Secure Data Center : Déploiement simplifié et automatisé d’un firewall pour une application avec ACI
Nous le savons tous, le déploiement d’une application nécessite la mise en place, non seulement d’un certain nombre de ressources informatiques y compris la sécurité, mais aussi l’intervention et la synchronisation de différentes équipes (sécurité, réseau, système, stockage,…).
Par exemple pour le firewall, il est nécessaire de mettre en place plusieurs briques, pas à pas : installer et connecter le firewall, mettre les interfaces dans les bons vlans, gérer les règles de sécurité à base de ports et d’ACL,…).
Comme mentionné dans le billet du 2 décembre 2013, Application Centric Infrastructure (ACI) va permettre, lorsque que le contrôleur APIC sera disponible (mi 2014), de déployer simplement et de façon automatisée une infrastructure comprenant un ou plusieurs firewalls, physiques ou virtuels, afin de répondre aux besoins des applications de l’entreprise.
Pour le firewall, il ne sera plus nécessaire d’effectuer le travail long et fastidieux, de configuration de l’ensemble des access-lists qu’on ne retire généralement jamais, même lorsqu’elles ne sont plus nécessaires.
Avec le contrôleur APIC, ma première action est de définir une politique de ce que j’autorise et de ce que je n’autorise pas (voir schéma ci-dessous):
Puis dans un deuxième temps, j’utilise un Application Network Profile (template défini au préalable par les spécialistes Réseau/Sécurité) qui fait appel à cette politique.
Que ce soit au format physique ou virtuel, l’APIC va contextualiser et gérer la configuration du réseau et du firewall afin de les mettre à disposition des besoins de l’application en terme de sécurité.
Cette simplification et automatisation de mise en production du firewall éliminera, entre autre, les brèches de sécurité dues à des installations en environnement complexe.
Le contrôleur APIC va donc permettre de tirer profit de toutes nos fonctions de sécurité mais aussi permettra d’ interfacer d’autres firewalls du marché, via des APIs, afin de s’adapter à l’existant.
Tags:
