Dans un précédent article, je montrais comment Catalyst Center pouvait permettre de garantir la compliance (ou conformité) des configurations. Je propose ici de revenir plus généralement sur les fonctions de compliance présentes nativement sur Catalyst Center.
J’observe d’une manière générale que la compliance est trop souvent vue sous un angle de configuration. Beaucoup cherchent à s’assurer que les configurations désirées sont bien présentes et le sujet s’arrête là. Et pourtant il y a tant d’autres questions à se poser:
- Est-ce que l’équipement est dans la bonne version logicielle?
- Est-ce que des vulnérabilités sont présentes sur le logiciel utilisé?
- Est-ce que l’équipement et son logiciel sont encore supportés?
- Est-ce que la configuration a été sauvegardée?
- …
On comprend bien que la notion de compliance est beaucoup plus globale que la seule vérification des configurations. En cas de cyberattaque, je ne suis pas certain qu’il sera possible de se défendre en disant “mes configurations étaient bonnes” si on tourne une version logicielle antédiluvienne présentant des vulnérabilités à des risques récents. Les équipements qui ne sont pas à jour sont souvent la voie royale pour les hackers en tout genre, le réseau ne fait pas exception ici.
C’est pour cette raison que l’approche de Catalyst Center sur la compliance est globale et automatique. Vous n’avez rien à faire: Catalyst Center vérifie automatiquement à 360° que l’état du réseau correspond à ce qui doit être attendu, tant sur les aspects configuration que logiciel, cycle de fin de vie…
L’état de la conformité (compliance) des équipements est directement intégré à l’inventaire, les équipements non conformes sont visibles à ce niveau.
Evidemment il est également possible de filtrer en un click pour n’afficher que les équipements non conformes.
Mais qu’est-ce qu’une non conformité? Regardons les détails des non-conformités détectées sur ce Catalyst 9300 en cliquant simplement sur le lien mis en évidence.
On peut voir ici 6 éléments de conformité vérifiés, tous mis en avant dans un bloc dédié. Je précise à nouveau qu’aucun paramétrage préalable n’a été nécessaire pour disposer de ces éléments. Le contrôle de conformité est natif dans Catalyst Center.
Statut EoX
Le premier bloc en haut à gauche montre que j’ai une légère alerte sur le statut EoX (End of Sales/Support). Ici mon commutateur et son logiciel sont conformes d’un point de vue EoX mais des modules ne le sont pas complètement. Et pour cause j’ai réutilisé des alimentations et modules d’uplink du Catalyst 3850 qui sont maintenant en fin de vente (encore un peu plus de 2 ans avant la fin de support)
Network Settings
Ici on va s’assurer que les paramètres réseau configurés dans Catalyst Center (DNS, DHCP, certificats, NTP, AAA…) sont bien configurés sur l’équipement. Après avoir un peu modifié quelques paramètres, Catalyst Center remonte des non-conformités. Il est possible de valider ces non-conformités (acknowledge) pour éviter d’avoir en permanence des erreurs si on les juge “normales”. Il est également possible de résoudre ces non-conformités directement depuis cette page.
Running versus Startup
Ici on va s’assurer que la configuration est bien archivée. Toute personne qui a déjà opéré un parc réseau en voit bien l’utilité… Il n’est malheureusement pas rare qu’un équipement perde sa configuration après un redémarrage provoqué par une mise à jour ou un incident électrique, uniquement car celle-ci n’était pas sauvegardée.
On peut voir ici les modifications de configuration et les potentiels moments pendant lesquels des écarts ont été détectés entre la running-config (configuration active) et la startup-config (configuration sauvegardée, chargée au démarrage de l’équipement) Il est possible de faire la sauvegarde (ou synchronisation) directement depuis Catalyst Center pour revenir en conformité.
Network profile – Configuration compliance
Ensuite vient le moment de vérifier la configuration dans le détail. Ici le fonctionnement est simple: on s’assure que les configurations poussées par Catalyst Center (depuis les templates CLI) sont bien présentes sur l’équipement et n’ont pas été modifiées. J’ai détaillé tout cela dans mon précédent article aussi je ne reviendrai pas sur les détails. Le plus important est de se rappeler qu’il n’y a rien à faire: Catalyst Center vérifie automatiquement que personne ne modifie ce qu’il a fait.
Ici on voit par exemple que la première ligne de mon ACL poussée par template a été modifiée. Je peux alors valider cette non conformité ou bien la réparer directement comme rappelé ici.
Version logicielle
Catalyst Center va vérifier que l’équipement tourne bien la version logicielle déclarée comme “Golden Image”. Dans le cas présent c’est bien le cas.
J’avais en effet défini dans la section Design de Catalyst Center que la version 17.15.2 était la golden image pour tous les Catalyst 9300.
Dans le cas où l’équipement ne serait pas à jour, il m’est alors possible de lancer un upgrade directement depuis Catalyst Center, avec toutes les vérifications d’usage en amont/aval.
Vulnérabilités – Critical Security Advisories
Cisco, comme tout développeur logiciel un peu sérieux, publie les vulnérabilités découvertes selon des process clairement définis. Il en va de même pour tout ce qui touche aux versions IOS-XE qui tournent sur les équipements réseau. Ici fort heureusement pas de vulnérabilités critiques. Vous noterez d’ailleurs que le menu de définition du logiciel “golden” précédent me permet déjà de voir s’il y a des vulnérabilités, afin de faire le bon choix en amont.
Un lien me permet d’accéder à toutes les failles de sécurité, leur niveau de criticité et leur potentielle présence sur le réseau. Je peux également définir des règles d’exclusion pour ne pas être alerté selon la configuration de l’équipement. Par exemple si vous n’utilisez pas BGP vous désirez probablement ne pas être alerté en cas de faille sur ce protocole.
La compliance au service des changements
Quoi de plus dangereux que de modifier quelques chose qui ne serait pas complètement sain? Avez-vous essayé de passer l’aspirateur dans une pièce qui ne serait pas rangée? Ou de repeindre un mur avant d’avoir refait les enduits? Lors de l’application d’un changement, Catalyst Center va vous alerter en amont si l’équipement n’est pas complètement conforme, pour vous permettre de faire le nettoyage en amont et sécuriser l’application de nouvelles configurations.
Mais encore?
Catalyst Center va automatiquement ajouter des blocs de conformité selon les services implémentés. Aussi si vous avez déployé une fabric SD-Access sur votre équipement, alors vous allez voir de nouveaux blocs de compliance automatiquement associés. C’est le cas par exemple pour l’équipement ci-dessous. On va vérifier non seulement que les configurations de fabric ne sont pas modifiées mais on va en plus s’assurer que vous n’avez pas déployé des configurations additionnelles qui mettraient à mal le fonctionnement de la fabric SD-Access.
D’autres services s’accompagnent aussi d’une vérification de conformité. C’est le cas par exemple de la télémétrie applicative avec CBAR (Cloud-Based Application Recognition) qui permet de booster les capacités DPI (Deep-Packet Inspection) des équipements réseau. Si j’active ce service de visibilité applicative, alors un nouveau bloc de conformité apparaît automatiquement.
Reporting
Il est possible de générer un tableau de bord périodiquement avec l’état de conformité des équipements, et de l’envoyer par exemple directement par email. Rien de mieux pour expliquer à votre chef que votre réseau est propre et bien tenu!
Conclusion
Automatique, simple, efficace. C’est ce que vous devez retenir de cette fonction de compliance intégrée à Catalyst Center. Je constate beaucoup d’intérêt sur ce sujet de conformité et souvent cela repose sur des développements complexes peu maintenus à jour. Catalyst Center change la donne. Et pour ceux qui ont des besoins très spécifiques n’hésitez pas à suivre l’actualité car de nouvelles fonctions avancées de compliance sont attendues dans le courant de l’année.
Un peu de lecture pour la suite:
- Article blog réseaux: Test des compliances de configuration
- Guide d’utilisation de la fonction compliance sur Catalyst Center 2.3.7
Authors
