Anyconnect 3.0, fondation du nouveau périmètre
L’arrivée de la connectivité internet facilement disponible et des clients VPN IPSec a rendu possible le travail à distance. A cette époque, les terminaux mobiles étaient principalement constitués de PC portables sous windows, appartenant à l’entreprise, et d’une flotte de téléphones portables, voire de quelques smartphones pour des populations spécifiques. Mais aujourd’hui, le monde a changé : En partie car de plus en plus diverses sont les populations qui ont besoin d’accéder au réseau d’une entreprise, en partie car la connectivité Internet est désormais disponible partout ou presque, mais le changement le plus radical est dans la consumérisation des terminaux. Désormais, les terminaux dévolus aux grand public font une entrée fracassante dans le monde de l’entreprise : Mac, iPhone, iPad, netbooks, android, quel IT manager n’a jamais eu à transgresser la politique sécurité qu’il a lui même rédigé pour permettre l’accès au réseau à ces équipements ?
Il nous faut donc revoir la façon d’aborder la mobilité, au sein et à l’extérieur de l’entreprise, à l’aune de cette nouvelle façon de travailler. Avec un maitre mot : la simplicité. Simplicité pour l’IT d’abord, avec une sécurité qui suit l’utilisateur, mais également simplicité pour l’utilisateur final (combien de clics et de mots de passe avant d’être connecté ?).
Chez Cisco, l’architecture permettant de redéfinir la sécurisation de la mobilité s’appelle Anyconnect secure mobility. Au travers de la combinaison du VPN, du filtrage de contenu, de la sécurité en mode cloud, Cisco propose une architecture garantissant à la fois simplicité et sécurité. Au cœur de cette stratégie se trouve un client : Anyconnect.
Anyconnect est d’abord la toute dernière évolution du client VPN Cisco se basant sur le mode de transport SSL : Anyconnect offre une connectivité potentiellement transparente et automatique (détection que l’utilisateur n’est pas au bureau et démarrage automatique du VPN), un contrôle de conformité au moment de la connexion, la connexion au meilleur point de filtrage (s’il y a plusieurs ASA répartis géographiquement, Anyconnect sélectionne automatiquement le meilleur point de connexion), le rétablissement automatique et transparent en cas de roaming (wifi vers filaire par exemple) . L’expérience utilisateur est simple : Il est tout le temps connecté et il a accès à ses informations « it just works ». Anyconnect est terminé sur l’ASA qui peut travailler conjointement avec le proxy de sécurité web WSA – via un protocole de dialogue spécifique – afin d’appliquer des règles de filtrage spécifiques aux utilisateurs lorsqu’ils sont nomades, mais également offrir aux utilisateurs des fonctions de single sign on sur leurs applications en mode SaaS (Webex, Google, SalesForce…).
L’ambition d’anyconnect est donc d’être simple, léger, et supporté sur un large panel de systèmes : On peut citer Windows, mac, linux, Apple iOS 4, Windows Mobile (et d’autres à venir). De plus, la configuration est centralisée sur l’ASA, et c’est également par ce biais que les mises à jour peuvent être facilement déployées.
AnyConnect iPhone
Anyconnect 3.0, qui sera disponible début 2011, offre un look and feel simplifié et le support d’IPSec et de SSL comme mode de transport, afin de pouvoir assurer une connectivité dans tous les cas de figure.
AnyConnect 3.0
Mais au delà des « simples » fonctions VPN évoquées ci dessus, Anyconnect y ajoute d’autres services :
– La redirection des flux web vers ScanSafe pour une sécurité web en mode SaaS
Anyconnect 3.0 permet la redirection des flux web vers le datacenter Cisco/Scansafe le plus proche afin d’offrir un filtrage web en mode SaaS pour les utilisateurs nomades. Le trafic à destination des serveurs de l’entreprise, quant à lui, passe toujours dans un tunnel VPN.
Redirection des flux HTTP/HTTPS vers le cloud Cisco/ScanSafe
– L’authentification sur le LAN et en Wifi
Anyconnect 3.0 intègre un client 802.1x. Ainsi, lorsqu’un utilisateur est au bureau, et qu’il se connecte en Wifi ou en filaire, AnyConnect se charge de l’authentification pour autoriser la connexion. Dès que l’utilisateur quitte l’entreprise, c’est la partie VPN intégrée qui automatique prendra le relai afin de maintenir connectivité et sécurité. Il est intéressant de noter que, comparé aux clients 802.1x souvent nativement intégrés dans les OS, Anyconnect supporte MacSec, permettant de chiffrer les flux du PC jusqu’au port du switch (selon modèle).
Exemple de profils wifi dans AnyConnect 3.0
AnyConnect offre donc un client léger, unique, automatiquement maintenu à jour garantissant que quelque soit le cas de figure, le terminal sera relié à un point de filtrage sur lequel la politique de sécurité de l’entreprise sera implémentée, que ce soit sous forme d’appliance ou en mode SaaS. Il est donc désormais possible d’accueillir tous les nouveaux terminaux avec le niveau de sécurité adéquat associé.
Retrouvez plus de détails (OS supportés et fonctions associées, etc) sur http://www.cisco.com/go/anyconnect
Tags:
