LIVRE BLANC

LIVRE BLANC : CISCO OUVRE LA VOIE DU RSEAU INFORMATIQUE INTELLIGENT

Par Jayshree Ullal, vice-Prsident Directeur et Directeur Gnral, Security Technology Group

Nous nous trouvons un carrefour de lavenir des rseaux et notre industrie voit deux chemins devant elle : continuer construire des produits spcialiss ou crer des systmes de rseau unifis qui permettront aux entreprises damliorer leur productivit, de rduire leurs cots et de prendre un avantage concurrentiel. Chez Cisco Systems, nous pensons que la solution la plus avantageuse pour nos clients proviendra de la cration de rseaux intelligents o chaque lment sintgre et travaille en harmonie avec les autres composantes de linfrastructure de communications. Nous sommes en train, aujourdhui mme, de poser les fondations dun tel systme que nous avons baptis Rseau informatique intelligent. Mieux que tout autre aspect des rseaux modernes, la scurit illustre elle seule la criante ncessit dune telle dmarche. Aucune fonctionnalit de rseau ne fait lobjet dune demande aussi importante. Voici encore deux ans, les administrateurs systmes disposaient de quelques heures, voire de plusieurs jours, pour faire face aux nouvelles menaces pesant sur leurs rseaux : leur temps de raction se mesure dsormais en minutes quand ce nest pas en secondes. Nous connaissons tous, malheureusement, des exemples dintroduction dans le rseau mondial de vers ou de virus qui se sont propags rapidement et largement sur lensemble du globe. Ces logiciels nuisibles, conus pour exploiter les environnements mal scuriss, sont rarement bnins et leurs consquences sont parfois trs onreuses. Le cot annuel support par les entreprises pour se prmunir contre virus et vers, ou pour en rparer les dgts, se chiffre actuellement en milliards de dollars. Jusquici, les oprateurs de rseaux devaient recourir des correctifs logiciels ou des produits spcifiques pour assurer leur dfense, mais il devient clair que ces solutions napportent pas dantidote contre lingniosit et la malignit des menaces qui psent actuellement sur les rseaux.
Figure 1 La scurit des rseaux telle quelle a volu

Le primtre du rseau est indfinissable - Applications Internet distribues - Accs partir de points indfinis - Groupes dynamiques Chaque point d'entre sur le rseau est susceptible de devenir une brche - Virus, vers, pirates, attaques - Vulnrabilit des actifs essentiels Nouveaux risques et nouvelles vulnrabilit - Contenus et applications interactives - Tlphonie IP, multiplication des mobiles et du sans fil

Piratage Campus de prochaine gnration Usurpation d'identit Intranet d'entreprise Fdrateur Internet Attaques par saturation Employs mobiles en dplacement

Centre de donnes

Indiscrtion Succursale pleinement fonctionnelle Accs non autoris Tltravailleur / SOHO

Cisco Systems, Inc. Tous les contenus sont protgs par Copyright 2005, Cisco Systems, Inc. Tous droits rservs. Avertissements importants et dclaration de confidentialit. Page 1 de 7

Pour rpondre aux nouvelles contraintes rencontres pour obtenir une scurit plus robuste, Cisco est en train de dvelopper pour lensemble du rseau des dfenses intgres qui amliorent, tant en termes de rentabilit que de valeur ajoute, les solutions spcifiques de scurit traditionnelles. Le point commun entre tous les pirates informatique, virus, vers, logiciels espions et attaques diverses est quils traversent un rseau pour se propager et atteindre leur cible. Chez Cisco, nous pensons que cest un niveau du rseau que les mesures les plus efficaces peuvent tre prises, et avons dvelopp une approche exhaustive de la scurit, le rseau autodfense de Cisco (Cisco Self-Defending Network). Une telle approche est de loin la manire la plus efficace de dfendre les rseaux, leurs applications et leurs donnes contre les menaces daujourdhui et de demain. En ralisant une scurit lchelle du rseau tout entier, le concept Self-Defending Network permet lentreprise comme au particulier dexploiter tout le potentiel des communications IP (Internet Protocol) pour relancer sa productivit et rduire ses frais dexploitation. Personne ne contestera que la scurit des rseaux est devenue plus importante que jamais. Si les communications convergentes voix, vido et donnes sont devenues indispensables aux entreprises et aux particuliers, le primtre dun rseau scuris reste mal dfini. La multiplication des clients, la prolifration des quipements mobiles et le dveloppement de la tlphonie VoIP (Voix sur IP) font peser des exigences croissantes sur les relations entre les points dextrmit et la scurit du rseau. Les rseaux contiennent des renseignements sur la quasi-totalit des aspects du commerce et de notre existence, y compris les informations les plus confidentielles comme les dossiers mdicaux ou financiers. La gestion de ces rseaux nest plus une activit secondaire mais, bien au contraire, le moyen daccomplir sa tche dans pratiquement nimporte quel mtier, notamment grce aux communications voix et vido. Aujourdhui, le rseau est lentreprise et lentreprise est le rseau.

LES LIMITES DE LA SCURIT TRADITIONNELLE Les mthodes traditionnelles de scurit informatique (qui dpendent largement de produits spcialiss et indpendants, dune litanie de correctifs de systmes d'exploitation et de la mise jour continue des logiciels antivirus) montrent leur inadquation rpondre efficacement aux exigences actuelles de la protection des rseaux. Ces mthodes sont limites parce quelles ne peuvent dfendre quune partie du rseau tandis que les nouvelles formes dattaques les contournent facilement. De plus, chaque produit exige sa propre interface et ses propres politiques ce qui signifie que la plupart de ces produits spcialiss sont incapables de dialoguer avec les autres. Enfin, les dfenses dont disposent actuellement les rseaux reposent sur des contrles et des interventions manuelles qui se sont montres trop lentes et pas assez ractives pour sopposer aux dernires gnrations de vers et de virus. En raison de ces limitations, les dfenses de rseau traditionnelles cotent aux entreprises autant, si ce nest davantage, en frais de gestion que les dgts quelles cherchent viter. Les oprateurs de rseaux se trouvent dsormais contraints dintgrer en nombre toujours croissant les mises jour antivirus et les correctifs de systmes dexploitation ou dapplications, une activit qui absorbe souvent une telle quantit de ressources informatiques que les projets les plus cruciaux sont mis sur la touche. Lentreprise doit frquemment monter au crneau , quel que soit son planning, pour lutter contre des virus qui la forcent prendre des mesures de scurit ractives et gnantes pour son fonctionnement. Par le pass, bon nombre dinitiatives de protection des rseaux ont t limites par leur approche conceptuelle de la scurit. Certaines ont adopt le modle de la forteresse avec ses pare-feu et autres technologies destins maintenir lextrieur du rseau toutes les personnes non autorises. Cette dmarche est aujourdhui mise mal par les nouveaux besoins mtiers qui, tout moment et en tout lieu, ncessitent un accs pour des groupes de personnes trs varis : employs, fournisseurs, sous-traitants, invits, etc. De plus, les menaces internes continuent de poser aux entreprises de graves problmes de scurit. Dautres tentatives ont nglig dinclure les ordinateurs personnels, les serveurs et les autres points dextrmit dans la structure de scurit du rseau, ignorant par la mme des points de contrle essentiels pour bloquer la prolifration des vers et des virus.

Cisco Systems, Inc. Tous les contenus sont protgs par Copyright 2005, Cisco Systems, Inc. Tous droits rservs. Avertissements importants et dclaration de confidentialit. Page 2 de 7

LINTELLIGENCE DE RSEAU OUVRE LA VOIE LA SCURIT ADAPTATIVE Heureusement, la technologie fondamentale qui permet de protger les informations numriques et les infrastructures de communications contre les menaces actuelles existe dj. Les routeurs et les commutateurs de rseau disposent de manire inhrente dune visibilit du rseau et de ses activits car ce sont eux qui voient et contrlent le flux de toutes les donnes et des communications IP. Moyennant lassociation bien conue avec des technologies et des services de scurit spcialiss (comme les logiciels de surveillance des points dextrmit) ces composantes de cur de rseau permettent de dployer progressivement des fonctions de scurit sans quivalent.

Figure 2 Ltape suivante : le rseau autodfense

Actuellement
SDI FW

Bientt
NAC

A l'avenir
CORRLATION

IPS VPN AV
Scurit intgre VPN Pare - feu Prvention/dtection des intrusions Matrice IP

CSA

AD App SSL FW VPN

Scurit collaborative NAC Contenus (App, PF, SSL)

Sec MIT UT DT rust identity

Scurit adaptative Extension des applications Domaines de confiance Inspection des macros

Appl GW

Anti-X (Vers, Refus d'accs, Saturation) Matrice IP et VVD (Voix, Vido et Donnes)

Dfense adaptative contre les menaces Matrice de virtualisation

Cisco exploite maintenant linfrastructure du Rseau informatique intelligent pour tisser une cotte de mailles multicouche intgre qui vite les dfaillances des mesures de scurit traditionnelles. A la diffrence des produits spcialiss, le Self-Defending Network est un systme de dfense qui exploite les fonctionnalits omniprsentes de dtection et de contrle du rseau, chacun de ses lments communiquant avec les autres pour renforcer la protection sur lensemble de linfrastructure. Un tel systme intgr gnre un environnement coordonn, cohrent et proactif qui identifie les menaces, en limite la porte et les bloque. Rsultat : une scurit de rseau de rfrence unifie contre les menaces, capable de ragir vitesse informatique aux alertes de scurit et de rduire les crneaux de vulnrabilit tout en allgeant le travail administratif. Pour son rseau autodfense, Cisco a pris modle sur la manire dont notre corps se dfend et lutte contre les infections et maladies. Comme la peau et les membranes du corps humain, le rseau autodfense possde plusieurs couches de protection : les VPN, les pare-feu, la prvention des intrusions et la rduction des anomalies. Associ aux fonctions de virtualisation volue, une meilleure intelligence des paquets et des liens comportementaux avec les systmes dextrmit, le systme Self-Defending Network est capable de repousser les lments dangereux. Toutefois, comme le corps humain, le rseau ne peut pas interdire totalement linfiltration de tels lments. Si ltre humain doit manger, boire et respirer, les rseaux doivent traiter et livrer des informations provenant dune multitude de sources extrieures. Dans cet esprit, Cisco est en train de permettre au rseau autodfense de travailler pleine capacit ou presque, mme lorsquil est envahi par des entits nuisibles, tout comme le corps humain continue de fonctionner malgr une infection ou une maladie.

DE LIDENTIFICATION DES POINTS DEXTRMITS AUX LIAISONS DE RSEAU SCURISES Plus important encore, Cisco prvoit que le rseau autodfense puisse voluer avec les besoins de scurit du Rseau informatique intelligent ainsi quavec les modifications apportes aux ordinateurs de bureau, aux serveurs et aux applications. Pour supporter la premire phase du Rseau informatique intelligent, Cisco Self-Defending
Cisco Systems, Inc. Tous les contenus sont protgs par Copyright 2005, Cisco Systems, Inc. Tous droits rservs. Avertissements importants et dclaration de confidentialit. Page 3 de 7

Network tablit des positions de dfense la priphrie du rseau : contrles daccs des utilisateurs et de leur PC, pare-feu plus intelligents, outils de prvention des intrusions et protection des points dextrmit par des logiciels proactifs qui analysent les comportements. Sappuyant sur le protocole IP comme base dchanges, Cisco largit cette structure de protection grce des technologies de rseaux privs virtuels qui placent plus efficacement les utilisateurs distants et mobiles sous lombrelle protectrice du rseau autodfense. Tous ces outils sont lis les uns aux autres par une gestion centralise qui coordonne les ractions et synchronise les politiques.
Figure 3 Excuter les politiques de scurit
Comportement Anormal Systme de prvention des intrusions / Pare-feu personnel Anti Virus

Lier le systme au rseau

SSL VPN VPN

HIDS Pare-feu personnel VPN

Scurit du poste d'extrmit

Pare-feu + VPN

Identit et confiance

Scurit du rseau

Pare-feu APP Pare-feu

Identifiant / Trust

Refus d'accs Systme de prvention des intrusions Saturation

Systme de dtection IDS des intrusions

Le niveau de conformit du poste d'extrmit conditionne l'accs aux ressources rseaux Les "serveurs de politiques" centralisent la gestion de politiques de scurit Le rseau fournit les mcanismes dynamiques et la scurisation active

Linnovation la plus marquante de Cisco dans le dveloppement initial du concept de Self- Defending Network est la surveillance par contrle daccs NAC (Network Admission Control) de la liaison entre le rseau IP scuris et les points dextrmit. Le contrle NAC est une premire industrielle en matire de scurit car il cre un prcdent essentiel de collaboration entre de multiples socits. A lorigine, Cisco avait dvelopp le contrle NAC en association avec les principaux constructeurs de logiciels anti-virus comme Network Associates, Symantec et Trend Micro. IBM et Microsoft ont depuis manifest leur soutien au projet NAC et travaillent en troite collaboration avec Cisco. NAC permet au rseau de contrler laccs dun point d'extrmit donn en fonction de sa conformit une politique de scurit. Il peut vrifier si lordinateur portable, lordinateur de bureau ou le serveur qui demande laccs au rseau est bien conforme ce qui est prvu, comme par exemple la prsence dun logiciel antivirus et de correctifs de systme d'exploitation jour. NAC peut galement interdire laccs tous les quipements non conformes en utilisant les routeurs et les commutateurs Cisco. A mesure que le Rseau informatique intelligent passera la phase deux, dici deux ou trois ans, et commencera permettre une utilisation plus dynamique des ressources, notamment au niveau des datacenters, le systme de scurit volutif sera en mesure de rpondre automatiquement aux menaces. Cisco donnera la priorit lacclration des ractions aux nouvelles attaques en consolidant les informations fournies par des technologies varies de dtection et en les runissant dans des systmes dynamiques de contrle des politiques. La cl de cette tape sera la capacit identifier, localiser et isoler les systmes infects, puis coordonner lexclusion du rseau du trafic nuisible. Ceci permettra dempcher la propagation du virus au reste de lenvironnement ainsi quaux autres rseaux qui y sont relis. Le rseau autodfense de Cisco collaborera avec les fournisseurs de produits de scurit afin de matriser le potentiel de dtection des virus et des comportements anormaux des diffrentes units du rseau comme les serveurs de courrier lectronique, les passerelles antivirus et mme les autres ordinateurs personnels. Au sein du projet de rseau autodfense, ces units pourront dnoncer dautres lments du rseau prsentant des comportements anormaux, autrement dit, qui laissent entendre que ces lments sont sous le contrle dun programme malveillant ou dun pirate. Le systme de routeurs et de commutateurs pourra alors servir isoler les units infectes ou les systmes non protgs tandis que les quipes rseau et systme mettront leurs dfenses jour.

Cisco Systems, Inc. Tous les contenus sont protgs par Copyright 2005, Cisco Systems, Inc. Tous droits rservs. Avertissements importants et dclaration de confidentialit. Page 4 de 7

Figure 4 Contrle de laccs au rseau : solution de scurit base sur la confiance et les identifiants

Le client tente de se connecter Ordinateur de bureau

Authentification et contrle des politiques de scurit

Si
Cisco Trust Agent

Rseau dentreprise
Correction et mise jour

Accs accord Accs refus Mise en quarantaine

VLAN de quarantaine

LAVENIR DE LA SCURIT CISCO A lhorizon de trois cinq ans, les exigences de scurit ne pourront quaugmenter devant la complexit croissante des rseaux. Au cours de cette troisime phase, le Rseau informatique intelligent commencera certainement proposer des applications et des services virtualiss, permettant ainsi aux utilisateurs daccder facilement aux applications et aux informations dont ils ont besoin, quand ils en auront besoin et de la manire dont ils le souhaiteront. Toutefois, louverture des applications ouvre aussi la porte de nouveaux risques. Si les applications et les ressources transitent plus frquemment sur un nombre croissant de rseaux, le code malveillant risque demprunter les mmes chemins. Pour se protger contre de telles attaques, le rseau autodfense devra pouvoir examiner le trafic encore plus en dtail, et mme analyser les informations des applications et des messages afin de vrifier leurs bonnes intentions et didentifier avec davantage de fiabilit et de rapidit les utilisations abusives et les menaces. Bien que le dfi technique correspondant soit de taille, de telles fonctionnalits assureront une scurit dynamique de bout-en-bout au niveau des applications et des contenus. Paralllement ces inspections en profondeur, le rseau autodfense de lavenir exigera galement un cadre de scurit base de politiques la fois transparent pour toutes les applications et applicable en toute autonomie. Pour faciliter ces processus de scurit encore plus dtaills, Cisco cherche inscrire davantage de fonctions de scurit dans les schmas de routage et de commutation. Tout comme Cisco a pilot lindustrie vers lamlioration des performances de traitement des paquets, nous avons bien lintention de montrer une fois encore la voie vers les rseaux scuriss hautes performances. La troisime phase de Self-Defending Network ncessitera galement des progrs supplmentaires dans les ASIC et les processeurs pour permettre cette analyse dtaille des paquets et le contrle au niveau des applications. Dans le mme temps, un grand nombre des outils logiciels actuels migreront vers des units matrielles de traitement, pour devenir des fonctions standard qui contribueront rduire limpact des fonctions de scurit sur les performances des rseaux. Tout au long de ces diffrentes phases, Cisco sassociera dautres fournisseurs pour diversifier les capacits de dfense de son projet Self-Defending Network. Pour que cette approche de la scurit devienne ralit, lessentiel nest pas que toutes ses composantes proviennent dun unique systme monolithique mais, bien au contraire, que chacune sappuie sur des normes industrielles afin de communiquer efficacement et conomiquement avec les autres dans un effort de dfense coordonne. Ces partenariats dunification industrielle peuvent faire progresser la scurit de manire spectaculaire, par exemple au travers dun systme universel didentification numrique des applications et des units.

Cisco Systems, Inc. Tous les contenus sont protgs par Copyright 2005, Cisco Systems, Inc. Tous droits rservs. Avertissements importants et dclaration de confidentialit. Page 5 de 7

Il est clair que les socits et les quipes rseau et systme ont besoin dune solution de remplacement au concept traditionnel de scurit ponctuelle. Chez Cisco, nous pensons que le rseau autodfense est cette solution. Quelles que soient les technologies qui le constitueront, le rseau autodfense a un but unique : amliorer les communications en rendant les rseaux plus srs, car de meilleures communications se traduisent par de meilleurs rsultats pour lentreprise. A ce titre, les fonctionnalits de dfense automatises du rseau Cisco offrent une scurit non seulement renforce mais galement plus conomique en liminant un grand nombre des processus manuels coteux qui accaparent aujourdhui les ressources des services informatiques.
Figure 5 Le rseau auto dfense Cisco

Gestion de scurit Gestion et analyse

Gestion intgre des units, politiques de scurit, surveillance et analyse des vnements de scurit, validation et analyse des menaces

Systmes scuriss de bout en bout Dploiement souple Services de rseau scuriss Service d'identit

Protection des ordinateurs de bureau, des serveurs et des rseaux Serveurs de scurit ddis Logiciel de scurit

Commutateurs

Routeurs
Refus d'accs au rseau

VPN / SSL

Pare-feu applicatif

SDI / SPI

Comportement

Collaboration transparente pour les niveaux de confiance et les identits avec les partenaires

Lorsquelles savent que leur rseau est protg, les entreprises comme les personnes sont plus libres de profiter des avantages nombreux (et en constante augmentation) des communications IP. Avec une meilleure scurit, les utilisateurs du rseau ont plus rapidement et plus facilement accs aux applications et aux services. Une telle libert est source de gains de productivit et resserre en mme temps les relations avec les clients et les partenaires. Toutefois, le plus important de tous les biens que nous apporte une scurit plus efficace, cest la tranquillit desprit.

Cisco Systems, Inc. Tous les contenus sont protgs par Copyright 2005, Cisco Systems, Inc. Tous droits rservs. Avertissements importants et dclaration de confidentialit. Page 6 de 7

Sige social Mondial Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tl. : 408 526-4000 800 553 NETS (6387) Fax : 408 526-4100

Sige social France Cisco Systems France 11 rue Camilles Desmoulins 92782 Issy Les Moulineaux Cdex 9 France www.cisco.fr Tl. : 33 1 58 04 6000 Fax : 33 1 58 04 6100

Sige social Amrique Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tl. : 408 526-7660 Fax : 408 527-0883

Sige social Asie Pacifique Cisco Systems, Inc. Capital Tower 168 Robinson Road #22-01 to #29-01 Singapour 068912 www.cisco.com Tl. : +65 317 7777 Fax : +65 317 7799

Cisco Systems possde plus de 200 bureaux dans les pays et les rgions suivantes. Vous trouverez les adresses, les numros de tlphone et de tlcopie ladresse suivante :

www.cisco.com/go/offices
Afrique du Sud Allemagne Arabie saoudite Argentine Australie Autriche Belgique Brsil Bulgarie Canada Chili Colombie Core Costa Rica Croatie Danemark Duba, Emirats arabes unis Ecosse Espagne Etats-Unis Finlande France Grce Hong Kong SAR Hongrie Inde Indonsie Irlande Isral Italie Japon Luxembourg Malaisie Mexique Nouvelle Zlande Norvge Pays-Bas Prou Philippines Pologne Portugal Porto Rico Rpublique tchque Roumanie Royaume-Uni Rpublique populaire de Chine Russie Singapour Slovaquie Slovnie Sude Suisse Taiwan Thalande Turquie Ukraine Venezuela Vietnam Zimbabwe
Copyright 2004, Cisco Systems, Inc. Tous droits rservs. CCIP, le logo Cisco Arrow, la marque Cisco Powered Network, le logo Cisco Systems Verified, Cisco Unity, Follow Me Browsing, FormShare, iQ Breakthrough, iQ Expertise, iQ FastTrack, le logo iQ, iQ Net Readiness Scorecard, Networking Academy, ScriptShare, SMARTnet, TransPath et Voice LAN sont des marques commerciales de Cisco Systems, Inc.; Changing the Way We Work, Live, Play, and Learn, Discover All Thats Possible, The Fastest Way to Increase Your Internet Quotient et iQuick Study sont des marques de service de Cisco Systems, Inc.; et Aironet, ASIST, BPX, Catalyst, CCDA, CCDP, CCIE, CCNA, CCNP, Cisco, le logo Cisco Certified Internetwork Expert, Cisco IOS, le logo Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, le logo Cisco Systems, Empowering the Internet Generation, Enterprise/Solver, EtherChannel, EtherSwitch, Fast Step, GigaStack, Internet Quotient, IOS, IP/TV, LightStream, MGX, MICA, le logo Networkers, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing, RateMUX, Registrar, SlideCast, StrataView Plus, Stratm, SwitchProbe, TeleRouter et VCO sont des marques dposes de Cisco Systems, Inc. ou de ses filiales aux Etats-Unis et dans certains autres pays. Toutes les autres marques commerciales mentionnes dans ce document ou sur le site Web appartiennent leurs propritaires respectifs. Lutilisation du mot partenaire ne traduit pas une relation de partenariat dentreprises entre Cisco et toute autre socit. (0303R) XXXXXXXXX