Cisco complète son offre de sécurité
Cisco vient de présenter ISE, sa solution centralisée de gestion contextualisée des identités et des règles de sécurité. Une solution qui s’intègre à la stratégie «Bordeless Network» de l’équipementier présentée l’an passée et constitue une brique essentielle de son architecture SecurX présentée en février dernier à l’occasion de RSA Conference.
En avril dernier, Cisco présentait son approche de la sécurité pensée par le réseau dans le cadre d’une stratégie dite «borderless network» où le réseau n’a plus de frontière et sur lequel il faut garantir en continu qualité de service et sécurité. Une démarche qui a pris une dimension supplémentaire en février dernier avec le lancement de l’architecture SecurX. Avec elle, Cisco entend répondre à la transformation des environnements IT des entreprises marqués par la virtualisation des infrastructures et la consumérisation des terminaux. Dans une note de blog, à l’époque, le constructeur indiquait apporter là sa réponse «aux défis et à la vaste surface d’attaques des nouveaux réseaux borderless.» Un environnement dans lequel il n’est plus question de dissocier un monde intérieur sécurisé d’un univers externe non maîtrisé, mais défini par «une profusion de niveaux de gris.»
L’architecture SecurX repose notamment sur une brique essentielle : l’Adaptive Security Appliance (ASA). Celle-ci s’appuie à la fois sur des éléments de contexte des accès au réseau et sur des informations sur les menaces actuelles obtenues des services de veille de sécurité de Cisco, pour autoriser ou refuser l’accès au réseau (avec contrôle basé sur 802.1x, notamment, sur le LAN ou le WLAN). Ça, c’est pour le coeur du réseau et les équipements d’infrastructure. De l’autre côté, sur le terminal, le client AnyConnect assure la connexion VPN (SSL, IPSec) mais également le filtrage Web, ou encore le chiffrement des communications, et l’application des règles de sécurité définies par l’entreprise. C’est là qu’entre en jeu le nouvel ISE, ou Identity Services Engine, un moteur de gestion centralisée des politiques de sécurité. Proposé sous la forme d’une appliance physique ou virtuelle, ISE joue le rôle d'une unité de contrôle centrale sur laquelle l'administrateur peut définir les politiques de sécurité de l'entreprise avant de les "pousser" vers les différents équipements réseaux en charge d'appliquer ces politiques. Le tout, en lien avec les annuaires existants de l’entreprise.
A son lancement, ISE intègre en outre des fonctions de profiling automatique des équipements terminaux sans utilisateur comme les imprimantes ou les caméras de surveillance IP. Jusqu’à pouvoir remonter des alertes en cas de comportement anormal de ces équipements au fonctionnement connu par avance. ISE permet également de gérer le cas spécifique des invités, ces utilisateurs temporaires du réseau. Bref, Christophe Perrin, responsable en France de l’activité sécurité de Cisco, voit là une solution «consolidant de nombreuses briques en une seule.»
Nombreuses, certes, mais pas toutes. Par exemple, ISE n’intègre pas de fonctions analytiques permettant de détecter finement les comportements incohérents d’utilisateurs. Ni même de brique de SIEM. Mais pour Christophe Perrin, «SecurX n’a pas vocation à tout faire. C’est une architecture ouverte, via des API. Nous ne voulons pas proposer un environnement fermé».
A lire aussi sur leMagIT :
Utiliser les empreintes numériques NAC pour inventorier les terminaux réseaux non intelligents