Nous avons donc plus d’utilisateurs, travaillant depuis de from multiples lieux, utilisant des terminaux variés, accédant diverses applications manipulant des données sensibles. L’architecture de sécurité Cisco permet de ramener les fonctions attendues en sécurité, à savoir le contrôle d’accès, la politique d’usage acceptable, la protection contre les menaces, et la prévention de la fuite d’information, dans ce contexte.
Cela passe par une architecture de sécurité exploitant des outils permettant d’implémenter la politique de sécurité, en combinant des services de sécurité intégrés dans l’infrastructure (dans les routeurs, les commutateurs), des équipements de sécurité dédiés (firewalls, proxys…), et des solutions hébergées « in the cloud ». Détaillons rapidement les briques de cette architecture :
1 – Tout d’abord, revenons sur cet environnement nomade. Je suis sur que vous avez un PC Portable équipé d’un client VPN. Lorsque vous souhaitez vous connecter au réseau d’entreprise, vous démarrez le client VPN, rentrez votre mot de passe, choisissez l’endroit géographique où vous voulez vous connecter, et ensuite seulement vous êtes connecté et votre flux de données est protégé. Il ne l’est pas le reste du temps et l’investissement fait par l’entreprise dans ses équipements de sécurité n’est pas utilisé… Ce n’est pas satisfaisant en terme de sécurité et d’expérience utilisateur. Sans parler que souvent ce client n’existe que sur PC. La vision de Cisco est plutôt de lier automatiquement, de facon transparente à l’utilisateur, le flux vers une zone d’analyse et de protection, et ce pour tous les terminaux. On a donc un client de sécurité léger sur le poste (nommé Anyconnect), supporté sur tous types de machines et potentiellement transparent à l’utilisateur, qui va, en fonction de la politique de sécurité, rediriger le flux dans un tunnel chiffré vers des outils d’analyse qui pourront soit être chez le client en périphérie d’internet (ASA, ISR, WSA), soit « in the cloud » sous forme de service (ScanSafe). L’entreprise pourra implémenter sa politique de sécurité, et son flux sera protégé, any where, any device. Cette solution “Secure Mobile Security” combine ASA, WSA, et anyconnect. Elle fera l’objet d’un prochain post.
2 – Ces équipements de filtrage justement, parlons en. Cisco a une large offre d’outils de sécurité qui incluent firewall, sondes de prévention d’intrusion, sécurité web et email. Le tout avec une flexibilité de déploiement expceptionnelle, permettant de positionner ces fonctions partout dans le réseau, sous forme d’équipement dédié (firewall nouvelle génération ASA, outil de filtrage web ou mail IronPort), de fonction de intégrée dans les équipements d’infrastructure (firewall, prévention d’intrusion, VPN intégré aux routeurs ISR, fonctions de sécurité des commutateurs), ou sous forme hébergée.
3 – Troisième pilier de notre offre, la sécurité des Datacenter. Cela passe par la virtualisation des équipements de sécurité (firewall, IPS), capable de supporter des débits élevés, mais également par la sécurité de la virtualisation, en étant capable de ramener les fonctions de sécurité traditionnellement positionnées sur des ports physiques de commutateur au niveau de la machine virtuelle (Nexus 1000). Mais il s’agit également de sécuriser l’accès au datacenter (authentification) et aux applications. Par exemple, pour les applications externalisés, en mode SaaS, nous allons être capable de contrôler de manière fine l’usage qui est fait des applications en gérant l’authentification des utilisateurs. Par exemple, en fonction de son profil, un employé invité dans une session webex sera autorisé, mais pourra être bloqué lorsqu’il essaie de partager son bureau pour ne pas exposer d’information confidentielle lors de la session. Cela redonne la main aux équipes sécurité sur les environnements SaaS et collaboration.
4 – Enfin, toutes les technologies de protection utilisent l’information provenant de Cisco SIO (Security Intelligence Operations), notre cellule de veille sécurité en charge des alertes et mises à jour, regroupant 500 analystes répartis sur plusieurs sites. Cette équipe exploite une source d’information unique, SensorBase, la plus large base de monitoring mondial recevant en temps réel des informations sur les menaces potentielles sur n’importe quel vecteur (attaque email, web, vulnérabilités) permettant de donner un score de réputation à chaque adresse IP publique de manière proactive, information qui sera exploitée par nos solutions.
Voilà comment ramener la sécurité dans cet environnement Borderless. Nous reviendrons sur le problème le plus crucial, à savoir la sécurisation de la mobilité, très bientôt.