Cisco Firepower Threat Defense y ASA. Opciones de Administración
Cisco Firepower Threat Defense y ASA. Existen varias formas de administración de los Firewalls de Cisco, compartiremos cada opción con sus bondades:
Debes recordar que los Firewalls de Cisco pueden utilizar 1 de 2 Sistemas Operativos (SO) disponibles, el más conocido es el ASA, debes elegir cuál utilizar basado en tus necesidades y requerimientos de seguridad.
- Firepower Threat Defense (FTD)
- Adaptive Security Appliances (ASA)
A continuación una tabla con algunos modelos que son compatibles, es necesario evaluar a detalle cuál SO seleccionar antes de comprarlos o actualizarlos. También existen las versiones virtuales de FTD y ASA, estos los puedes usar para proporcionar seguridad a servidores & apps que residen en un ambiente virtual como VMware.
| Modelo & Serie | ¿Compatible con FTD? | ¿Compatible con ASA? |
|---|---|---|
| Cisco Firepower 1000 | Si | Si |
| Cisco Firepower 2100 | Si | Si |
| Cisco Secure Firewall 3100 | Si | Si |
| Cisco Firepower 4100 | Si | Si |
| Cisco Firepower 9300 | Si | Si |
| ASAv (ASA Virtual) | No | Si |
| FTDv (FTD Virtual) | Si | No |
Administración de los Firewalls de Cisco
Basado en la versión de Software o Sistema Operativo (SO) del Firewall (FW) podrás decidir las herramientas que te ayuden a administrarlos.
1] Administración Local. Uno por Uno
Esta opción brinda administración uno a uno, si tienes, por ejemplo, 30 equipos Firewalls, deberás ingresar a cada uno cada vez que desees revisar analíticos o crear una nueva regla, etc.
Consideraciones:
- Administración desordenada para redes de muchos FWs. Los administradores tendrán que conocer a detalle la red, sus cambios, los componentes, inventario, etc.
- Lentitud y dificultad en la solución de problemas
- Podrías emplear este tipo de administración en redes pequeñas, no más de 3 FWs, puede ser más, pero se vuelve más complejo.
- Reportes con diversos formatos y sin alcance global de la red.
- No existe una herramienta central
Si tienes FWs ASA o FTD podrás seleccionar las siguientes herramientas de administración, local, porque está instalado y reside en el mismo Firewall.
| Tipo de SO | Herramienta de Administración Local con GUI |
|---|---|
| FTD | Firepower Device Management (FDM) |
| ASA | Adaptive Security Device Manager (ASDM) |
Considerando que los administras localmente, uno por uno, puedes tener diversos modelos de FTD o ASA, o tener todos ASA o todos FTD, dependerá mucho si tienes de los 2 basados en la experiencia de los administradores & ingenieros y funcionalidades:
2] Administración Centralizada con FMC
Con esta opción se logra consolidar toda la administración de los FWs desde una sola herramienta & sistema, esta se llama, Firepower Management Center (FMC).
FMC se considera una herramienta On-premises (en las instalaciones propias), el cliente deberá tener un lugar para su instalación en su Centro de Datos o MDF.
FMC puede ser Appliance o Virtual (FMCv). Ejemplos de modelos FMC appliance: FMC 1600, FMC 2600 y FMC 4600, ejemplo de modelo virtual: FMCv300. Si eliges uno virtual, considera tener los recursos (RAM, CPU, Disco, etc) para su instalación.
Consideraciones:
- Un solo punto de administración para todos los FWs, todo más organizado
- Despliegue de configuraciones masivas
- Actualizaciones de SO de más dispositivos FTD a la vez.
- Reportes personalizados y programados
- Análisis más precisos
- Solución de problemas más ágil
- Menos intervención manual
- Disponible solo para Firewalls con Sistema Operativo FTD (Cisco Firepower Threat Defense)
- La cantidad de equipos que puedes administrar depende del modelo seleccionado de FMC
Si tienes FWs FTD podrás seleccionar las siguientes herramientas de administración centralizada.
| Tipo de SO | Herramienta de Administración Central con GUI |
|---|---|
| FTD for Appliances | Firepower Management Center (FMC) o FMCv |
| FTD Virtual (FTDv) | Firepower Management Center (FMC) o FMCv |
| FTD for ISR | Firepower Management Center (FMC) o FMCv |
| ASA & ASAv | N/A. No compatible con FMC y FMCv |
3] Administración Centralizada con CDO
Esta tercera forma brinda una administración 100% desde cloud, sin necesidad de instalación de Hardware o agentes On-premises, esta plataforma se llama Cisco Defense Orchestrator (CDO).
CDO tiene la ventaja sobre las opciones anteriores (Local y FMC), en que desde CDO se pueden administrar Firewalls ASA, FTD y MX:
| Tipo de Equipo | ¿Compatible con CDO? |
|---|---|
| Firewalls con Sistema Operativo ASA, ambos, appliance y virtual | Si |
| Firewalls con Sistema Operativo FTD, ambos, appliance y virtual | Si |
| Firewalls Meraki MX | Si |
Consideraciones:
- Brinda templates para un diseño de políticas coherente
- Actualizaciones simplificadas del sistema operativo de los FWs
- CLI de CDO brinda a los usuarios la capacidad de ejecutar comandos CLI de forma masiva en muchos dispositivos a la vez.
- Auditoría de los cambios, registro de cambios para revisar qué cambio se realizó.
- Transición ASA-to-FTD, migre su entorno de ASA a Cisco Threat Defense (FTD)
- Gestión de entornos híbridos, administrar una combinación de firewalls que ejecutan el software ASA, FTD y Meraki MX.
- Versión en la nube de Firewall Management Center, integración opcional de FMC con CDO.
- CDO requiere una suscripción base para el tenant y una suscripción de licencia por dispositivo para el derecho de administración de dispositivos.
4] Conclusiones
¿Cuál herramienta GUI usarás?
