Cisco Meraki Adaptive Policy

Parmi les nouveautés annoncées récemment par Cisco Meraki, il y a Adaptive Policy, une fonction pas encore disponible qui sera d’abord proposée sur un modèle de switch haut de gamme, le MS390! Mais alors c’est quoi ?

Adaptive Policy utilise la technologie Cisco Security Group Tag (SGT) qui fait que sur le réseau, des tags numériques sont attribués aux profils utilisateurs, aux appareils, aux services et aux temps d’accès.

Ces tags peuvent notamment être attribués par un serveur RADIUS tel que Cisco ISE (Identity Services Engine).

L’exemple que prend Meraki est celui d’une équipe informatique qui crée une politique d’accès interdisant à une équipe de vente l’accès à une application dédiée aux roadmaps.

Un des commerciaux de l’équipe de vente se connecte sur le réseau. Le serveur Cisco ISE l’authentifie avec Active Directory et lui assigne le tag “4” (par exemple). Le switch MS390 va voir le tag 4 donné par le serveur ISE et l’appliquer à tous les paquets réseau de l’ordinateur du commercial. Si le commercial tente d’accéder au serveur hébergeant le logiciel de roadmaps, qui – dans l’exemple – n’autorise que les gens en tag 5, le switch interdira ce trafic.

Si le commercial change de groupe dans Active Directory, devenant par exemple membre de l’équipe “produit” il aura alors accès au serveur sans reconfigurer les switches du réseau. C’est une forme d’ACL (Access Control List) plus évoluée que par simple règle IP/port/VLAN.

Pour info Adaptive Policy n’est pas encore disponible à l’heure de cet article *et* nécessitera une licence particulière sur le switch MS390. Une démarche d’ailleurs un peu dommage car jusqu’à présent il n’y avait pas trop de types de licences différents pour les switches, le lancement du très haut de gamme MS390 vient compliquer ce schéma …