Zero-Trust en mode macro-segmentation chez Arista
Avec MSS-Group, un logiciel qui permet de créer des groupes de sécurité logiquement assignés, Arista étend son service Macro-Segmentation Service (MSS).
L'équipementier Arista étend son logiciel de sécurité pour permettre aux clients de contrôler l'accès au réseau et la communication entre les groupes autorisés, depuis le datacenter jusqu'au cloud. Le logiciel Macro-Segmentation Service (MSS) Group vient enrichir la famille de logiciels de sécurité basée sur la macro-segmentation d'Arista, laquelle comprend actuellement le pare-feu MSS Firewall qui sert à définir des politiques de sécurité sur les réseaux des clients, des datacenters et des campus et le logiciel MSS Host, plus axé sur les politiques de sécurité des datacenters.
Le logiciel MSS fonctionne avec le système d'exploitation Extensible Operating System (EOS) d'Arista et son logiciel de gestion global CloudVision pour fournir une visibilité, une orchestration, un approvisionnement et une télémétrie à l'échelle du réseau aussi bien au niveau du datacenter que du campus. Les partenaires réseau d'Arista, en particulier VMware, Microsoft et Red Hat d'IBM, peuvent utiliser les informations réseau de CloudVision. Comme l'a expliqué Jeff Raymond, vice-président de la gestion des produits et des services d'Arista EOS, « le logiciel MSS-Group autorise l'accès en fonction de groupes logiques et non en fonction d'approches traditionnelles basées sur des interfaces, des sous-réseaux ou des ports physiques ». Ajoutant que « contrairement aux produits propriétaires, l'architecture de segmentation du logiciel MSS-Group ne repose pas sur des balises ou des protocoles Ethernet propriétaires pour fonctionner ». Cela signifie qu'il est possible de mélanger et d'apparier les commutateurs leaf et spine en amont et en aval avec ceux de plusieurs fournisseurs. « Les commutateurs MSS-Group d'Arista sont des commutateurs sans agent et peuvent être déployés du client, au campus et au cloud à l'échelle du réseau, le tout étant orchestré via CloudVision », a déclaré Arista.
Collaboration entre Arista et Forescout
En plus du lancement de ce produit, Arista et Forescout ont annoncé l'intégration de Forescout eyeSegment à Arista CloudVision. L'objectif de cette intégration, qui a demandé un an de travail de développement aux deux fournisseurs, était de rationaliser la conception et la gestion des politiques et de permettre aux clients d'utiliser le contexte en temps réel du dispositif d'eyeSegment pour créer, gérer et contrôler facilement des politiques de segmentation basées sur des groupes. Selon Forescout, les informations sur les politiques eyeSegment prêtes à mettre en production sont ensuite partagées avec CloudVision pour appliquer de manière cohérente les règles sur plusieurs domaines du réseau via l'architecture MSS-Group. « Les entreprises peuvent utiliser Forescout eyeSegment pour appliquer automatiquement un contexte en temps réel afin d'associer chaque appareil connecté à son groupe de segmentation de sécurité pertinent, concevoir et surveiller facilement des politiques basées sur des groupes et communiquer les politiques de segmentation appropriées à CloudVision. « CloudVision est alors responsable de l'orchestration dynamique de la politique requise au niveau des commutateurs Arista pour la mise en application », a déclaré Arista.
Cette demande de sécurité accrue résulte de la croissance des services SaaS et la nécessité de sécuriser l'accès à ces services, mais aussi de la prolifération des dispositifs IoT. « Dans ce monde où l'IoT et mis en réseau, une caméra ne devrait communiquer qu'avec l'enregistreur numérique et l'administrateur chargé de la sécurité. « Les administrateurs chargés de la sécurité et du réseau doivent pouvoir facilement définir, classer et regrouper des segments pour chaque type d'usage et d'utilisateurs, indépendamment de l'adressage IP et des autres protocoles réseau », a écrit Jayshree Ullal, CEO d'Arista, dans un blog à propos de l'annonce du logiciel MSS-Group.
Zero Trust avec détection et réponse assistées par IA
Les produits MSS d'Arista sont la clé pour favoriser le développement d'une architecture Zero Trust pour les entreprises. Comme l'ont déclaré les dirigeants d'Arista, cette dernière est basée sur le framework de confiance zéro de l'agence américaine National Institute of Standards and Technology (NIST), laquelle stipule qu'il ne faut faire confiance à aucun utilisateur ou appareil par défaut. « La confiance zéro suppose qu'aucune confiance implicite n'est accordée aux actifs ou aux comptes d'utilisateurs sur la seule base de leur emplacement physique ou réseau (autrement dit les réseaux locaux par rapport à l'internet) ou sur la base de la propriété des actifs (appartenant à l'entreprise ou personnels). L'authentification et l'autorisation (tant du sujet que du dispositif) sont des fonctions discrètes effectuées avant l'établissement d'une session vers une ressource d'entreprise », stipule l'agence.
Concenant la sécurité Zero Trust d'Arista, celle-ci permet à la fois la segmentation multi-domaines du réseau, la connaissance de la situation - ce qui est lié à quoi - la surveillance continue du comportement, et la détection et la réponse du réseau par l'IA, domaine où interviennent Forescout et la plateforme Awake d'Arista. Arista a acheté Awake Security en 2020 pour mettre la main sur son système de détection et de réponse réseau basé sur l'IA. « Nous devons mettre fin à la confiance implicite associée à l'architecture de réseau traditionnelle et construire à la place des réseaux sécurisés, Zero Trust, qui supposent que les appareils n'ont accès qu'aux ressources dont ils ont besoin et que, dès qu'un appareil se trouve sur le réseau, il est surveillé et détecté en permanence pour repérer toute malveillance », a encore déclaré Jayshree Ullal, le CEO d'Arista. Les fonctions MSS Firewall et MSS Host sont fournies avec Arista CloudVision. Le support du logiciel MSS-Group démarrera ses essais au cours du premier trimestre de cette année.