L'IATA contrôle ses accès réseau avec ForeScout
Lors d’un atelier des Assises de la Sécurité, David Coomes, directeur opérations IT et sécurité d’IATA a expliqué comment il sécurise ses accès réseau avec les outils de ForeScout.
C’est il y a deux ans et demi que l’IATA, l’association des compagnies aériennes, a retenu ForeScout pour contrôler les accès à son réseau (NAC). Lors d’un atelier organisé la semaine passée aux Assises de la Sécurité, David Coomes, directeur opérations IT et sécurité de l'association, a décrit l’organisation d’une PME très étendue, avec 1500 employés répartis dans environ 50 pays, et une infrastructure IT structurée autour de deux principaux sites - Genève et Montréal – et cinq hubs régionaux, le tout interconnecté par MPLS, et VPN IPSec pour les plus petites implémentations.
A sa prise de fonctions chez IATA, David Coomes souffrait d’un manque de visibilité sur ce qui se passait sur son réseau. Une situation d’autant plus gênante que de nombreux consultants interviennent chez IATA et « les chefs de projets ne leur attribuent pas forcément des ordinateurs portables. » Ces consultants devaient donc travailler avec leur propre matériel. Sans pour autant respecter les stratégies de sécurité définies au sein de l’organisation. Car, justement, IATA avait déjà procédé à une telle définition. Mais en l’absence de moyens pour les faire respecter… : « les règles ne servent à rien, tant que l’on ne peut pas les faire respecter, » relève David Coomes. Et, en effet, IATA souhaitait pouvoir être conforme à ISO 27001, un standard retenu « pour structurer notre approche de la sécurité. »
Eviter une mise en œuvre trop lourde
David Coomes relève alors une difficulté : l’implémentation du contrôle d’accès réseau est souvent longue. Et l'IATA souhaitait une solution facile à mettre en œuvre « dans un laps de temps mesurable. » Un appel d’offre a permis de recueillir les propositions de spécialistes réputés du NAC, basant essentiellement leur approche sur 802.1x. L’occasion pour David Coomes de discuter avec ses collègues de Genève qui s’étaient lancés dans une telle approche deux ans plus tôt… « Ils ont fini cette année. » Les raisons de cette durée de projet peuvent être variées, mais « je ne voulais pas ça, je voulais quelque chose de rapide », insiste le RSSI. Le tout avec l’objectif de couvrir 90 % des employés de l’organisation – sur les sept sites principaux. Faire plus, en passant pas le déploiement d’appliances, n’était pas économiquement envisageable, « mais désormais, avec une prochaine version du logiciel ForeScout, cela devrait être possible. »
Surtout, il voulait quelque chose de « simple », à savoir « autoriser des machines conformes à accéder complètement au réseau », superviser la conformité.
Un déploiement rapide
Des appliances ForeScout ont donc été déployées sur les principaux sites, avec un contrôleur installé à Genève. L’intégration s’est faite sur les commutateurs de cœur de réseau pour surveiller les accès aux VLAN utilisateurs : « cela nous permet de détecter toute machine qui tente de se connecter au réseau, de faire une requête DHCP. » Et l’intégration s’est faite sans qu’il soit nécessaire de reconfigurer les commutateurs : « on fait du miroir de ports et le NAC est actif suivant un concept de pare-feu virtuel. Pour bloquer une machine, il lui adresse des TCP reset, ce qui l’isole du réseau. C’est très efficace. » 802.x est supporté, mais « reconfigurer tous les commutateurs, les mettre à jour, aurait été ingérable. » Et surtout, le déploiement a ainsi pu se faire sans dépendre des équipes réseau. Seuls sept changements leurs ont été demandés : « en deux jours, c’était passé. »
Et au bout de deux jours, les boîtiers commençaient à recevoir des informations. « On ne bloquait rien au début. » Trois semaines ont été ainsi consacrées à l’étude de l’environnement. Ce n’est qu’après cela que le blocage a commencé. Un mois, donc, pour la mise en œuvre. Autre point positif souligné par David Coomes : le fonctionnement hors bande de la solution qui permet de démontrer facilement qu’elle n’est pas en cause en cas d’incident – « c’est très très rassurant. »
Toutefois, le pare-feu virtuel ne bloque pas les communications UDP : « 802.x est peut-être plus propre, mais je n’avais pas deux ans pour l’implémenter. » En outre, « vous ne verrez pas un trafic qui ne passe pas par le commutateur de cœur de réseau. Mais, de toute façon, lorsqu’une machine essaie de se connecter, elle passe par là. »
Une approche évolutive
Dans un premier temps, les équipes de David Coomes ont retenu une approche sans agent résident sur les postes. Mais les équipes d’ingénierie ont suggéré le déploiement d’agents. Ce sont ces derniers qui permettent d’utiliser ForeScout pour… déployer des correctifs. Le RSSI explique que « les solutions du marché sont très chères et pas si triviales à implémenter. […] Une personne de mon équipe passe 4h par mois à faire le packaging des correctifs. En une journée c’est déployé. » Un plus bienvenu. L’agent permet en outre au service desk de diffuser des notifications aux utilisateurs, en interrompant des sessions HTTP.
Grâce à ForeScout, le RSSI de IATA parvient en outre à accéder à des informations d’infrastructure réseau auxquelles mêmes les équipes réseau peinaient à accéder. la capacité de l’agent à connaître les détails de configuration des postes a aussi permis d’établir un inventaire des langues de déploiement de Windows – en dix minutes – et… de résoudre des problèmes de compatibilité SAP. Bref, de quoi trouver des utilisations très larges à ce qui ne devait à l'origine être qu’une solution de NAC. Suite au déploiement de ForeScout, le taux de conformité avec les règles de sécurité interne est passée de 30 % à environ 95 %... en seulement trois mois.