Les entreprises investissent énormément dans l'infrastructure de leur réseau et emploient des professionnels hautement qualifiés pour gérer et administrer cette infrastructure. Typiquement, quelques administrateurs gèrent une infrastructure importante. Les configurations des périphériques réseau sont cruciales du point de vue de la sécurité réseau. Les configurations contiennent des informations sensibles telles que les informations d'accès, les paramètres SNMP, ACL, etc… Les besoins des entreprises sont en constante évolution et les administrateurs sont tenus de répondre à ces besoins souvent en changeant les configurations des périphériques réseau, ce qui est une tâche délicate et chronophage. Cela exige des connaissances précises, une familiarité avec tous les types d'appareils de différents fournisseurs et d’avoir conscience de l'impact des changements ainsi que de la précision et de l’exactitude.
Malheureusement, la plupart des entreprises - grandes et petites, se basent sur des processus manuels pour la gestion des configurations réseau. Les opérations manuelles pour effectuer les changements de configuration s’accompagnent d’un risque d'erreurs qui peut entraîner une indisponibilité du réseau. En outre, une erreur banale dans une configuration peut avoir un effet dévastateur sur la sécurité du réseau en donnant des opportunités aux pirates et aux utilisateurs malveillants. Lorsque le nombre de dispositifs augmente, les administrateurs ont du mal à répondre aux priorités de l'entreprise qui nécessitent des changements de configurations plus fréquents et donc un risque d’erreur plus élevé.
Imaginons quelques scenarios concrets pour illustrer à quel point les processus manuels pour gérer les changements de configuration réseau sont risqués pour la sécurité de votre réseau d’entreprise :
Failles dans les paramètres de sécurité
Supposons qu'un service de votre entreprise demande un assouplissement temporaire de la liste de contrôle d'accès (ACL) d'un routeur actif afin de satisfaire les exigences d'une affaire urgente. Comment gérez-vous ce cas ?
Normalement, dans la plupart des entreprises, ces demandes sont immédiatement acceptées et le changement dans l'ACL est effectué. Mais, en raison de l'absence de processus, le changement/assouplissement reste en place, même après que l’affaire soit réglée. Cet assouplissement sera oublié et restera à jamais invitant les pirates à pénétrer illégalement sur le réseau.
Si des assouplissements dans les paramètres de sécurité comme dans l’ACL, la communauté SNMP et les protocoles de routage ne sont pas traités correctement, les intrus peuvent facilement accéder et exposer des données confidentielles, détourner le trafic vers une destination frauduleuse et même saboter votre réseau.
Si vous gérez un grand nombre de périphériques réseau en appliquant un processus manuel pour prendre en charge les contrôles de sécurité dans les configurations des périphériques, cela sera fastidieux et représentera une source d’erreurs.
Répondre rapidement aux alertes de sécurité
Imaginons le scénario suivant :
- L’équipe sécurité des produits Cisco (PSIRT) publie une alerte de sécurité importante
- Cette dernière conseille de mettre à jour le firmware des routeurs
- Ce problème de sécurité est sérieux, urgent et ne peut être ignoré
- Il est alors nécessaire de mettre à jour immédiatement plus de 1500 routeurs
Les administrateurs réseau travaillant sur ce genre de réseau impliquant un grand nombre de périphériques sont souvent confrontés à ce genre de situation.
Une gestion efficace des risques est un aspect important de la sécurité réseau. Mais, le processus manuel pour réagir aux alertes de sécurité n'est pas seulement chronophage, mais aussi source d'erreurs. Dans l'exemple ci-dessus, la mise à niveau du firmware sur 1500 appareils, même une équipe importante d'administrateurs réseau, aura besoin de plusieurs jours pour accomplir la tâche manuellement, période au cours de laquelle le réseau reste largement vulnérable aux attaques.
Contrôles d’Accès
Dans les environnements de travail comptant de nombreux collaborateurs, les administrateurs réseau doivent souvent accéder et déployer des modifications de configuration aux dispositifs en activité. Cela nécessite :
- Une bonne collaboration entre administrateurs
- De la cohérence dans le déploiement des changements de configuration
Comme indiqué plus haut, la plupart des entreprises s'appuient sur des processus manuels pour la gestion des configurations réseau. Cela signifie que, tous les administrateurs ont accès à tous les dispositifs et déploient les modifications de configuration à leur manière et selon leurs préférences. En l'absence de collaboration et de cohérence, une approche manuelle pour déployer les modifications de configuration peut conduire à des failles de sécurité.
En outre, permettre à tous les administrateurs de déployer des modifications de configuration vers des équipements actifs serait désastreux. Surtout, quand quelqu'un qui n'est pas familier avec les diverses syntaxes tente d'effectuer des changements, il est toujours plus prudent de soumettre ces changements à un cadre supérieur pour examen et approbation. En d'autres termes, les contrôles role-based sont essentiels pour permettre aux administrateurs d'effectuer des modifications. Dans le cas d’une approche manuelle, il n'existe aucun moyen de contrôler les accès et les approbations.
Gestion de la Fin de Vie
Quand un fabriquant de dispositifs annonce la fin de vie d’un de ses modèles, il est très important d'évaluer les risques potentiels liés à l'utilisation de l'appareil.
- Pour les modèles en fin de vie (EOL), il se peut que le fabricant n’offre plus de support – votre routeur/switch peut alors connaître des problèmes. Vous souhaiteriez alors contacter le support mais le fabricant risque de ne pas pouvoir vous aider à cause de la fin du support.
- Le dispositif (disons un pare-feu) devient alors vulnérable et vous ne pouvez compter sur la publication d’un patch de la part du fabricant.
- Puis de nombreux autres problèmes peuvent survenir au fil du temps même si le périphérique fonctionne correctement.
Ainsi, les experts en gestion réseau préconisent toujours de remplacer les dispositifs ayant atteint le statut de fin de vie. De plus, les règlements IT qui mettent l'accent sur la sécurité réseau, incitent à ne pas utiliser de modèles obsolètes afin d'assurer la bonne santé du réseau.
Si un dispositif fonctionnant très bien est classé comme en étant en fin de vie par le distributeur, il serait prudent de le déconnecter et de le redéployer à des fins de développement ou de test.
Bien, il est donc très important de remplacer les modèles en fin de vie. Mais, quand vous avez beaucoup de dispositifs, comment voulez-vous suivre les détails de maintenance ? Comment savoir si un dispositif en particulier est en fin de vente, en fin de vie ou en fin de support ?
Politiques ciblées, Approche Automatisée – La Solution
La meilleure solution pour surmonter ces problèmes et assurer la sécurité du réseau est d'automatiser l'ensemble du cycle de vie de la gestion des configurations réseau. Les solutions de gestion des configurations et des changements réseau (NCCM) comme Network Configuration Manager de ManageEngine vous aident à mettre en place une politique ciblée et une approche automatisée qui permet de minimiser la plupart des risques énumérés ci-dessus. Les changements de configuration apportés aux périphériques doivent être surveillés en permanence de manière automatique pour garantir la sécurité du réseau.
Les administrateurs peuvent définir des politiques contenant des paramètres ou des normes de sécurité pour la configuration des périphériques. Les normes de sécurité permettent généralement de définir les paramètres qui sont autorisés ou non, les paramètres de filtrage, les protocoles et les autres contrôles essentiels, la solution NCCM se chargeant de vérifier la conformité des configurations par rapport aux politiques mises en place. Toute violation est alors signalée.
Les solutions NCCM aident également à déployer des mises à jour de sécurité vers de nombreux dispositifs de manière entièrement automatisée sans intervention manuelle.
Les statuts de fin de vie des dispositifs peuvent être suivis automatiquement et vous vous assurez ainsi que vos appareils sont toujours à jour. L’accès aux configurations peut être contrôlé en fonction du rôle de chacun et le système d'approbation peut être renforcé pour tous changements, cela évite les modifications non autorisées.
En plus d'aider à minimiser les risques, à éliminer les erreurs manuelles et à renforcer la sécurité, l'approche automatisée permet d’épargner de l’argent, du temps et des ressources permettant ainsi aux administrateurs de se concentrer sur d'autres aspects productifs de la gestion réseau.
Vous souhaitez gérer vos configurations réseaux de manière sécurisée et automatisée alors Network Configuration Manager est la solution qu'il vous faut !