Déployer Threat Defense Virtual sur Megaport

Ce guide fournit des renseignements sur l’intégration de Cisco Secure Threat Defense Virtual à Megaport en déployant Threat Defense Virtual en tant que MVE (Megaport Virtual Edge).

Aperçu

Les données commerciales essentielles peuvent provenir de diverses sources allant de plusieurs nuages publics, nuages privés et serveurs internes à l'appareil d'un employé distant. La sécurisation de chaque entité de données individuellement est longue et difficile en raison du manque de conformité entre tous les points de données. Compte tenu de l’augmentation du nombre de cas d’utilisation, vous devez être en mesure de déployer le pare-feu rapidement et en toute sécurité à la périphérie de votre réseau de manière à offrir évolutivité et souplesse.

Megaport Virtual Edge (MVE) est un service de virtualisation de fonction de réseau (NFV) à la demande sur le réseau défini par logiciel (SDN) de Mégaport, avec une portée mondiale de plus de 280 systèmes de stockage en nuage et de 800 centres de données. MVE vous permet de sécuriser la connectivité de succursale à nuage, de nuage à nuage et de succursale à succursale sur des réseaux privés, des réseaux de couche 2 avec une bande passante dédiée et une faible latence. À partir du portail Megaport, vous pouvez déployer des passerelles SD-WAN, des routeurs virtuels, des passerelles de transit et des pare-feu virtuels à la périphérie du réseau.

À partir de la version 7.2.8 de Cisco Secure Firewall, vous pouvez déployer Threat Defense Virtual en tant que MVE. Cela vous permet de créer une chaîne de services de sécurité dans vos flux de travail hybrides et multinuages et de déployer une solution de point unique pour les appareils personnels, les centres de données et les zones de disponibilité les plus proche de vos plateformes de nuage, comme AWS, Azure et GCP. Cette intégration réduit le transit de données sur des réseaux potentiellement non sécurisés et vous permet de mettre en œuvre de manière transparente votre solution de sécurité sans vous soucier des problèmes de robustesse et d’évolutivité.

Utilisez le portail Megaport pour déployer Threat Defense Virtual et connectez tous vos centres de données aux applications multinuages en un seul endroit. Tous les paquets de données sont acheminés à l’aide du réseau mondial privé de Megaport. Après le déploiement, Threat Defense Virtual peut être géré par le gestionnaire d’appareils Firewall sur boîte, le Cisco Firewall Management Center en nuage ou le Firewall Management Center sur site.

Illustration 1. Topologie des échantillons de haut niveau

Lignes directrices et limites relatives au déploiement de Threat Defense Virtual en tant que Megaport Virtual Edge

  • Les tailles de calcul MVE suivantes sont prises en charge :

    • 4/16 – 4 CPU, 16 Go de RAM

    • 8/32 – 8 CPU, 32 Go de RAM

    • 12/48 à 12 CPU, 48 Go de RAM

  • Un minimum de quatre et un maximum de cinq interfaces sont prises en charge.

  • La haute accessibilité (HA) n'est pas prise en charge. Pour en savoir plus, consultez la section sur la configuration de la haute accessibilité (et le basculement).

  • Pour le dépannage initial, si vous rencontrez des problèmes, consultez le journal de démarrage initial en utilisant la commande expert pour passer en mode expert virtuel Threat Defense, puis utilisez la commande cat firstboot.S96ovf-data.pl .

  • Utilisez l'interface de ligne de commande pour redémarrer l'instance virtuelle Threat Defense. Il n’y a pas d’option pour redémarrer l’instance virtuelle de Threat Defense à partir du portail Megaport.

  • Une interface ne peut pas être supprimée après le déploiement. Vous pouvez uniquement la désactiver.

  • Les adresses IPv6 du protocole DHCP ne sont pas prises en charge.

  • La mise en grappe n'est pas prise en charge.

Conditions préalables au déploiement de Threat Defense Virtual en tant que Megaport Virtual Edge

  • Vous devez avoir un compte sur le portail Megaport avec les autorisations appropriées pour créer un MVE. Consultez la section Créer un compte pour en savoir plus.

  • (Facultatif) Si nécessaire, vous pouvez choisir une licence Smart pour enregistrer votre pare-feu. Cliquez sur Cisco Software Licensing and Smart Accounts (licences logicielles Cisco et comptes Smart) pour en savoir plus.


    Remarque

    Si vous n’avez pas de licence, vous devez activer le mode d’évaluation sur votre Cisco Secure Firewall Management Center ou votre gestionnaire d’appareils.

Déployer Threat Defense Virtual en tant que Megaport Virtual Edge

Effectuez la procédure ci-dessous pour déployer Cisco Secure Firewall Threat Defense Virtual en tant que Megaport Virtual Edge.

Procédure

Étape 1

Ouvrez le portail Megaport et cliquez sur Services.

Étape 2

Cliquez sur Create MVE (créer MVE).

Étape 3

Choisissez l’emplalcement requis (MVE Location). Nous vous recommandons de choisir un emplacement géographiquement plus proche de votre cible finale.

Assurez-vous de noter la couleur de la zone de diversité de votre emplacement. Nous vous recommandons de déployer tous les autres connecteurs requis, expliqués plus loin dans la procédure, dans la même zone de diversité.

Étape 4

Cliquez sur Next (suivant).

Étape 5

Sous MVE Configuration (configuration MVE), dans la liste des fournisseurs, choisissez la version requise de Cisco Secure Firewall Threat Defense Virtual.

Remarque

 

Assurez-vous de choisir une version compatible avec le centre de gestion pare-feu que vous utiliserez. La version de votre Firewall Management Center doit être égale ou supérieure à la version de Cisco Threat Defense Virtual. Pour vérifier la version de votre FMC, consultez Verify Firepower Software Versions.

Étape 6

Entrez les renseignements sur les services Cisco Secure Firewall Threat Defense Virtual .

  1. Saisissez un nom pour votre pare-feu dans le champ MVE Name.

  2. Choisissez la taille, représentée au format CPU/RAM, dans la liste déroulante en fonction du débit nécessaire. Consultez la fiche technique de Cisco Secure Firewall Threat Defense Virtual pour en savoir plus.

  3. (Facultatif) Saisissez un identifiant à des fins de facturation dans le champ de référence du niveau de service (Service level reference).

  4. Saisissez un mot de passe admin pour le pare-feu dans le champ Admin Password.

  5. Si vous souhaitez utiliser le gestionnaire d'appareil intégré, cochez la case Manage Locally (gérer localement).

  6. Si vous souhaitez utiliser le centre de gestion (virtuel ou sur site), saisissez l’adresse IP ou le nom de domaine dans le champ FMC IP Address (adresse IP FMC).

  7. Saisissez une clé d’enregistrement FMC (FMC Registration Key) pour l’enregistrement de l’appareil. Cette clé est une chaîne alphanumérique secrète partagée (2 à 36 caractères). Seuls les caractères alphanumériques, le tiret (-), le trait de soulignement (_) et le point (.) sont autorisés.

  8. (Facultatif) Saisissez un ID NAT. Il s’agit d’une chaîne alphanumérique utilisée par le centre de gestion et le périphérique pendant le processus d’enregistrement si l’un des éléments ne spécifie pas d’adresse IP. Vous devez spécifier le même ID NAT sur le centre de gestion.

  9. Ajoutez et nommez toutes les interfaces virtuelles requises. Par défaut, Threat Defense Virtual a une interface de gestion, une interface de diagnostic et deux interfaces de données configurées. Cliquez sur +Add (ajouter) pour ajouter jusqu’à 5 vNIC à un MVE dans Megaport. Cela signifie que vous pouvez ajouter une interface de données supplémentaire si nécessaire.

    Remarque

     

    Si vous souhaitez augmenter ou diminuer le nombre de vNIC sur ce MVE après le déploiement, vous devez supprimer et recréer le MVE en entier. Vous ne pouvez pas ajouter ou supprimer des vNIC sur un MVE qui est déjà déployé.

  10. Choisissez la durée minimale requise en fonction de vos besoins en matière de sécurité et de votre crédit.

Étape 7

Cliquez sur Next (suivant).

Étape 8

Vérifiez tous les détails dans la fenêtre du résumé (Summary). Assurez-vous que les vNIC s’affichent correctement. Vous ne pouvez pas modifier les vNIC après le déploiement.

Étape 9

Cliquez sur Add MVE (ajouter).

Prochaine étape

Créer une connexion Internet avec Megaport

Créer une connexion Internet avec Megaport

Après l’ajout du MVE, vous verrez une fenêtre contextuelle proposant la création d’une connexion Megaport Internet. Nous vous recommandons de créer la connexion Internet Megaport pour votre MVE afin de connecter le Threat Defense Virtual déployé à votre centre de gestion ou d’utiliser le FDM intégré.

Procédure

Étape 1

Cliquez sur Create Megaport Internet (créer un Internet Megaport).

Vous pouvez également créer la connexion Internet Megaport plus tard en utilisant l’option Connections (connexions) sous Threat Defense Virtual et en sélectionnant Megaport Internet (Internet Megaport).

Étape 2

Choisissez la zone de diversité et le port cible. Nous vous recommandons de sélectionner la même région et la même couleur de zone de diversité que vous l’avez faite lors de la création de MVE.

Étape 3

Saisissez les détails de connexion requis.

  1. Saisissez un nom de connexion (Connection Name) pour cette connexion.

  2. Précisez la limite de débit (Rate Limit) que vous souhaitez appliquer à cette connexion. Le choix d’une vitesse plus élevée entraînera un coût plus élevé.

  3. L’état VXC (VXC State) définit l’état initial de la connexion. Par défaut, il est activé (Enabled). Laissez-le inchangé.

  4. A-End vNIC : Il s’agit de l’interface à laquelle une extrémité de Megaport Internet se terminera. Choisissez l'interface de gestion (vNIC-0) dans la liste déroulante.

  5. Par défaut, VLAN A-End préféré ( Preferred A-End VLAN) est défini sur Untag (non balisé). Vous pouvez le laisser tel qu’il est ou vous pouvez utiliser un identifiant VLAN personnalisé unique.

  6. Choisissez la durée minimale requise en fonction de vos besoins en matière de sécurité et de votre crédit.

Étape 4

Cliquez sur Next (suivant).

Étape 5

Vérifiez les détails dans le résumé de la connexion, puis cliquez sur Add VXC (ajouter VXC).

Étape 6

(Facultatif) Répétez les étapes 1 à 5 pour configurer l’accès Internet de l’interface externe.

Étape 7

Dans le volet gauche, cliquez sur Order, puis cliquez sur Order Now afin de procéder.

Remarque

 

Cisco Threat Defense Virtual peut prendre 10 à 20 minutes pour s’initialiser et démarrer.

Connecter Threat Defense Virtual au centre de gestion ou au gestionnaire d'appareil

Après le déploiement de Threat Defense Virtual, utilisez l’adresse IP publique du connecteur Internet Megaport pour vous inscrire à votre centre de gestion Cisco Secure Firewall Management Center ou pour accéder au gestionnaire d’appareil intégré Cisco Secure Firewall Device Manager.

Effectuez les étapes ci-dessous pour trouver l’adresse IP publique de votre connecteur.

Procédure

Étape 1

Dans le portail Megaport, cliquez sur l'onglet Services.

Étape 2

Recherchez le nom de votre instance Threat Defense Virtual dans la barre de filtre.

Étape 3

Cliquez sur l’icône en forme d’engrenage à côté du connecteur Internet Megaport sous votre instance Threat Defense Virtual.

Étape 4

Cliquez sur Details (détails) dans le menu supérieur.

Étape 5

Dans la page Connection Details (détails de connexion), vous verrez l’adresse IPv4 et IPv6 publique que vous pouvez utiliser pour connecter le Threat Defense Virtual au centre de gestion ou au gestionnaire d'appareil.

Connecter Threat Defense Virtual aux plateformes de nuage public

Pour sécuriser votre déploiement multinuage ou nuage hybride, configurez une connexion entre le nouveau déploiement Threat Defense Virtual et vos plateformes de nuage public. Vous pouvez le faire en créant un Virtual Cross Connect (VXC).

Exécutez les étapes ci-dessous pour créer un VXC.

Procédure

Étape 1

Dans le portail Megaport, cliquez sur l'onglet Services

Étape 2

Cliquez sur + Connection pour l’instance virtuelle de Threat Defense qui doit être connectée au nuage public.

Étape 3

Choisissez Cloud comme type de destination pour connecter votre architecture en nuage au Threat Defense Virtual à l’aide de la connexion sécurisée de Megaport.

Étape 4

Cliquez sur Next (suivant).

Étape 5

Choisissez le fournisseur de nuage public qui doit être connecté au Threat Defense Virtual et indiquez les renseignements requis.

Étape 6

Cliquez sur Next (suivant) et saisissez les informations de connexion (Connection Details) requises.

Configurer la haute accessibilité (basculement)

Cisco Secure Firewall Threat Defense Virtual prend en charge le basculement actif/veille, dans lequel un appareil est actif; c’est l’unité qui transmet le trafic. L’unité secondaire (en veille) ne transmet pas activement le trafic, mais synchronise la configuration et les autres renseignements d’état de l’unité active. Lors d’un basculement, l’unité active est remplacée par l’unité en veille, qui devient alors active.

Pour configurer la haute accessibilité sur MVE, déployez deux instances de Threat Defense Virtual identiques en tant que MVE. Pour comprendre les autres exigences matérielles et logicielles pour la configuration de la haute accessibilité dans Cisco Threat Defense Virtual, consultez l’information sur la haute accessibilité.

Après avoir configuré la haute accessibilité, créez un VXC privé entre les deux instances de Threat Defense Virtual. Cette connexion est requise pour que le lien de basculement fonctionne. Exécutez les étapes ci-dessous pour créer un VXC privé.

Procédure

Étape 1

Sous le Threat Defense Virtual principal, cliquez sur l’icône +Connection, puis cliquez sur le type de destination Private VXC.

Étape 2

Choisissez le Threat Defense Virtual secondaire dans la liste des ports de destination (Destination Port).

Étape 3

Saisissez les détails de connexion requis.

  1. Saisissez un nom de connexion (Connection Name) pour votre connexion.

  2. Précisez la limite de débit (Rate Limit) que vous souhaitez appliquer à cette connexion. Le choix d’une vitesse plus élevée entraînera un coût plus élevé.

  3. L’état VXC (VXC State) définit l’état initial de la connexion. Par défaut, il est activé (enabled). Laissez-le inchangé.

  4. Pour les cartes de réseau A-End vNIC et B-End vNIC, choisissez l’interface requise dans les instances de Threat Defense Virtual. Cette connexion entre ces deux interfaces agit comme une liaison de basculement.

  5. (Facultatif) Saisissez un ID VLAN (VLAN ID) unique pour votre topologie.

  6. Cliquez sur Next (suivant).

  7. Cliquez sur Add VXC pour l’ajouter.

  8. Finaliser la commande dans le volet de gauche.

Pour en savoir plus sur la configuration de la haute accessibilité sur Threat Defense Virtual avec le centre de gestion ou le gestionnaire d'appareil, consultez les guides suivants :