Le Data Center (ou Salle Informatique) est un endroit extrêmement stratégique pour les entreprises.
Comment protéger efficacement les données critiques de l’entreprise ?
Comment contrôler efficacement le trafic Nord-Sud mais aussi Est-Ouest (entre les serveurs) ?
Comment apporter de la haute disponibilité, du haut débit et de la faible latence ?
Dès la phase conception de l’architecture physique et logique du Data Center (serveurs, réseau, stockage,…), la sécurité doit être prise en compte.
En effet, il est par exemple possible de rajouter dans l’urgence à la dernière minute, 2 firewalls en contrôle périmétrique, mais est ce bien la façon d’ apporter une cohérence globale et une sécurisation optimum sur une architecture dite stratégique ?
Quelles sont les besoins aujourd’hui en terme de sécurité ?
Trois axes majeurs ressortent systématiquement:
1. Besoin de segmentation afin d’isoler et sécuriser les LANs des Data Centers
Exemples:
- l’environnement serveurs de Pré-Production doit être séparé de celui de la Production
- un hébergeur doit avoir la capacité sur une même infrastructure physique de créer des domaines virtuels totalement hermétiques entre 2 clients.
–> Solutions Cisco (non exhaustif) : vlan, VRF, VRF Lite, VDC, contextes sur ASA, security zoning, virtualisation, vnics, port profiles,Trustec,… – disponibilité des fonctions à valider par équipement : Nexus, Catalyst, routeurs Cisco, UCS, ASA, IPS next Gen,…
2. Détecter et stopper les menaces
Les menaces de type APT (Advanced Persistent Threat) sont des menaces ciblées. Elles sont uniques, aucune signature n’existe(0 days attacks)
Comment les détecter ?
Comment les bloquer et les supprimer ?
–> Solutions Cisco (non exhaustif): IPS next Gen (suite au rachat de Sourcefire), AMP (Advanced Malware Protection) dans ESA et WSA, Cisco Cyber Threat Defense (via la collecte de flux Netflow),…
3. Visibilité
Afin de pouvoir détecter et stopper efficacement ce qui se passe au sein du Data Center il est primordial de connaître l’ensemble des équipements physiques et virtuels connectés, d’en avoir une cartographie précise.
Comment apporter du contexte, de la simplicité et précision sur “qui/quoi se connecte sur quoi” ? L’ offre NAC Cisco ISE (Identity Service Engine) se positionne de façon unique sur le marché et permet d’apporter de la tracabilité et du contexte.
Je vous propose de développer lors de prochains posts chacun des points évoqués ci-dessus afin de zoomer sur les spécificités, valeurs et différenciants de chacune de nos solutions.