le 05-11-2019 06:38 AM - dernière modification le 08-11-2019 06:30 PM par Jimena Saez
Ci-dessous vous retrouverez les questions qui ont été répondues par nos experts durant le webcast.
Conduit par Fayçal Hadj, ce webcast explique comment s’affranchir des contraintes de débit et de latence que l’on trouve dans les infrastructures industrielles qui connectent avec les réseaux IoT. Cette vidéo inclut une démonstration.
Notre expert : Fayçal Hadj (présentateur)
Pour plus d'informations, visitez la section Général.
Cliquez sur les boutons pour accéder aux contenus proposés
Sujets abordés lors de la présentation : Edge computing, Fog Computing, Internet des choses, Internet of Things (IOT) et Réseaux Industriels
R : F.H. - Le Firewall ne suffira pas forcement surtout s'il est situé en sortie de site, parce les flux industriels ne remontent pas, en sortie de site, il va rester confiné dans le réseau industriel donc ce n'est pas un flux nord sud, mais vraiment un flux est ouest dans lequel les Firewalls ne sont pas toujours présents.
R : F.H. - Pas vraiment non plus car dans les réseaux industriels, les flux EST-OUEST ne passent pas par le FW utilisé entre réseau IT et OT.
R : F.H. - De plus en plus d’objets connectés, de plus en plus de données analysées localement, une convergence accrue sur IP malgré la diversité des technologies d’accès utilisées pour connecter les objets et donc de plus en plus de sécurisation nécessaire, de plus en plus d’automatismes pour faciliter le déploiement, et des nouveaux protocoles à prendre en compte dans l ensembles du réseau.
R : F.H. - Faire discuter les équipes IT et les équipes OT. Les attentes ne sont pas les mêmes c’est pourquoi, nous proposons l’Intent Networking. Les équipes OT affichent leur intention de donner accès à une machine à l’extérieur pour une télé maintenance par une société tierce. L’IT prépare des politiques de sécurité qui doivent s’appliquer une fois l’intention de l’opérateur déclarée.
R : F.H. - Protéger les flux EST-OUEST, améliorer la visibilité du réseau industriel et rendre le plus dynamique possible la mise en œuvre des politiques de sécurité définit par l’IT et qui correspondent aux usages et aux attentes de l'OT.
R : F.H. - Développer une stratégie business basée sur la donnée.
R : F.H. - Je vous recommande la lecture de cet excellent du livre blanc : Cisco Encrypted Traffic Analytics
Sans dévoiler le contenu du livre blanc, on peut dire qu’en résumé que c’est basé sur une version améliorée de Netflow et la solution Cisco Stealthwatch
Cisco Stealthwatch uses NetFlow, proxy servers, endpoint telemetry, policy and access engines, and traffic segmentation as well as behavioral modeling and machine learning to establish baseline “normal” behavior for hosts and users across the enterprise. Stealthwatch can correlate traffic with global threat behaviors to automatically identify infected hosts, command-and-control communication, and suspicious traffic.
R : F.H. - Je ne suis pas sûr de comprendre la question mais, il est tout à fait possible de définir un périmètre fonctionnel du réseau industriel et dès qu’une machine communique avec une machine non identifiée dans le périmètre fonctionnel, une alerte est levée et provoque l’application automatique d’un politique de sécurité qui viendra bloquer la communication non-autorisée.
R : F.H. - Ce sont 2 protocoles différents et utilisés pour des choses assez différentes, mais globalement pour la communication de capteurs, MQTT est certainement le plus utilisé à ce jour.
R : F.H. - N’étant pas un spécialiste d ISE, je ne vais pas m’aventurer dans une réponse détaillée mais j’ai cru voir qu’il y a une librairie Control Profile qui peut être importée dans ISE. Une fois importée, vous pourrez sélectionner une liste de système d’automatisme et de contrôle.
Une autre option est de regarder ce qui peut être fait avec MUD (Manufacturer Usage Descriptions)
https://developer.cisco.com/docs/mud/#!what-is-mud
R : F.H. - Je vous avoue ne pas trop faire le lien entre Cisco Jasper qui permet de gérer des flottes de carte SIM et la gestion de certificats …vous vouliez surement parler de PKI
Il y a plusieurs options techniques possibles
R : F.H. - Pour les certificats self-signés dans les produits Cisco , les certificats SUDI utilisent une signature PKCS#1 v1.5
Exemple de déchiffrage d’un certificat SUDI d’un de mes routers Cisco industriels IR1101 avec une commande openssl
FHADJ-M-546P:~ fhadj$ openssl x509 -in sudicert.pem -subject -noout
subject= /serialNumber=PID:IR1101-K9 SN:FCW222500H7/O=Cisco/OU=ACT-2 Lite SUDI/CN=IR1101-K9
FHADJ-M-546P:~ fhadj$
La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.
Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français