La solution de pare-feu conteneurisé annoncée par Cisco pour sa vénérable famille de commutateurs Catalyst vise à faciliter la segmentation des ressources réseau pour les clients d'entreprise qui utilisent des systèmes IT/OT mixtes, mais aussi à leur faire économiser de l'argent en consolidant les déploiements réseau et de sécurité. Plus précisément, le conteneur basé sur Docker construit par Cisco pour son Secure Firewall Adaptive Security Appliance (ASA) peut être hébergé sur les commutateurs d'accès Catalyst 9300. Secure Firewall ASA combine pare-feu, antivirus, prévention des intrusions, cryptage et support des réseaux privés virtuels (VPN). Le pare-feu prend en charge jusqu'à 10 interfaces logiques, toutes utilisables pour la segmentation. « Parce qu’elle confine n’importe quelle violation à une zone spécifique, cette segmentation limite la capacité d'un attaquant à se déplacer latéralement au sein du réseau », a écrit Pal Lakatos-Toth, un chef de produit d'ingénierie au sein du groupe de sécurité de Cisco, dans un blog à propos de l’annonce. « L'intégration des technologies de l'information (IT) et des systèmes de technologie opérationnelle (OT), également connue sous le nom de convergence IT/OT, est un processus crucial dans des secteurs comme la fabrication, l'énergie et les services publics. Alors que les systèmes IT s'occupent de la gestion des données, les systèmes OT gèrent les processus physiques et les systèmes de contrôle des infrastructures critiques comme les réseaux électriques, les stations d'épuration et les équipements de fabrication », a encore écrit M. Lakatos-Toth.
La transformation numérique et les initiatives de fabrication intelligente ont accéléré la convergence des réseaux IT et OT, et « même si cette intégration peut apporter des avantages significatifs, notamment une efficacité accrue, une meilleure visibilité et une meilleure prise de décision, elle peut aussi augmenter le risque de cyberattaques », a déclaré Pal Lakatos-Toth. « En hébergeant le Secure Firewall ASA conteneurisé sur des commutateurs d'accès Catalyst 9300, les entreprises peuvent simplifier l'acheminement du trafic vers des pare-feux centralisés à l'aide de tunnels complexes », a expliqué M. Lakatos-Toth. « Les services de pare-feu sont ainsi plus proches de la source, si bien que cette solution est rentable et efficace pour sécuriser les réseaux convergents IT/OT. Elle réduit également la latence pour les applications sensibles au temps en appliquant les politiques près de la source, là où les appareils se connectent au réseau », a encore fait valoir M. Lakatos-Toth.
Déploiement sécurisé sur de grands réseaux
Le Secure Firewall ASA conteneurisé maintient une table de connexion avec état qui garde la trace de l'état et du contexte de chaque connexion réseau qui passe et il applique un contrôle d'accès basé sur le contexte. « Si une application a besoin de ports supplémentaires pour fonctionner, le pare-feu ouvre dynamiquement ces ports et en assure le suivi, tout en veillant au maintien des politiques de sécurité et des contrôles d'accès. Tous ces événements sont enregistrés à des fins d'audit et peuvent être utilisés pour tracer et prévenir les failles de sécurité », a déclaré M. Lakatos-Toth. Pour le contrôle d'accès dans le réseau IT/OT, le Secure Firewall ASA conteneurisé utilise des listes de contrôle d'accès (Access Control Lists, ACL) et des étiquettes de groupe de sécurité (Security Group Tags, SGT). « Avec les SGT, le pare-feu applique des politiques de sécurité basées sur des étiquettes plutôt que sur des adresses IP. Il utilise les SGT pour authentifier les dispositifs OT et les assigner à un groupe de sécurité spécifique, comme 'OT', et l’utiliser ensuite pour l'inspection dynamique », a déclaré M. Lakatos-Toth. La solution ASA est gérée via l’Enterprise DNA Center de Cisco (DNAC) afin de prendre en charge la gestion et les configurations de connectivité réseau. Le DNAC garantit que l'application de pare-feu est toujours à jour et sécurisée. « Cisco Defense Orchestrator prend également en charge le système et permet de créer et de déployer des politiques de sécurité cohérentes sur de vastes réseaux. Il effectue l'analyse des politiques et rationalise les processus de configuration et de gestion », a écrit M. Lakatos-Toth.
Si c’est la première fois que Cisco déploie un pare-feu sur le 9300, cela fait plusieurs années que le commutateur inclut la prise en charge des conteneurs Docker. L'idée était de permettre aux clients de créer leurs propres applications pour le commutateur sans avoir à les réécrire à chaque changement d'infrastructure. Selon Cisco, les conteneurs Docker sont légers et utilisent très peu de CPU et de mémoire. « Par exemple, dans une grande entreprise, un opérateur de réseau peut héberger une application de surveillance de réseau sur les plateformes d'accès Cisco Catalyst pour localiser précisément les problèmes dans le réseau et agir en conséquence, grâce aux informations reçues en temps réel », a déclaré Cisco. Le Secure Firewall ASA conteneurisé sera disponible en octobre sur le commutateur Catalyst 9300 avec la version IOS EX 17.12.2.