification Universal 2 nd Factor (U2F) . Les appareils U2F peuvent être inscrits via un flux d'inscription basé sur le Web sans nécessiter de logiciel ou de pilote côté client.
  • Authentification FIDO2 à partir de n’importe quel appareil Windows ou macOS à l’aide d’authentificateurs tiers ou intégrés sans nécessiter de pilotes supplémentaires ou de logiciels côté client pour activer ces authentificateurs.

F5 Edge Client 7.2.1 permet aux entreprises de bénéficier de plusieurs avantages, tels qu'une sécurité renforcée, une convivialité et une commodité améliorées, une confidentialité accrue pour les utilisateurs finaux et une évolutivité en effectuant l'authentification dans le navigateur et en utilisant l'authentification FIDO2.

Les identifiants de connexion cryptographiques FIDO2 ne quittent jamais l'appareil d'un utilisateur et ne sont jamais stockées sur un serveur. Cela élimine donc les risques liés au phishing, à toutes les formes de vol de mot de passe et aux attaques par relecture.

Les utilisateurs peuvent déverrouiller les identifiants de connexion cryptographiques avec des méthodes intégrées simples, telles que des lecteurs d'empreintes digitales ou des caméras sur leurs appareils, ou en exploitant des clés de sécurité FIDO faciles à utiliser. Les utilisateurs peuvent sélectionner l’appareil qui correspond le mieux à leurs besoins et qui est conforme aux politiques de leur organisation. De plus, comme le contexte d’authentification est conservé dans le navigateur, un utilisateur n’a pas besoin de se reconnecter lorsqu’il tente d’accéder à une application Web après s’être connecté au réseau de son organisation à l’aide de F5 Edge Client.

Étant donné que les clés cryptographiques FIDO sont uniques pour chaque site, elles ne peuvent pas être utilisées pour suivre les utilisateurs sur plusieurs sites, améliorant ainsi la confidentialité des utilisateurs. De plus, les données biométriques, lorsqu’elles sont utilisées, ne quittent jamais l’appareil de l’utilisateur.

Enfin, les authentificateurs FIDO 2 peuvent être enregistrés et activés via un flux de travail basé sur le Web. Cela permet aux déploiements d’évoluer très facilement.

BIG-IP Edge Client est disponible sous forme de package autonome qui peut être installé sur BIG-IP APM exécutant la version 13.1.0 ou une version ultérieure. Pour plus d'informations sur la dernière version de F5 Edge Client (v7.2.1), veuillez consulter les notes de version , la matrice de compatibilité et le guide d'administration .