L’ECE Paris mise sur le tout-intégré avec Palo Alto Networks
L’école d’ingénieurs a retenu les pare-feu de Palo Alto Networks pour combiner authentification des utilisateurs et gestion de leurs accès applicatifs.
Historiquement équipée de pare-feu signés Cisco, l’ECE Paris – née sous le nom d’Ecole Centrale de TSF – s’est trouvée confrontée, il y a cinq ans, au besoin de renouveler ses équipements. Avec deux objectifs, explique Olivier Roux, responsable infrastructure de l’ECE Paris : « répondre à la progression du nombre d’utilisateurs sur le réseau, avec l’arrivée sur l’infrastructure de tout le groupe Laureate Paris et authentifier les utilisateurs en environnement hétérogène pour contrôle les accès aux applications en fonction de leur groupe d’appartenance, de leur rôle, des projets auxquels ils participent, etc. ».
L’infrastructure réseau de l’ECE Paris supportait environ 2.000 élèves jusqu’en 2012. Un chiffre alors passé à 4.500. Et pas question pour les équipes de l’ECE de travailler avec des équipements se contentant des couches basses du réseau alors que de premiers matériels assuraient déjà la gestion de la couche applicative : « nous ne voulions pas de surcouche pour gérer les authentifications et les droits et nous avions besoins d’une détection automatique des applications et de capacités de protection automatique contre leurs vulnérabilités ». Et face à Palo Alto Networks, « Cisco ASA n’était pas prêt, à l’époque, pour la gestion de la couche applicative ».
Simplifier le contrôle applicatif
Las, l’ECE Paris a payé le prix de la nouveauté : l’intégrateur initial ne connaissait pas des pare-feux qui ont passé, in fine, quelques mois dans leurs cartons.
Nomios a pris la suite et a permis une mise en service « avec mise à jour des règles et migration sans coupure de service ». Deux pare-feu PA-2050 ont alors été déployés en configuration actif/actif sur deux sites interconnectés par fibre optique. Le PA-2050 affiche une bande passante de 1 Gbps pour le pare-feu, avec la version 6.0 du système d’exploitation de Palo Alto, mais seulement 500 Mbps en prévention contre les menaces. Il supporte jusqu’à 250 000 sessions simultanées, et 15 000 nouvelles sessions par seconde.
Contenus Premium
Utilisés comme routeurs, anti-virus, filtre Web ou encore serveurs Web, les PA-2050 ont montré leurs limites avec la croissance du nombre d’utilisateurs : « nous avions des problèmes de performances sur l’interface d’administration », explique Olivier Roux. « Parfois, l’enregistrement d’une nouvelle règle pouvait prendre jusqu’à 40 minutes ».
Alors, si les performances, pour les utilisateurs, n’étaient pas sensiblement affectée, monter en gamme s’avérait nécessaire : « ces enregistrements ne prennent pas plus de 30 secondes avec les PA-3050 ». Ceux-ci affichent le quadruple de performances brutes. Aujourd’hui, ils supportent 9.000 utilisateurs – soit 3.000 postes connectés simultanément en moyenne – pour une charge de l’ordre de 5 à 6 % de la capacité totale.
Réflexion sur les fonctions avancées
Pour l’heure, l’ECE Paris utilise ces pare-feux de Palo Alto pour leurs fonctions de base, s’appuyant par exemple sur l’intégration Active Directory – via un agent local – pour la gestion des authentifications sur les postes Windows, ou encore sur le portail captif natif pour les utilisateurs d’autres postes. A l’exception des nomades, dont les terminaux Wi-Fi sont authentifiés par Radius.
Reste que l’ECE n’utilise pas encore le service Threat Cloud ni les fonctions GlobalProtect, dédiées aux accès nomades. Mais l’école travaille actuellement à préparer sa politique de mobilité. Ses implications, en matière d’architecture et de stratégie de sécurité pourraient amener l’ECE à revoir son approche.