Publié initialement le 20 janvier 2020
Chez D2L, nous prenons la sécurité et la confidentialité très au sérieux. Notre approche accorde la priorité à la sécurité et à la confidentialité des données, à la disponibilité et à l’intégrité de nos clients. Notre processus fonctionne, démontré par une expérience de la fourniture d’une sécurité fiable à tous nos clients et est continuellement amélioré. Au cours des prochains mois, D2L empêchera de manière proactive le trafic potentiellement malveillant d’atteindre l’environnement Brightspace Cloud, grâce à une technologie cloud appelée pare-feu d’application Web (WAF).
Les règles que nous mettons en place vérifient si le trafic provient d’une source (par exemple, un fournisseur de services Internet (FAI) ou un réseau privé virtuel (VPN) qui a une mauvaise réputation, selon une liste reconnue par l’industrie (lien vers la liste ci-dessous) et que le trafic provient d’un pays ou d’une région éloignée autre que l’endroit où le site Brightspace est hébergé. Tout le trafic entrant dans l’environnement Brightspace Cloud sera vérifié, et s’il correspond aux « règles », le trafic ne sera pas autorisé.
Quand cela se produit-il ?
Cela sera activé dans la région Brightspace Cloud Singapore en février 2020.
D’autres régions s’y tiendront progressivement au cours des prochains mois :
- Europe, Asie-Pacifique (Australie et Nouvelle-Zélande) : mars 2020 - TERMINÉ
- Canada, États-Unis : 6 avril 2020 - TERMINÉ
L’information sur le déploiement régional sera également incluse dans le mensuel Notes de version, afin que vous puissiez également garder un œil sur ceux-ci pour plus de détails.
Quel est l'impact?
Ces nouvelles règles seront mises en œuvre dans la région de Singapour en février. D2L a surveillé les modèles d’utilisation et a validé que cela aura un impact extrêmement faible sur les utilisateurs actuels. Environ 0,01% du trafic à Singapour sera bloqué lorsque ces nouvelles règles seront mises en œuvre. Moins de 0,002% du trafic vers le Brightspace Cloud sera bloqué lors de sa mise en œuvre en Europe et en Australie en mars 2020.
En Amérique du Nord, nous nous attendons également à un impact très faible. Les sites Brightspace hébergés aux États-Unis verront environ 0,0012% du trafic total bloqué, et les sites hébergés au Canada verront 0,00056% du trafic bloqué.
Qu’est-ce que cela signifie pour moi ?
Il est possible que les utilisateurs qui tentent d’accéder à Brightspace soient bloqués par les nouvelles règles s’ils accèdent à Brightspace via une connexion (par exemple, un serveur proxy) qui a une mauvaise réputation et cette connexion provient d’un pays / région en dehors de l’endroit où le site Brightspace est hébergé. Si cela se produit, l’utilisateur recevra une erreur « 403 Forbidden ».
Figure : Brightspace WAF 403 Erreur interdite.
Dans ce cas, l’utilisateur peut demander de l’aide, soit auprès des canaux d’assistance de votre établissement, soit auprès du support de L’utilisateur final de D2L. Si l’utilisateur contacte les administrateurs ou le canal d’assistance de votre établissement, voici quelques étapes que vous pouvez suivre pour aider à résoudre le problème :
- Vérifiez si l’utilisateur peut accéder à un autre site non-Brightspace (par exemple, www.d2l.com, ou www.google.com). S’ils ne le peuvent pas, cela indique qu’ils rencontrent un problème général de connectivité Internet, plutôt qu’un problème avec l’environnement Brightspace, en particulier.
- Demandez-leur s’ils accèdent à Internet via un VPN ou un proxy et, le cas échéant, lequel ils utilisent.
- L’utilisation d’un proxy ou d’un VPN ne garantit pas qu’un utilisateur sera bloqué par les règles, mais cela peut certainement être un facteur contributif.
- Demandez à l’utilisateur de trouver son adresse IP, en visitant ou en tapant « whatsmyip » dans Google.
- Vous pouvez ensuite visiter un site qui répertorie des adresses avec une mauvaise réputation (telles que Centre de réputation Talos), et voyez si l’adresse IP est incluse dans des listes de blocage ou a une mauvaise réputation.
Si les règles bloquent l’utilisateur, il devra choisir un autre moyen d’accéder à Brightspace, tel qu’une connexion de FAI domestique ou un réseau de campus, ou demander une exception de D2L.
Hpuis-je me préparer à ce changement ?
Déterminez si votre institution, ou certains utilisateurs de votre établissement, utilise un VPN ou un proxy pour accéder à Brightspace, vous pouvez prendre des mesures similaires pour déterminer si cela sera bloqué par les règles :
- 1.Tout d’abord, évaluez si un VPN ou un proxy est nécessaire pour accéder à l’environnement Brightspace (par opposition, par exemple, à une connexion de FAI domestique ou à un réseau de campus). Sinon, les utilisateurs doivent être invités à utiliser une connexion plus typique, car cela ne sera certainement pas bloqué par les règles WAF.
- Si un VPN ou un proxy est requis, demandez à l’utilisateur de connaître l’adresse IP, en visitant ou en tapant « whatsmyip » dans Google.
- Vous pouvez ensuite visiter un site qui répertorie des adresses avec une mauvaise réputation (telles que Centre de réputation Talos), et voyez si l’adresse IP est incluse dans des listes de blocage, ou a une mauvaise réputation.
Communiquez aux utilisateurs à l’avance que les FAI et les VPN qui a) ont une mauvaise réputation et b) envoient leur trafic en dehors de la région du client seront bloqués par Brightspace. S’ils utilisent un FAI ou un VPN personnalisé pour accéder à Brightspace, ils doivent vérifier la réputation de l’ISP / VPN (en utilisant les étapes ci-dessus) et examiner une autre façon d’accéder à Brightspace, si nécessaire.
Cet je demande une exception ?
Si vous craignez que les règles bloquent le trafic légitime pour vos utilisateurs, veuillez envoyer à D2L pour enquête. D2L peut mettre à jour la configuration du WAF pour faire une exception pour cette situation si justifié. Pour demander une exception, veuillez ouvrir un dossier auprès du service d’assistance Brightspace avec les informations suivantes sur ce qui est bloqué
- Impact : Campus, utilisateur individuel
- Emplacement source : Campus, FSI à domicile, café, VPN, etc.
- IP source : ADRESSE IP source des demandes bloquées
D2L mettra à jour la règle et vous informera dans un délai basé sur la priorité du cas.
Hpuis-je en savoir plus ?
Veuillez contacter votre TAM (Technical Account Manager) ou CSM (Client Success Manager), qui peut partager des informations plus détaillées sur les nouvelles règles.
https://whatsmyip.org/
https://whatsmyip.org/
https://whatsmyip.org)
