« Borderless Network » résume la stratégie Cisco actuelle. Autour de ce thème, la firme décline nombre de ses avancées technologiques, que ce soit de simples mises à jour ou l’arrivée de nouveaux produits, le lancement d’une gamme : tout est Borderless Network. La vision ? Un réseau sans frontière sur lequel il faut garantir en permanence qualité de services et sécurité. « La grande tendance actuelle est comment je couvre mon infrastructure avec un accès à mon entreprise à n’importe quel moment, depuis n’importe où » commente Christophe Perrin, Sales business Development Manager chez Cisco. Ainsi comment contrôler ses flux et ses données lorsque la mobilité est au cœur de l’entreprise avec le nomadisme des employés et l’explosion des terminaux d’accès, avec le passage de l’infrastructure en mode Cloud du fait de l’avènement des applications en mode SaaS ? Côté sécurité, la réponse de Cisco est l’annonce de nouveaux éléments pour adapter le réseau aux nouvelles exigences sécuritaires.
Ainsi Cisco AnyConnect Mobile Security est constitué d’une part du vpn client Cisco en version 2.5. Un nouveau mode de fonctionnement qui tient compte de la mobilité des employés et qui permet de s’assurer que quelle que soit la transaction engagée, celle-ci est protégée par un tunnel sécurisé. Jusqu’à présent pour lancer son Vpn, il fallait en faire la démarche et l’utilisateur qui, pour une raison ou une autre, ne lance pas son tunnel sécurisé n’est plus protégé que par les éléments de sécurité installés sur son poste. Le nouveau client Vpn enlève ce choix à l’utilisateur : transparent, dès qu’il détecte qu’il n’est plus sur le réseau de l’entreprise, il se connecte sur le serveur le mieux situé. Il est à noter qu’il s’installe sur n’importe quel support, sous n’importe quel OS.
Puis en combinant le vpn avec les fonctions d’Ironport récemment racheté par l’entreprise, l’on obtient une protection pour les nomades travaillant en mode SaaS. D’un côté la technologie Cisco ASA qui associe parefeu, IPS et concentrateur Vpn, de l’autre, la technologie WSA d’Ironport pour protéger les accès aux applications en mode SaaS. Dès que l’utilisateur sort de l’entreprise Anyconnect prévient ASA qui lui-même transmet à WSA qui lance la politique d’usage dans ce contexte. Par conséquent en fonction de l’identité et de la localisation géographique, une politique s’applique avec filtrage d’urls à l’appui. Pour optimiser les fonctions de filtrage, il est également possible de souscrire à un service Scansafe, qui connecte dans le Cloud au serveur le plus proche, le terminal du nomade. A terme, AnyConnect sera adapté afin de permettre de rediriger les flux nomades vers le serveur Scansafe le plus proche.
Enfin TrustSec qui regroupe toutes les architectures de politiques d’accès a également évolué à différents niveaux. L’identification de l’utilisateur ou de l’équipement réseau se fait au travers de 802.1x, entre autres, qui peut désormais être appliqué par port. Le« policy server » qui évalue l’identité au travers d’un Cisco Secure ACS est, quant à lui, complètement réécrit. Pour les invités, un portail est à disposition (ouverture et tracing). S’ajoute dorénavant à la sempiternelle Access List des constructeurs et au Vlan, une nouvelle façon de procéder avec un tag. C’est en quelques sortes un label qui est renvoyé au commutateur et qui est transporté avec tous les paquets. L’intérêt ? Au lieu d’écrire une règle en fonction de l’adresse IP, on l’écrit en fonction du label et donc en fonction d’un groupe d’appartenance. Enfin selon le profil, l’on pourra obtenir le chiffrement des flux entre un utilisateur et un commutateur. Attention, toutes ces dernières fonctions avancées ne sont pas intégrées dans tous les équipements …
