Skip to main Content
Article

Entre connectivité et isolement : obtenez une sécurité optimale des centres de données avec Cisco ACI

Global Knowledge
  • Date: 30 June, 2021

Dans tout centre de données opérationnel, les deux possibilités de résultats de haut niveau dans le réseau sont la connectivité et l'isolement. Si chaque appareil peut se connecter à tous les autres appareils en activant une connectivité complète, la mise en réseau est relativement facile à créer, mais intrinsèquement non sécurisée.

Si un réseau isole complètement toutes les formes de trafic, il est inutilisable. Entre ces deux extrêmes de connectivité et d'isolement existe un équilibre optimal pour toute organisation.

Dans cet article, nous expliquons comment atteindre cette approche de sécurité optimale dans le centre de données avec Cisco Application Centric Architecture, ou ACI.

ACI Tenants

Le principal composant logique de Cisco ACI pour créer une connectivité ou une isolation pour le trafic de données de production dans un centre de données Cisco ACI est un locataire. Un locataire (tenant) est purement une construction logique dans le logiciel et il est appliqué à toutes les épines et feuilles. Un locataire est facile à créer et peut représenter votre entreprise, une autre entreprise, une unité commerciale unique ou même un laboratoire ou pour des tests de logiciels. Par défaut, tous les locataires sont complètement isolés de tous les autres locataires, et ainsi différents ordinateurs dans différents locataires peuvent partager le même adressage IP sans aucun souci d'erreurs IP en double.

Blacklist vs Whitelist Security Model

La mise en réseau Cisco traditionnelle avant ACI utilisait un modèle de liste noire, ce qui signifie que si vous connectez un périphérique final tel qu'un serveur à un commutateur, il dispose d'une connectivité complète à partir du commutateur. Si vous souhaitez refuser le trafic dans le modèle de liste noire, vous devez effectuer une action comme ajouter une liste de contrôle d'accès (ACL) à un périphérique réseau.

Blacklist signifie "faire quelque chose" pour isoler le trafic alors qu'autrement, cela serait autorisé.

Cisco ACI est toujours basé sur un modèle de sécurité de liste blanche. Dans un modèle de liste blanche, si vous connectez un terminal à une feuille ACI, il n'y a pas de connectivité par défaut. Même un simple test ping d'un serveur vers un autre serveur échouera par défaut jusqu'à ce que sa connectivité soit activée.

A "whitelist model" est plus sécurisé qu'un modèle de liste noire dans la mesure où tout problème oublié sera mémorisé par ACI et bloqué. On peut dire que dans Cisco ACI, "le refus implicite est toujours partout".

La liste blanche signifie "faire quelque chose" pour autoriser le trafic alors qu'autrement, il serait isolé.

Création d'une "Whitelist model"

Si aucune liste blanche n'est créée dans une nouvelle installation ACI, aucun trafic réseau ne sera autorisé pour tout périphérique connecté à une feuille. L'ensemble du centre de données serait inutilisable.

La première tâche pour créer une liste blanche consiste à créer un locataire. Plusieurs locataires peuvent exister au sein d'une structure ACI. Par défaut, tous les locataires sont totalement isolés des autres locataires.

Dans le locataire, créez un profil d'application. Plusieurs profils d'application peuvent exister dans n'importe quel locataire. Un profil d'application doit représenter des applications réelles qui communiquent entre elles dans le centre de données. Un exemple d'application à trois niveaux courant est celui des serveurs Web, des serveurs d'applications et des bases de données. Les serveurs Web doivent souvent communiquer avec les serveurs d'applications et les serveurs d'applications doivent communiquer avec les bases de données.

Pour chaque type d'application, un groupe de points de terminaison, ou EPG, peut être créé dans le profil d'application. Par défaut, tous les nouveaux points d'extrémité connectés à la feuille ou aux feuilles auront une connectivité complète entre eux s'ils se trouvent dans le même EPG.

Tous les appareils d'un EPG seront totalement isolés des autres EPG par défaut, sauf s'il existe un contrat entre les EPG. Un contrat est comme un « câble virtuel » dans la mesure où il est toujours connecté aux deux extrémités à deux objets ACI différents comme et EPG.

Un contrat est alors logiquement connecté à un filtre. Un filtre est très proche d'une liste d'accès étendue traditionnelle, sauf sans adressage IP. L'intégralité de la liste blanche ACI n'est pas basée sur l'adressage IP.

Micro-segmentation

La liste blanche la plus simple possible dans ACI serait de créer un seul locataire, de créer un profil d'application et de créer un EPG à l'intérieur. Ensuite, placez chaque serveur du centre de données dans cet EPG unique. Toute cette configuration peut être créée en quelques minutes seulement. Bien que cela soit facile à configurer, ce serait la configuration la moins sécurisée possible car tous les appareils ont une connectivité complète à tous les appareils. À l'opposé du spectre de la sécurité, il faudrait mettre en œuvre une micro-segmentation complète. Cela nécessiterait que chaque serveur d'applications soit dans son propre EPG.

Ensuite, la seule connectivité autorisée entre les EPG se situerait dans les filtres des contrats entre les EPG choisis. Cette approche peut devenir très complexe dans un grand centre de données, mais serait exceptionnellement sécurisée. Il serait juste de dire que « facile » et « sécurisé » sont opposés dans un modèle de liste blanche comme ACI. La plupart des architectes ACI choisissent une position idéale et réalisable entre ces deux extrêmes.

Conclusion

La sécurité d'accès à n'importe quel réseau de données augmente considérablement lorsque Cisco ACI est déployé avec une liste blanche bien structurée.

Ces formations Cisco offrent une vue complète de Cisco ACI :

  • DCACI - Implementing Cisco Application Centric Infrastructure
  • DCAUI - Implementing Automation for Cisco Data Center Solutions

Découvrez le parcours complet des formations Cisco Data Center.

Voir les éditeurs associés:
Voir les domaines associés:

Chris Olsen

Chris Olsen has been an IT trainer since 1993 and an independent consultant and technical writer since 1996. He has taught over 60 different IT, data center and telephony classes to over 15,000 students. He is a technical author for Cisco certified Courses. He has also authored technical exams for Cisco's and Microsoft's certification programs.

Articles associés
01 Mar 2021 Article

La transition numérique a apporté de nombreux progrès, mais internet et les espaces numériques deviennent de plus en plus des lieux propices aux actes... Lire la suite

26 Oct 2021 Article

Retrouvez 10 conseils destinés aux administrateurs systèmes pour pallier les vulnérabilités les plus courantes en sécurité informatique

17 Jan 2021 Article

Comment mettre en pratique ses compétences après votre formation Microsoft, Cisco ou encore Veeam? C'est simple, choisissez d'abord un centre de forma... Lire la suite

"Nous nous soucions de votre vie privée"

Nous utilisons des cookies pour vous offrir la meilleure expérience sur notre site. Les cookies sont des fichiers stockés dans votre navigateur et sont utilisés par la plupart des sites Web pour personnaliser votre expérience en ligne. En continuant à utiliser notre site sans modifier les paramètres, vous acceptez notre utilisation des cookies.

Veuillez utiliser uniquement des paragraphes et des liens dans ce champ de texte enrichi. Un lien vers la page avec informations sur les cookies

Concernant votre vie privée.

Nous traitons vos données à des fins telles que la livraison de contenu ou de publicités et la mesure de la livraison de ce contenu ou de ces publicités pour obtenir des informations sur notre site web. Nous pouvons partager ces informations avec nos partenaires. Les cookies définis par Global Knowledge sont étiquetés “première partie”; vous pouvez exercer vos préférences concernant les cookies de première partie en basculant l'interrupteur pour chaque catégorie de cookies de première partie ci-dessous. Les cookies restants sont des cookies tiers; vous pouvez exercer vos préférences concernant chaque objectif en basculant l'interrupteur correspondant ci-dessous ou par fournisseur en cliquant sur “Liste des fournisseurs de l'IAB”. Ces choix seront signalés globalement à d'autres sites web participants au Cadre de Transparence et de Consentement.
Déclaration de confidentialité

Cookies nécessaires

Il s'agit de cookies nécessaires au bon fonctionnement du site Web de Global Knowledge et qui ne peuvent pas être désactivés dans nos systèmes. Ils incluent, par exemple, des cookies qui vous permettent d'utiliser un panier d'achat ou de vous connecter à la zone de réservation de notre site Web.

Cookies d'analyse

Les cookies d'analyse sont une partie facultative mais importante de la fonctionnalité de notre site Web. Ils nous aident à comprendre comment vous interagissez avec notre site en collectant et en rapportant des informations de manière anonyme. Les données collectées par les cookies d'analyse sont utilisées pour améliorer les performances du site Web et améliorer l'expérience utilisateur. Il est important de noter que ces cookies ne collectent aucune information personnelle pouvant être utilisée pour vous identifier.

Cookies de préférences

Les cookies de préférence sont utilisés pour suivre les visiteurs à travers les sites web dans le but d'afficher des publicités pertinentes et engageantes pour vos centres d'intérêt.

Cookies de performance

Ces cookies nous permettent de reconnaître et de compter le nombre de visiteurs sur notre site web, les sources de trafic et de voir comment les visiteurs du site web se déplacent sur le site lorsqu'ils l'utilisent. Cela nous aide à améliorer le fonctionnement du site web et à améliorer votre expérience sur le site web. Toutes les informations collectées par ces cookies sont agrégées et donc anonymes.

Cookie Control toggle icon