Pour tout un tas de mauvaises raisons il n'est pas très difficile de se faire tamponner iso27001/PCIDSS/etc. avec du matériel réseau hors d'âge, hors support... Après avec une conscience professionnelle une réponse possible c'est le dual sourcing interopérable pour pouvoir pallier rapidement à la disparition soudaine, la fin de vie non anticipée d'une gamme chez un constructeur ou encore les crises du petit Donald, les gros telcos aiment bien faire ça et je trouve ça assez sain. Une autre solution est d'exiger de ses fournisseurs d'être full-compliant avec les standards et de ne construire sont infra qu'avec des trucs full-standards (sur le papier pour du pur réseau ça pourrait marcher, mais j'ai vu des clients essayer de faire ça j'y crois plus trop hormis avec du bgp/l3vpn de base...) et clairement pour les non-grozop qui ont pas beaucoup de leverage, s'appuyer sur du soft avec accès aux sources c'est un bon élément de réponse pour la continuité de support en cas de défaillance du fournisseurs. Après ça n'est pas "simple" non plus ; entre les sources patchées et la machine en prod y'a quand même un peu de chemin (surtout sans support), mais si l'effort est consenti dès le début AMHA c'est un bon investissement.
Le mer. 1 juil. 2020 à 11:00, L-C FABRE <lc.fa...@gmail.com> a écrit : > > Hi, > > je risque le HS ou le fork mais c’est une réponse directe : > > Le routeur fait il parti du périmètre de sécurité d’une solution (hébergée) ? > J’aurai tendance à le considérer comme externe tout comme n’importe quel > device Internet. > Ton infra certifiée se réduisant à ce qui est derrière tes FW ou autre > solutions choisis pour justement définir ton domain de de > sécurité/responsabilité > > 27001 à voir mais PCIDSS/HDS/HIPAA se raporte à une implémentation, pas une > infrastructure. > Et puis on ne peut pas certifier le Net ;-) > > Attention : je ne dis pas que le routeur doit être une passoire, mais que > sont rôle se contonerai à router full speed, pas de dépioter les paquets. > Un peut de IP filter, RPKI bref que des sécu « routage » et c’est tout. > > Et du coup, le routeur n’a pas d’incidence sur ta certification car hors > périmètre. > > My 2 cents > > > Le 1 juil. 2020 à 09:52, Vincent Jardin <vjar...@free.fr> a écrit : > > > > Bonjour, > > > > Le 1 juillet 2020 06:03:38 Michel Py <mic...@arneill-py.sacramento.ca.us> a > > écrit : > > > >> Pierre et Nang, > >> > >> Question bête sur Nokia : au pif aiguisé, je ne demande pas de la science. > >> Considérant que je ne connais rien à Juniper (ce n'est pas vrai, mais pas > >> grand chose); à part Cisco, si je devais apprendre un nouveau routeur de > >> coeur, en 2020, qu'est ce que tu ferais à ma place ? apprendre Juniper, ou > >> apprendre Nokia ? Il y a des fois ou il faut penser à crouter, aussi. > >> J'essaie d'être poli, mais depuis que Nokia a disparu de la scène du > >> mobile, on se demande ce qu'ils vont devenir. J'ai enterré Borland, > >> Ashton-Tate, Novell, 3Com, Gateway, ALR, Packard-Bell (dieu merci), > >> Nortel, Bay Networks, Veritas, Cheyenne, Supercalc/CA, Avaya, NEC, > >> Symantec, et la liste est sans fin. > > > > Par curiosité, pour quelqu'un qui a beaucoup d'expérience, comment restes > > tu conforme aux contraintes de l'ISO 27001, HIPAA, HDS quand tu installes > > un système avec un OS propriétaire sans plus aucune mise à jour de sécurité > > après la disparition du fournisseur ? > > > > En 2020 ça devient important important de montrer que le routeur n'est pas > > un moulin à vent. > > > > Merci, > > Vincent > > > >> > >>> > > > > > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
