Documentation technique
1 PRESENTATION WISPER
1.1 NOTRE VISION
« Dans tout ce que nous faisons, nous croyons en la force de l’innovation, nous croyons qu’elle peut accélérer l’implication du monde vers le développement durable.
Nous participons à cette implication, en concevant des produits eco-friendly, faciles à utiliser et permettant des économies tangibles.
Nous avons créé le Digital Desktop »
La Direction Wisper
1.2 PRESENTATION DE LA SOCIETE
La société Wisper est un des éditeurs majeurs des solutions dédiées à la Virtualisation des Postes de Travail. Si notre ambition est de réinventer le « Virtual Desktop Infrastructure ou Virtual Desktop Interface » (VDI) pour délivrer des postes de travail performants avec le plus faible coût total de possession (TCO), nous sommes également déterminés à livrer sans compromis des postes de travail conciliant les besoins et exigences des services informatiques et des utilisateurs finaux.
Wisper adresse plus de 200 clients pour plus de 25 000 PC virtuels en exploitation : ceBox®.
2 CONTEXTE GENERAL CEBOX
CeBox® est une solution de virtualisation de PCs (Machine Virtuelle) sans infrastructure serveur qui fonctionne sur tous types d’ordinateurs, Laptops ou Workstations.
La centralisation des postes est assurée par la technologie ceBox®OS, développée par Wisper comme une évolution évidente au VDI. Plus simple, plus économique et particulièrement innovante, celle-ci permet de concilier les besoins des utilisateurs et les exigences des services informatiques grâce à la suppression de l’infrastructure serveurs. Les Images Master sont gérées de manière centralisées, déployées en mode Read-Only et exécutées en local en s’appuyant sur les ressources natives de la machine du client.
Ce produit vous permet de déployer et gérer très facilement un environnement applicateur utilisateur (Windows ou Linux) et cela quel que soit la localisation (sur site aussi bien qu’en télétravail)
La solution Wisper intègre un système VPN “tout en un” sécurisé et maîtrisé, qui permet une intégration sécurisée et adaptée à tous types d’écosystèmes techniques.
Les masters sont synchronisés sur le site de production ainsi que dans le Cloud Wisper afin de mettre à disposition des télétravailleurs, un environnement virtuel et/ou applicatif managé, à jour et sécurisé.
2.1 COMPOSANTS CEBOX
2.1.1 La ceBox
Nous pouvons installer notre environnement sur tous types de machines répondant aux prérequis techniques de la solution CeBox à savoir :
- Microprocesseur Compatible Virtualisation
- Mémoire Vive à partir de 8 Go
- Disques SSD
La couche logicielle primaire d'une ceBox® correspond au système d'exploitation de type hyperviseur appelé : ceBoxOS®. Le système d'exploitation ceBoxOS® offre aux utilisateurs la possibilité d’utiliser une machine virtuelle fonctionnelle et sécurisée (Mode Lecture Seul) ou un environnement applicatif Web.
2.1.2 Systéme d’exploitation ceBox
ceBoxOS® est une distribution Linux compilée par nos équipes R&D afin d’obtenir un système d’exploitation optimisé et sécurisé transformant votre machine en hyperviseur local.
» Fonctionnalités Clés :
- Gère du Hardware en mode intégré
- Intègre la gestion d’un réseau tunnelisé
- Intègre une gestion de disque virtuel streaming cloud
- Gère des authentifications, des configurations
- Gère un hyperviseur pour lancer des machines virtuelles ou des applicatifs conteneurisées
» Sécurité des services et du réseau :
- Pare-feu Linux Netfilter intégré, peut être personnalisé
- Service d'écoute seulement sur l'interface privée du tunnel
- Tous les flux réseaux sont encapsulés dans le tunnel sécurisé, géré au sein du kernel linux
2.1.3 Les PCs Virtuels ( Ou Virtuals Machines )
Les PCs virtuels (ou VMs) sont des machines virtuelles hébergées localement par CeBox® grace au CeBoxOS®
La VM est en "lecture seule" nativement. Cela correspond à une instance non persistante de la version du master déployé. Cela signifie que le PC virtuel "Read Only" démarre toujours comme son maître sans altération. Toutes les données spécifiques à l'utilisateur (profils d'utilisateur, données de production, etc.) doivent être redirigées vers votre solution de stockage réseau, où vers une partition persistance annexe.
2.1.4 L’environnement Applicatif
Workspace contient un store applicatif permettant de lancement un environnement Web conteneurisé.
On y trouve par exemple des applications Web tel qie Office 365, suite Gmail .
Cette fonctionnalité permet de donner accès à l’utilisateur à un unique environnement Web indépendant de l’environnement natif de type windows ou linux.
2.1.5 Le Cloud Wisper AWS
Le cloud privé Wisper sert à stocker les masters (OS et applications) ainsi que leurs versions antérieures. Aucune donnée client n’est stockée dans le cloud privé strictement confidentiel.
Le fonctionnement du Cloud est décrit plus précisément dans la partie infrastructure(cf7.5)
2.1.6 La console de gestion CeBox®
La console de gestion ceBox® est dédiée à l’administration de la solution. Elle permet la création et la gestion des PC virtuels et des environnements applicatifs. Elle dispose de multiples fonctionnalités permettant entre autres de prendre la main à distance sur les machines clientes, de surveiller les ressources systèmes, de déployer les environnements souhaités etc
Le fonctionnement de la Console est décrit plus précisément dans la partie operability (cf8)
2.1.7 Le WLS® (Wisper Linux Serveur)
Cet optimiseur de cache appelé WLS® sert de " cache proxy " pour la ceBox®. Cela signifie qu'au démarrage de la machine virtuelle, la ceBox® puise dans le cache du WLS® les blocs de données correspondant au maître, pour fournir son propre cache d'hyperviseur.
Dans le cas où les blocs de données ne sont pas disponibles dans le WLS®, les requêtes ceBox® sont redirigées vers le Cloud. En retour, les blocs de données sont synchronisés depuis le cloud, vers le WLS®, puis enfin vers la ceBox®.
Le WLS peut avoir d’autres fonctionnalités comme par exemple serveur PXE permettant de déployer le cebox OS de façon simplifié..
Préconisation Matériel d’un WLS pour un parc de 300 Machines LAN
- Système d’exploitation Client : Installation via ISO Wisper
- CPU : Sockets virtuels : 4 sockets virtuels et 2 noyaux par socket.
- Mémoire : 16 Go
- Taille du Disque : entre 500 Go minimum
2.1.8 Le POE (Passerelle Télétravailleur Entrée)
Cette passerelle permet aux environnement utilisateurs télétravailleur d’accéder aux outils métiers internes.
Le POE étant relié au réseau interne du client, les VM accéderont ainsi aux différents applicatifs accessibles.
L’installation du POE peut ce faire sur une simple machine ou une VM via un iso ou une clé d’installation.
Son dimensionnement dépend du volume de client en mode télétravailleur.
Dimensionnement POP/POE
VCPU | RAM | Interfaces | HD | |
---|---|---|---|---|
Config système minimale | 1 | 8 | 2*1GB | 50 Go SSD |
0 → 150 Connexion | 2 | 9 | 2*1GB | 50 Go SSD |
150 → 300 Connexion | 3 | 10 | 2*1GB | 50 Go SSD |
300 → 450 Connexion | 4 | 11 | 2*1GB | 50 Go SSD |
450 → 600 Connexion | 5 | 12 | 2*1GB | 50 Go SSD |
600 → 750 Connexion | 6 | 13 | 2*10GB | 50 Go SSD |
750 → 900 Connexion | 7 | 14 | 2*10GB | 50 Go SSD |
900 → 1050 Connexion | 8 | 15 | 2*10GB | 50 Go SSD |
1050 → 1200 Connexion | 9 | 16 | 2*10GB | 50 Go SSD |
2.2 RESEAUX ET TUNNELISATION
2.2.1 Flux Réseaux
Les flux réseaux des ceBox® ainsi que leurs machines virtuelles sont encapsulées et permettent donc :
- D’administrer les ceBox®
- D’avoir des flux réseaux des VM qui intègrent directement votre Lan
- Une complète gestion des flux de communication ceBox®. En effet, la connexion directe entre les différents composants ceBox® permet d'éviter les latences, et rend la solution adaptée aux protocoles exigeants (VOIP par exemple).
- De fonctionner en mode LAN aussi bien qu’en mode Télétravail.
3 INFRASTRUCTURE
3.1 WISPER CLOUD AWS, CLOUDFLARE ET OVH
3.1.1 Cloud AWS
Le cloud privé Wisper est utilisé pour stocker les masters (OS et applications) ainsi que leurs versions précédentes.
Les données clients ne sont en aucun cas stockées dans le nuage privé de Wisper
D’autres services sont disponibles pour assurer le bon fonctionnement de la solution ceBox® :
- Service d'enregistrement et d'authentification des composants
- Mécanisme de communication entre les composants
- Système de provisionnement des masters, journalisation.
- Wisper utilise EC2 AWS Ami Linux VM avec les patchs appliqués chaque jour.
- Nous utilisons Trusted Advisor et le service Inspector AWS pour la vérification de notre infrastructure AWS.
- Stockage des médias via AWS S3
- Les AWS Lambda sont utilisés comme micro-service
- Les flux entre ceBoxOs® et AWS sont encapsulés dans un tunnel chiffré géré par le kernel Linux
- Les VM Ec2 ont deux services réseau
3.1.2 Cloud OVH et Cloudlfare
Les masters mis à disposition des télétravailleurs s’appuient sur une architecture OVH dédiée et redondée avec une répartition mondiale grâce au CDN Cloudflare.
Le stockage des masters sur OVH peut être externalisé chez les Providers Cloud du marché : Microsoft Azure, Google Cloud, AWS...) ou stockés en Datacenters.
Cloudflare a bâti un vaste réseau global de datacenters qui place le contenu statique en cache au plus près des utilisateurs et distribue le contenu dynamique par l'intermédiaire des liaisons principales privées les plus rapides et les plus fiables du marché.
3.2 HAUTE DISPONIBILITE
3.2.1 AWS, OVH et Cloudfare
La technologie Wisper est répliquée sur 3 zones AWS distinctes.
Les Machines Virtuelles Wisper fonctionnent en haute disponibilité et équilibrage de charge sur les 3 zones suivantes : AWS Ireland, AWS Paris, AWS Frankfurt.
La souplesse et l’efficacité d’une gestion au sein d’AWS nous permet d’implanter nos services sur différents continents.
La gestion des masters sur OVH est répliquée, backupée, redondée sur un réseau « interne » de type Vrack.
3.2.2 Point Of Entry (POE )
Ces modules, intallées chez le clients sur une VM Linux de type Ubuntu 20.04 sont organisées afin d’orienter les flux des VM des télétravailleurs vers un point de sortie physique.
Cette infrastructure réseau de couche 2 pour les machines virtuelles sous ceBoxOS et couche 3 sous ipv6 pour ceBoxOS
● Permet aux machines virtuelles d’appartenir à un réseau Lan externe définie par son Point de Sortie (POE)
● Permet aux ceBox® d’appartenir à un réseau Ipv6 global Wisper
● Ce mode de gestion permet de gérer facilement le Failover.
- Faillover des POPS : tous les tunnels sont créé par défaut, si un pop utilisé tombe, le routing P1 recalcule un chemin (< 15s)
Faillover des POE : si un POE tombe, le routing P1 recalcule un chemin (< 15s),
- Monté en charge des POP/POE : on peut mettre autant de POP/POE que l’on veut
4 CONNECTIVITE
4.1 WISPER CONNECT
La solution Wisper intègre un système VPN “tout en un” sécurisé, stable et maîtrisé.
- Chaque ceBox® intègre un système de tunneling chiffré entre les ceBox®, et tous les autres éléments de la solution POE, WL-S et Cloud. Cela nous permet :
- Une Mise en place un processus d’échange de clés publiques (certificat) entre les différents éléments.
- L’ensemble des flux data sont intégrés dans ce tunnel, que ce soit en LAN ou en Télétravail.
- Un déploiement des ceBox® souple
4.2 FLUX VOIX
Les flux voix sont encapsulés dans le mécanise de tunnelisation ceBox® quelque que soit la technologie utilisée: SIP, WEBRTC,H.323.
La solution ceBox®, fournit aux postes de travails virtualisés, une couche réseau L2 (Liaison de données).
Toutes les politiques de QOS, filtrage sont de fait applicable et configurable via le produit (par ordre de priorité par exemple en %)
4.3 TRAFFIC RESEAU TELETRAVAILLEURS
De par notre expérience client nos études montrent une consommation de 60Mo / ceBox® / heures en traffic client
» Cas 300 ceBox®
- 6Go en Upload/heures soit 20Mo/cebox
- 11Go en download/heures soit 40 Mo/cebox
» Total: - 17Go / Heures soit 60Mo/heures/cebox en Traffic client
5 GESTION CENTRALISEE
Notre Solution permet de gérer l’ensemble des ceBox® depuis un point central : la console Web.
La console d’administration ceBox® est une console Web sécurisé. La console réceptionne ses information directement du cloud via une base de donnée
La console est disponible en Anglais, Allemand, Français et Espagnol.
Au sein de cette console, vous allez retrouver :
» La configuration des comptes clients et des sites. Caque client aura une vue sur sont périmètre uniquement.
» La liste des utilisateurs qui se sont connecté sur la ceBox WorkSpace.
» La liste des postes de travail ou la solution ceBox Workspace est installée.
» Les environnement de travail mises à disposi
tion :
-
Configration des Template de machines Virtuelles
-
Média ou Masters utilisé avec les version mis à jour a fil du temps
-
Navigateur Web et Application conteneurisé
-
» L’ensemble des modules adminstration et contrôle à distance.Point de sotie sur vers les sites choisi pas le client
Il est possible d’installer une ou plusieurs consoles, selon le choix du client.
6 SECURITE
6.1 SECURITE PHYSIQUE
» Le vol d’une ceBox® ne pourrait, en aucun cas, permettre à un utilisateur lambda d'utiliser le kernel ceBox® celui-ci étant crypté.
6.2 SINGLE SIGNE ON / MFA
Une identification SSO est requise pour permettre aux utilisateurs d’accéder à leur environnement.
Nous sommes compatibles avec les solution du marché respectant le langage SAM ou SAML2.
Cette authentification, couplé à du MFA permet de garantir l’accès des utilisateurs à leur environnement software, ainsi que les administrateurs à la console d’Administration de la solution.
6.3 IMAGES VIRTUELLES EN MODE READ ONLY
» Les machines virtuelles étant en lecteur seule, sans rétention de données clients, le vol de données est inopérant. L’intégrité de l’image est garantie par le système. Chaque matin, le système démarre avec une image identique au master maitre, défini par l’administrateur de la solution.
» En option, selon les besoins clients nous pouvons mettre à disposition 2 autres modes qui sont : partition persistante et/ou VM persistante sur une période donnée.
6.4 PAS D’INFRASTRUCTURE SERVEUR ET IMPACT VM CLIENT
» Notre solution utilisant les ressources de la machine et ne nécessitant pas d’infrastructure serveur pour faire fonctionner les VM des clients. L’impact, en cas de défaillance est extrêmement limité.
Il ne peut pas y avoir d’incident global sur l’utilisation des VM clients puisque chaque machine à un fonctionnement « autonome », même s’il est managé depuis un point central.
6.5 ANTIVIRUS
» Notre solution native Windows, ceBox®, est compatible avec tout environnement de sécurité basé sur Windows. La mise à jour de la base virale se fera à partir d'un seul point : le Master de référence de la machine virtuelle à déployer.
» Notre expérience client nous permet d'avoir déjà déployé une large gamme de produits de sécurité, vous trouverez ci-dessous une liste non exhaustive des produits actuellement utilisés par nos clients:
- Bitdefender
- Falcon
- Sophos Endpoint
- Trend Micro
- Kaspersky
- Sentinel One
- Symantec
- Windows Bitdefender…
6.6 TUNNEL VPN NATIF CEBOX®
CeBox® sur un réseau tunnelisé entre chacun de ses éléments constituants afin de sécuriser les flux de communication entre la VM et le SI du Client.
Les protocoles de sécurité sont :
» ChaCha20 pour le cryptage symétrique, authentification par ly1305, Conformément à la RFC7539 dans l’AEAD construction.
» Curve25519 pour ECDH
» BLAKE2s pour le hashing et le keyed hashing, conformément à la RFC7693.
» SipHash pour les hashtable keys
» HKDF pour les keys dérivation, conformément à la RFC5869
6.7 SECURE BY DESIGN
6.7.1 Cebox Workspace Operating System (on device, used by end users)
» Linux based distribution autogenerated and autotest nightly, called “latest” and using for poc & test
o
Last Stable Linux kernel
o
Last stable packages of base system from well known arch linux distribution
o
Last stable Wisper Components
»
A qualify stable version (test by wisper qualification team) is online and using by production when (3 by year without security patch)
o
security breach find and correct
o
major bug find and correct
o
major functionality come
» secure by design
o
Operating system
no account user on os, right is define by saml authentication
operating system is an inalterable encrypted image
user data is encrypted image
» Network flow
o
standard output flow
https ( tcp 443)
in kernel tunneling ( wireguard udp 443 )
ntp, dns from network lan
» input flow
o
no input service/flow access on operating system
o
input flow from console ( remote support, metric) are in tunnel manage Wisper Connect module
» Wisper Connect is a simple, secure, network solution to extend Corporate Lan into Wan, Internet user connection, it is based on well known standard
o
openvswitch
o
in kernel wireguard module
o
inkernel vxlan module
» Containerization
o
Virtual machine is by nature “containerized”
o
Application is containerized with Wisper containerized component
o
based on linux namespace
» High availability / Load balancing
o
disconnected mode is possible if saas infrastructure is down
o
wisper connect option to redundancy
6.7.2 Cebox Workspace Saas Platform ( light saas infrastructure )
» Container and virtual server as up to date and managed by Wisper security teams
»
o
Nginx / Node.js as api server
o
Database using saas services ( Aws documentdb, Mongo Saas, or self managed mongo )
o
Storage using saas services ( S3 storage compatible, self managed storage )
o
CDN ( cloudflare) is in front of our services to manage High availability and Load Balancing
Updated 5 months ago