Le ZTP (Zero-Touch Provisioning) est au coeur de nombreuses réflexions. Que ce soit sur le LAN ou le WAN l’objectif est le même: déballer l’équipement du carton, le brancher et lui permettre de récupérer image et configuration sans aucune action manuelle… Si l’on cherche à se simplifier la vie, on ne veut pas que cela soit au détriment de la sécurité! Et c’est là que se pose la question: allez-vous ouvrir la porte à n’importe qui?
Les équipements vont se présenter à leur serveur de provisioning pour récupérer leur configuration et leur logiciel. Il faut donc que l’administrateur précise pour chaque équipement attendu les bons paramètres de configuration. La seule information permettant à l’administrateur de reconnaître l’équipement installé est le numéro de série du device (indiqué sur le carton livré et sur le châssis). L’administrateur doit donc pour chaque numéro de série spécifier les configurations et images à appliquer sur la solution qui fera le ZTP (DNA Center et/ou vManage par exemple).
Sur le papier cela semble assez simple mais comment être certain que l’équipement qui prétend avoir le numéro de série “ABCDE” est bien celui en question? Seriez-vous prêts à accueillir un tel équipement sur votre réseau et lui pousser une configuration complète sans en être complètement persuadé? Seriez-vous prêt à risquer de vous faire voler tous vos passwords, d’étendre votre WAN via une connexion IPsec vers un device que vous ne connaissez pas?
C’est là qu’intervient le SUDI – Secure Unique Device Identifier. Au moment de sa fabrication, un certificat unique est installé sur chaque équipement, permettant de signer chaque numéro de série. Ce certificat n’est pas installé dans la flash de l’équipement car n’importe qui pourrait alors le modifier. Aussi il est installé sur un module appelé TAm (Trust Anchor module), qui est inaltérable. Au moment du process ZTP, ce n’est pas juste le numéro de série qui est présenté mais aussi le certificat SUDI. Ce dernier est vérifié sur le serveur de provisioning qui dispose évidemment de la root-chain de la PKI Cisco utilisée. On est donc certain à la lecture du certificat que le device est bien celui qui dispose du numéro de série “ABCDE” attendu. A l’heure où de nombreux services de management sont faits dans le cloud, ou à travers des réseaux publics, cette garantie de l’authenticité de l’équipement réseau est primordiale.
Le SUDI s’intègre dans une démarche plus globale appelée Trustworthy Systems, permettant de garantir la sécurité des équipements d’infrastructure eux-mêmes. Cela intègre la vérification de l’authenticité des équipements et logiciels, le contrôle des chaînes de production et bien d’autres éléments résumés sur ce document et détaillés dans cette datasheet.
Alors la prochaine fois que vous regarderez un équipement réseau, réfléchissez 2 minutes et demandez-vous si vous avez bien la certitude que l’équipement est bien celui que vous pensez… Est-ce une contrefaçon? Le logiciel qui tourne dessus est-il bien celui que vous avez installé? Un chipset malveillant a-t-il pu être installé au moment de la production? Pour toutes ces questions Trustworthy Systems vous apporte des réponses claires.
Pour finir je vous recommande cet article consacré à Trustworthy pour le SD-WAN.