Un tout nouveau module d'audit et de gestion de conformité dans Cisco Prime LMS 4.2
3 min read
Je vous ai décrit dans ce billet les nouveautés de Cisco Prime LMS 4.2 en vous disant qu’il en manquait une … car je n’avais pas encore tous les détails, mais surtout parce qu’elle mérite un billet entier ! De quoi s’agit-il ?
Début 2011, Cisco a fait l’acquisition de Pari Networks, une petite start-up spécialisée dans la gestion de la conformité des configurations. La conformité des configurations des équipements réseaux est de plus en plus surveillée et règlementée par un nombre croissant de normes ou de standards qui répondent aux doux noms de CIS, DHS, DISA, HIPAA, NSA, PCI, SANS, SOX, ISO17799 ou CiscoSAFE. Le principe est que des administrations d’état ou organismes de normalisation édictent des normes de conformité et chaque société qui souhaite interagir avec telle administration doit prouver la conformité de son infrastructure informatique avec une ou plusieurs de ces normes. Le travail de vérification de conformité nécessite d’analyser en détails les configurations des équipements réseaux pour savoir si telle ou telle commande est présente ou absente, avec tel paramètre qui doit avoir telle valeur, etc … .
Mais LMS avait déjà une telle fonctionnalité, non ?
Oui, il y avait dans LMS une fonction appelée Baseline template qui permet de vérifier si une commande avec certains paramètres est présente ou absente dans la configuration d’un équipement Cisco. Mais cette fonction manquait de puissance et de flexibilité pour permettre la vérification automatique de toutes les normes mentionnées ci-dessus, avec leurs variantes et leur évolutions…
Le logiciel hérité de Pari Networks a été intégré dans Prime LMS sous l’intitulé Compliance and Audit Manager (CAAM). Ce module vérifie la conformité des configurations avec des règles (appelées “policies”). En standard, CAAM possède 293 règles qui sont organisées en “Groups” et qui couvrent tous les aspects de la configuration: paramètres IP, commutation, routage, sécurité et PSIRT, services réseaux, AAA, etc.. . Chaque Policy est personnalisable comme illustré ci-dessous. Plusieurs policies sont ensuites assemblées dans un “Profile” qui est appliqué à un ensemble d’équipements.
Les profils de conformité sont exécutés à la demande ou de manière planifiée. Les résultats sont présentés avec la liste des violations de chaque règle pour chaque équipement, et, dans certains cas, une proposition de correctif, comme illustré ci-dessous.
Pour une vision plus globale de la conformité, des rapports normalisés sont disponibles, comme illustré ci-dessous.
Le module CAAM permet donc de vérifier facilement et automatiquement la conformité à tous les standards mentionnés au début de ce billet, mais aussi d’autres types de conformités telle que:
- dans le domaine de la sécurité, des rapports PSIRT qui listent, pour chaque équipement et version d’IOS de l’infrastructure, les incidents de sécurité publiés par Cisco.
- dans le domaine du cycle de vie, l’état d’obsolescence des équipements (End-of-Sales ou End-of-Life)
Ces rapports étaient déjà disponibles dans LMS, mais le module CAAM offre une présentation plus condensée et plus lisible, et surtout, c’est le module CAAM qui subsistera à terme dans l’offre Prime Infrastructure. Donc les nouveaux utilisateurs de ces rapports de cycle de vie et de sécurité on intérêt à démarrer avec le module CAAM plutôt que les anciens rapports.
Pour la liste complète des profils et rapports disponibles, c’est ici.
Un autre nouveauté très intéressante du module CAAM est la possibilité d’importer directement depuis le site Cisco Service Contract Center la liste des contrats de maintenance, et de produire ensuite un rapport affichant pour chaque équipement le contrat en cours et sa date de fin.
L’utilisation du module CAAM est incluse dans la licence Prime Infrastructure, sauf pour tous les profils et rapports normalisés (CIS , DHS, DISA, HIPPA, NSA, PCI, SANS, SOX, ISO17799, CiscoSAFE) qui nécessitent l’acquisition d’une licence complémentaire (la référence produit est L-PI-CM-*). Cette licence est disponible en fonction du nombre d’équipements supervisés. Pour rappel, tous les détails du contenu et du licensing de Prime Infrastructure sont ici.
Cette nouvelle fonctionnalité de Compliance and Audit Manager (CAAM) connaitra des évolutions, en particulier pour la personnalisation des règles et des correctifs associés, qui n’est pas encore possible aujourd’hui.
5 commentaires
Pour voir ce module en action, vous pouvez visionner l’enregistrement du webinar intitulé “Regulatory and best practices made easy” (en anglais) disponible à partir de cette page:
https://cisco.webex.com/cisco/onstage/g.php?p=1996&t=m
La démo démarre après 26 minutes