Focus Expert | Et vous voudriez déployer un réseau SD-WAN non sécurisé ?
Les annonces de la semaine dernière font l’effet d’une bombe: la solution Cisco SD-WAN est maintenant enrichie d’un next-gen firewall, d’un IPS/IDS, d’un filtrage web ainsi que du proxy DNS/WEB intelligent dans le cloud: Cisco Umbrella. Et pour couronner le toutes ces fonctions sont comprises dans le package DNA Essentials*, c’est-à-dire le niveau fonctionnel d’entrée de gamme. A travers ces annonces et ce positionnement le message est clair: on ne plaisante pas avec la sécurité du WAN.
Comme c’est pour toutes les fonctions Cisco SD-WAN, tous ces nouveaux services sont configurables et manageables depuis l’interface vManage, véritable tour de contrôle du réseau. L’activation de ces fonctions de sécurité se fait en choisissant le besoin rencontré: compliance, accès guest, besoin d’accès au cloud direct, accès internet direct… Selon le besoin sélectionné les fonctions de sécurité appropriées seront activées et vous pourrez les configurer. Bien sûr vous restez libre de définir tout type de combinaison si vous avez des besoins spécifiques. N’hésitez pas à cliquer les différents screenshots ci-dessous pour pouvoir les afficher dans leur format original.
Regardons de plus près chacune des fonctions de sécurité disponibles:
- Le Next-Gen Zone-Based Firewall est un véritable firewall stateful qui fonctionne au niveau applicatif. La base d’application utilisée est celle du moteur DPI NBAR2 qui reconnait environ 1400 applications. C’est une évolution du firewall IOS qui existe depuis de nombreuses années et qui a été intégré à la solution Cisco SD-WAN. On comprend bien l’intérêt de cette intégration SD-WAN dans le code IOS-XE que j’expliquais dans cet article. La configuration de ce firewall se fait dans l’interface vManage.
- L’IPS/IDS repose sur SNORT, code le plus déployé au monde et la base de menace Cisco TALOS, la base la plus complète au monde puisqu’elle repose sur une analyse 360° de toutes les menaces (réseau, web, DNS, mail, malwares…) Plus de 250 ingénieurs travaillent au maintien de cette base complétées en temps réel par des millions d’agents de mesure dans le monde. SNORT est déployé dans un “service container”, comme nous pouvons le faire depuis déjà quelques années sur IOS-XE. L’interface vManage est simplifiée et vous permettra de choisir entre un mode détection (IDS) ou filtrage (IPS). Vous pourrez aussi choisir l’agressivité du filtrage.
- Le moteur de filtrage d’URL permet localement de filtrer les contenus non pertinents pour votre organisation. 82 catégories classiques sont définies et vous pourrez au choix afficher aux contrevenants un message d’erreur local ou bien les rediriger vers l’url de votre choix.
- Un simple click vous permettra d’interconnecter votre WAN à la solution de proxy intelligent Cisco Umbrella (Open DNS) qui permet une sécurité optimale en inspectant à la fois les requêtes DNS et Web. A quoi bon analyser un flux web si on sait par avance que le domaine est connu comme corrompu? Autant filtrer le flux immédiatement et gagner en efficacité (plus de 95% des menaces peuvent ainsi être filtrées sans même inspecter les paquets!). Seuls les flux à destination de domaines incertains seront inspectés en profondeur. C’est l’approche innovante de Cisco Umbrella qui allie fiabilité et scalabilité, les approches traditionnelles montrant toutes leur limites quand le nombre de flux augmentent. Comme toujours vous pourrez appliquez des policies différenciées par VRF (guests, réseau corporate, réseau PCI compliant…)
Si la configuration est intégrée à l’interface vManage, la supervision l’est tout autant. Le dashboard principal intègre des indicateurs globaux et vous permettra de faire un drill-down sur des compteurs spécifiques.
Vous avez également des dashboards plus spécifiques pour chaque équipement avec un menu Security Monitoring qui s’est largement étoffé. Un exemple ci-dessous avec les stats d’url filtering.
Le support de l’ensemble de ces fonctions est détaillé sur le schéma ci-dessous. Toutes sont réalisées localement sur l’équipement WAN à l’exception du proxy intelligent Cisco Umbrella réalisé dans le cloud. Vous pouvez bénéficier de ces services sur les plateformes IOS-XE. Les appliances vEdges intègrent un firewall stateful L3/L4 depuis déjà quelques mois et intègrent maintenant un connecteur vers le proxy Umbrella. Pour les fonctions IPS/IDS et analyse d’URL, 8GB de mémoire sont nécessaires. Comme toujours référez-vous au guide de configuration/release notes pour plus de détails.
Notre stratégie DNA (Digital Network Infrastructure) continue de casser les silos avec cette intégration native de fonctions de sécurité avancées directement dans le WAN. Cela s’ajoute évidemment aux nombreux avantages existants de la solution dont les principaux ci-dessous:
- Améliorer les performances réseau en utilisant les meilleurs liens pour les différentes applications (locales ou cloud). Nos dernières innovations optimisent d’ailleurs de 40% les services Office365!
- Réduire les coûts globaux sur le WAN en vous permettant d’utilisant des liaisons moins coûteuses localement
- Vous permettre de reprendre le contrôle sur votre infrastructure via une interface de management simple
Si vous souhaitez en savoir plus inscrivez-vous à notre évènement La Matinale SD-WAN qui aura lieu le 4 décembre prochain et où j’espère vous voir nombreux pour échanger sur notre solution innovante.
*L’utilisation du service Umbrella requiert une souscription pour activer le filtrage. L’offre Essentials sans cette souscription au service Umbrella permet d’avoir de la visibilité sur les flux DNS/WEB mais sans filtrage.
Tags:
