Sécurité et IA renforcées dans Cisco SD-WAN

Cisco SD-WAN 26.1.1 intègre des services de protection du réseau et une meilleure prise en compte de l'IA.

La dernière version 26.1.1 du logiciel SD-WAN de Cisco s’enrichit de nombreuses fonctionnalités qui renforcent la sécurité et le contrôle de l’IA. Par exemple, les entreprises pourront définir des politiques de sécurité une seule fois et les appliquer de manière cohérente sur l'ensemble du réseau, obtenir une visibilité de bout en bout et passer d'un WAN traditionnel à un fabric haute performance prête pour l'IA, tout cela sans nécessiter de refonte majeure de l'architecture, comme l’a écrit Sunakshi Tickoo, responsable marketing produit chez Cisco pour les réseaux d'entreprise et le cloud, dans un article de blog consacré à cette mise à jour. Ces améliorations de sécurité font partie du programme Resilient Infrastructure de l’équipementier annoncé en novembre dernier, dans lequel l’entreprise expliquait qu’elle allait renforcer la sécurité des réseaux en augmentant les protections par défaut, en supprimant les fonctionnalités héritées non sécurisées et en introduisant de nouvelles capacités réduisant la surface d'attaque et assurant une meilleure détection et une meilleure réponse aux menaces dans plusieurs gammes de produits phares.

« Dans ce cas précis, le programme SD-WAN permet de remédier aux vulnérabilités des configurations CLI et UI afin de protéger le plan de contrôle contre les accès non autorisés et l’escalade de privilèges », a expliqué Mme Tickoo. « Grâce à ces fonctionnalités de conseil de sécurité améliorées, les entreprises bénéficient d’une vue unique et centralisée via le tableau de bord Insecure Configurations pour identifier les configurations non sécurisées ou obsolètes au sein de leur fabric SD-WAN, évaluer en temps réel la posture de fiabilité des appareils et prendre des mesures guidées pour corriger les vulnérabilités », a ajouté Mme Tickoo.

Une mise à jour au pas de charge

Dans les notes de mise à jour du logiciel SD-WAN, Cisco indique les modifications apportées aux commandes non sécurisées ou obsolètes comme suit :

- Transport de ligne : sécurisation des méthodes d’accès à distance.

- Configuration du serveur de périphériques : renforcement des paramètres côté serveur.

- Protocoles de transfert de fichiers : transition vers des méthodes de transfert chiffrées.

- SNMP : améliorations visant à sécuriser le trafic de gestion.

- Mots de passe : renforcement de l’authentification et de la gestion des identifiants.

Selon le fournisseur, des messages d’erreur s’afficheront pour toutes les configurations non sécurisées détectées lors du démarrage ou de la mise à niveau d’un appareil. « Dans la version correspondante de Cisco IOS XE 26.1.1, toutes les commandes CLI non sécurisées sont bloquées par défaut afin de renforcer l’infrastructure réseau de l’entreprise. Si son environnement nécessite l’utilisation d’une commande héritée, elle doit activer la commande « system mode insecure » en mode de configuration globale », a précisé la firme. « En termes simples, nous rendons extrêmement évident le moment où nos clients configurent des fonctionnalités non sécurisées qui introduisent de nouveaux risques inutiles dans leurs réseaux », a déclaré Anthony Grieco, vice-président senior et directeur de la sécurité et de la confiance chez Cisco, dans un article de blog publié lors du lancement de cette initiative. « Dans un premier temps, les clients recevront des avertissements de sécurité renforcés leur recommandant de cesser d’utiliser toute fonctionnalité non sécurisée. Dans les versions suivantes, ces fonctionnalités seront désactivées par défaut ou nécessiteront des étapes supplémentaires pour pouvoir être configurées. À terme, les options non sécurisées seront entièrement supprimées. »

TLS mieux supporté

Une autre fonctionnalité du portefeuille de logiciels SD-WAN concerne la possibilité, depuis les sites Meraki SD-WAN, de définir des politiques de pare-feu une seule fois au niveau de l’entreprise et de les appliquer partout, au lieu de configurer chaque site individuellement, selon Cisco. « La gestion des politiques de pare-feu réseau par réseau n’est pas évolutive pour les entreprises distribuées. Grâce aux politiques de groupe à l’échelle de l’entreprise, les équipes peuvent définir des politiques réutilisables une seule fois et les appliquer de manière cohérente dans toute l’organisation », a indiqué Mme Tickoo. « C’est une approche plus centralisée et plus flexible de la gestion des politiques, qui réduit les coûts opérationnels tout en garantissant la cohérence entre les environnements. »

Le logiciel prend également en charge des capacités améliorées de déchiffrement TLS (Transport Layer Security). « La majeure partie du trafic Internet étant désormais cryptée, le décryptage TLS joue un rôle essentiel dans la détection des menaces. Dans le même temps, l'inspection ne doit pas se faire au détriment des performances, et des plateformes telles que le routeur SD-WAN Catalyst 8375-G2 de Cisco destiné aux grandes succursales d'entreprise offrent un débit pouvant atteindre 1,6 Gbit/s sur un trafic 100 % HTTPS, ce qui permet aux équipes d'obtenir d'excellents résultats en matière de sécurité sans introduire de goulots d'étranglement au niveau des performances », a souligné Mme Tickoo.

Les charges de travail IA optimisées

Alors que de plus en plus d’entreprises déploient des applications d’IA, Cisco a annoncé qu’elle améliorait le logiciel SD-WAN Catalyst afin de mieux aider ses clients à prendre en charge et à gérer le trafic IA. Grâce à ces améliorations, les clients peuvent automatiquement identifier et classer le trafic des applications basées sur l’IA dans les environnements cloud, périphériques et hybrides, selon Cisco. « Grâce à cette visibilité, les entreprises peuvent appliquer une approche intent-based et faire la distinction entre les charges de travail IA critiques pour l’entreprise et les utilisations non critiques, puis appliquer des politiques qui optimisent les performances et renforcent la gouvernance », a fait valoir Mme Tickoo. « La sécurité est intégrée, avec un modèle Zero Trust appliqué directement au trafic IA et la possibilité de rediriger le trafic vers Cisco Secure Access pour une inspection plus approfondie si nécessaire », a-t-elle ajouté. « Il en résulte un réseau étendu (WAN) qui non seulement achemine le trafic IA, mais l'optimise et le sécurise en continu à mesure que l'utilisation augmente. »

Cisco a également amélioré IA Assistant, son assistant en langage naturel intégré au logiciel SD-WAN, afin de mieux gérer le dépannage, surveiller les performances du réseau, effectuer des recherches dans la documentation et gérer les tickets d'assistance du Centre d'assistance technique (Technical Assistant Center, TAC) à partir d'un seul outil. « L'objectif est de mieux intégrer l'assistant IA pour faciliter le dépannage opérationnel et la gestion des demandes d'assistance », a déclaré le fournisseur.