Cloud et virtualisation : accroitre la sécurité avec l’ASA 1000v
La virtualisation a déplacé le problème de la sécurité. On se rend rapidement compte qu’on doit être capable, au sein d’une infrastructure hébergeant des machines virtuelles, de créer des zones de sécurité et de maintenir l’intégrité de ces zones .
On pouvait d’ores et déjà avec le Nexus 1000v assurer le suivi des attributs de sécurité d’une machine VM lors d’un
vMotion. Le Virtual Security Gateway VSG, qui s’appuie sur le Nexus1000v, facilite la sécurisation des trafics inter-VMS. Il permet de créer des zones de sécurité, dont certains critères peuvent être liés au contexte des machines virtuelles ainsi qu’aux configurations réseaux.
Mais cela ne suffit pas pour couvrir tous les aspects de la sécurité, c’est la raison pour laquelle le fameux firewall ASA a été décliné sous la forme d’une instance virtuelle de firewall l’ASA 1000v (voir la datasheet)qui repose lui aussi sur le Nexus 1000v .
Pour vous donner une idée de ce qu’apporte l’ASA1000v en termes de sécurité voici quelques points à retenir :
- l’ASA1000v est une machine virtuelle et peut donc être clonée ou participer au processus vMOTION
- l’ ASA1000v s’appuie sur VPATH qui améliore grandement les performances. L’ASA1000v détermine si le trafic est autorisé puis fournit la décision à VPATH ( tourne dans l’Hyperviseur) qui laisse ou non le trafic passer.
- L’ASA1000v dispose des fonctions de haute disponibilité comme n’importe quel ASA physique. Il suffit de cloner une VM ASA1000v, et de les faire tourner dans deux hyperviseurs différents .
- L’ASA1000v est une VM en parallèle des autres. Elle permet de sécuriser différentes VM, tournant sur différents hyperviseurs pour une sécurité maximale.
- Le clonage de l’ASA1000v pour répondre à des problèmes de performances n’impacte pas le coût de la solution. Comme pour le VSG, le système de licensing est fonction du nombre de sockets CPU physique utilisé et non du nombre d’instances ASA1000v créé.
- L’ASA1000v partage strictement le même code unifié ASA que le reste de la famille (Appliance ASA du 5505 au 5585, en passant par les cartes ASA-SM intégrés dans les 6500). Donc mêmes commandes CLI (Command Line Interface).
- En plus du CLI, il peut être managé par le GUI ADSM comme tous les ASA. Les politiques de sécurité peuvent aussi être décrites dans l’outil VNMC (Virtual Networking Management control).
- Il permet de faire du DHCP et NAT pour faciliter la communication entre tenants au sein d’un cloud public ou privé.
- Il autorise une combinaison de bout-en-bout pour sécuriser des services clouds accessibles depuis l’entreprise par des canaux sécurisé VPN montés entre les pare-feu ASA (physiques et virtuels)
Je vous conseille aussi cette video très démonstrative “ASA 1000V Cloud Firewall and the Virtual Security” de 9 minutes en anglais qui aide à mieux comprendre les positionnements respectifs de VSG et de l’ASA 1000v.
L’ASA 1000v devrait être en disponibilité générale cet été.
Tags:
1 commentaires