Guide de renforcement de Cisco Firepower 4100/9300 FXOS
Langage exempt de préjugés
Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
À propos de la traduction
Cisco peut fournir des traductions du présent contenu dans la langue locale pour certains endroits. Veuillez noter que des traductions sont fournies à titre informatif seulement et, en cas d’incohérence, la version anglaise du présent contenu prévaudra.
Ce document fournit des informations pour vous aider à renforcer votre système d’exploitation extensible (FXOS) Cisco Firepower
sur les périphériques de la plateforme 4100 et 9300, ce qui augmente la sécurité globale de votre réseau. Pour obtenir des
informations sur le renforcement d’autres composants de votre déploiement Firepower, consultez les documents suivants :
Les trois plans fonctionnels d’un réseau (les plans de gestion, de contrôle et de données) fournissent chacun une fonctionnalité
différente qui doit être protégée.
Plan de gestion
Le plan de gestion contient le groupe logique de tout le trafic qui prend en charge les fonctions de provisionnement, de maintenance
et de surveillance pour Cisco FXOS. Le trafic dans ce groupe comprend HTTP/HTTPS, SSH, FTP, Protocole SNMP (Simple Network
Management Protocol), Syslog, TACACS+, RADIUS (Remote Authentication Dial-in User Service) et DNS. Le trafic du plan de gestion
est toujours destiné au Cisco FXOS local.
Plan de commande
Le plan de commande contient le groupe logique de tous les protocoles de commutation, de signalisation, d’état de liaison
et autres protocoles de contrôle utilisés pour créer et maintenir l’état du réseau et des interfaces telles que le protocole
LLDP (Link Layer Discovery Protocol) et le protocole de contrôle d’agrégation de liaison. (LACP). Le trafic du plan de commande
est toujours destiné au périphérique Cisco FXOS local.
Plan de données
Le plan de données contient le groupe logique de trafic d’applications client généré par les hôtes, les clients, les serveurs
et les applications qui proviennent d’autres périphériques similaires pris en charge par le réseau et en sont destinés.
Ce document est structuré en trois sections :
Opérations réseau sécurisées
Renforcement du plan de gestion
Gestion des utilisateurs
Bien que la plus grande partie de ce document soit dédiée à la configuration sécurisée d’un périphérique Cisco FXOS, les configurations
ne sécurisent pas complètement un réseau. Les procédures opérationnelles utilisées sur le réseau, ainsi que les personnes
qui gèrent le réseau, contribuent aussi à la sécurité que la configuration des périphériques sous-jacents. Lorsque cela est
possible et approprié, ce document contient des recommandations qui, mises en œuvre, permettent de sécuriser un déploiement
Cisco FXOS.
Conformité des certifications de sécurité
Prenez en note que votre organisation peut être tenue de n’utiliser que des équipements et des logiciels conformes aux normes
de sécurité établies par le Département de la défense des États-Unis ou d’autres organismes de certification gouvernementaux.
Lorsqu’il est configuré conformément aux documents d’orientation propres à la certification, le système Firepower prend en
charge la conformité aux normes de certification suivantes :
Critères communs (CC) : norme mondiale établie par l’accord international de reconnaissance des critères communs, définissant
des exigences pour les produits de sécurité.
Liste des produits approuvés par le réseau d’information du ministère de la Défense (DoDIN APL) : liste de produits répondant
aux exigences de sécurité établies par la Defense Information Systems Agency (DISA) des États-Unis. REMARQUE : Le gouvernement
américain a changé le nom de la liste des produits approuvés pour les capacités unifiées (UCAPL) en APL DODIN. Les références
à l’UCAPL dans la documentation du Firepower et dans l’interface Web du Firepower Management Center peuvent être interprétées
comme des références à l’APL du DoDIN.
Normes fédérales de traitement de l’information (FIPS) 140 : spécification des exigences pour les modules de chiffrement.
Les documents d’orientation sur la certification sont disponibles séparément une fois que les certifications des produits
sont terminées; la publication de ce guide de renforcement ne garantit pas l’achèvement des certifications de ces produits.
Commentaires