l’ASA 5585 au service de la sécurité dans le Datacenter
Depuis plusieurs années Cisco se positionne très fortement dans les architectures Datacenter, il est donc tout à fait logique que notre stratégie sécurité apporte des innovations dans le cadre de la protection des Datacenters.
Introduit en Septembre 2010, la gamme ASA 5585 ouvre de nouvelles portes dans le cadre de la protection périmétrique des Datacenters.
Cette nouvelle gamme de FW multi-gigabits, s’appuie sur une architecture multiprocesseurs assisté par des asics spécialisés pour l’encryption et pour le « Deep packet inspection).
Depuis pas mal d’années Cisco c’est positionné dans le domaine de la protection des Datacenter, les architectures DC Cisco sont constitués de blocs fonctionnels avec des rôles précis pour chaque blocs, la sécurité d’accès se positionne au niveau du bloc service tel que présenté avec le schéma ci-dessous :
Exemple d'architecture DC Cisco
La mise en place d’une politique de sécurité dans le Datacenter doit apporter un certain nombre de réponses aux problématiques suivantes :
- Haute disponibilité
- Performances
- Virtualisation
- Contrôle d’accès aux applications
Nous allons voir dans la suite de cet article comment répondre à ces différents points
Haute Disponibilité :
Les architectures Datacenter Cisco sont construites afin de garantir une très haute disponibilité des services. La gamme Nexus permet la mise en place d’architectures redondante et performantes, la mise en place de FW doit pouvoir garantir la disponibilité des services.
La gamme ASA offre depuis de nombreuse année la possibilité d’utilisation de paire de FW en Failover. La fonction failover à été optimisé ces dernières années afin de pouvoir garantir un basculement tout en gardant les sessions utilisateurs actives. Pour cela une synchronisation permanente de l’état des sessions est réalisée entre les deux boitiers, et le pooling est maintenant réglable en ms. Ce qui permet d’obtenir des temps de basculant pouvant être < à la seconde.
ASA en failover
Les boitiers ASA peuvent être positionnée en mode actif/ Passif ou bien en mode actif/actif, ce qui permet d’optimiser la bande passante en la répartissant entre les deux boitiers ASA.
Le mode de connexion est également très important, l’ASA Supporte actuellement le double attachement avec une notion de backup interface. En cas de perte de lien sur l’interface primaire, le basculement est automatique sur l’interface de secours qui reprends l’ensemble des paramètres de la première interface, voir schéma ci-dessous :
Maintenant dans le cadre des architectures DC, on utilise très souvent de l’agrégation de liens, il existe dans les équipements de concentration Cisco des mécanismes qui permettent de virtualiser et consolider l’ensemble de services de 2 cœurs de réseaux. Par exemple sur le Catalyst 65xx on peut consolider deux châssis grâce la fonction VSS, les deux chassis sont ainsi vu comme une entité unique au niveau du réseau. Une fonction similaire existe pour la gamme Nexus 7xxx, VPC.
L’ASA supportera très prochainement avec l’arrivée du code 8.4 la fonction Etherchannel, et pourra donc s’insérer tel que précisé dans le schéma ci-dessous :
Architectures Etherchannel ASA
Toujours dans un souci constant d’innovation, nous sommes sur le point de proposer une nouvelle fonction de positionnement des services dans le Datacenter : SIA
SIA correspond à Sevice Insertion Architecture, il s’agit de pouvoir utiliser l’infrastructure de cœur du Datacenter (Catalyst 65xx ou nexus 7xxx) pour appeler dynamiquement et de manière transparente des services.
La fonction SIA s’appuiera sur 4 services distincts :
- Service Classifier : point d’entré des paquets, classifications des données en fonction des services à activer
- Service broker : point central qui vérifie les services disponibles, définie l’ordre de traitement des services, contrôle la disponibilité et la topologie des services
- Service Directory : Point central de définition des services
- Service Node : Equipement de service (FW, Load Balancer, NAM …) enregistré au niveau de l’infrastruction SIA via le Servise Broker.
Les 3 premiers services sont positionnés dans le switch de cœur du Datacenter, quand à l’ASA il supportera avec la release 8.4 la fonction service Node.
Répartition et interactions entre les services SIA
SIA devrait être disponible dans la première partie de l’année 2011, cette fonction révolutionnera complètement les architectures Datacenter. L’insertion d’équipements de services tel que les Firewalls ou les load balancer nécéssitait de revoir complètement l’architecture afin de les positionner en coupure des flux. Avec SIA, c’est l’architecture native du Datacenter qui fait appel aux services, l’ajout d’un service se réalise par un simple ajout dans la configuration sans modification de l’architecture globale
Appel des services via SIA
Performances :
Le second point sur lequel Cisco a énormément travaillé, ce sont les performances, nous avons vu précédemment que les nouvelles architectures permettaient l’agrégation de boitiers et de liens, il fallait également faire évoluer les hardwares de nos appliances ASA.
C’est le cas avec les toutes nouvelles appliances ASA 5585 qui apportent des performances multi-gigabits pour les services FW et IPS :
Ces performances seront encore améliorées avec l’arrivée du code 8.4 qui exploitera de façon optimum les architectures multiprocesseurs de ces nouveaux boitiers.
Virtualisation
La virtualisation est également au cœur de notre stratégie, cette stratégie se déroule en 3 phase.
1. Utilisation de contextes virtuels dans les FW ASA (jusqu’à 250 contextes avec la 8.4)
2. Intégration transparente des services virtualisés avec SIA
3. Mise en place d’une architecture FW software dans les hyperviseurs VMware (Virtual security gateway)
La phase 1 est dort et déjà implémentée par pas mal de nos clients à travers les contextes de l’ASA ou du module FWSM, SIA sera disponible dans la première partie de 2011 et la virtual security Gateway arrive fin 2010.
Les contextes de l’ASA correspondent à une virtualisation complète du FW, y compris de la partie administration, le fait d’utiliser de la virtualisation au niveau des FW permet un gain non négligeable au niveau du Datacenter, que ce soit dans la consommation électrique dans l’encombrement mais également dans la mutualisation des services.
Le tableau suivant montre un comparatif révélateur entre 10 FW ASA 5550 de 1 Gbps et un ASA 5585 à 10 Gbps :
La mise en place d’une architecture de virtualisation du Datacenter doit être assurée de bout en bout, en partant de l’architecture virtualisée des serveurs mais aussi via des mécanismes comme les VLAN, ou les VRF et bien sur la la virtualisation des services.
Architecture virtualisée de bout en bout
Contrôle d’accès aux applications :
Depuis plusieurs mois, Cisco propose à travers son architecture TrustSec, des solution d’authentification des utilisateurs, ainsi que la mise en place de filtrage associé via les group tag.
Dans les tous prochains mois Cisco va étendre sa solution aux FW en intégrant dans l’ASA la notion d’identity FW, cela permettra aux administrateurs de la sécurité de positionner des règles d’accès basées sur l’identité d’un utilisateur ou par son appartenance à un groupe.
Nous reviendrons dans un prochain article de manière beaucoup plus détaillées sur le sujet.
Conclusion
La prise en compte de l’architecture globale d’un Datacenter nous a permis d’implémenter des fonctions uniques sur le marché, que ce soit au niveau du mode d’insertion des services de sécurité ou bien même de notre intégration forte dans les environnements virtualisés.
L’ASA 5585 avec son architecture haute performance ouvre de nouvelles portes pour l’implémentation de services uniques, ces services seront mis à disposition tout au log de l’année 2011.
