VPN Anyconnect, accès granulaire basé sur plusieurs groupes AD

Bonjour à tous !

L’entreprise pour laquelle je travaille a la configuration suivante :

• VPN ASA
• ISE
• plusieurs sous-réseaux (/26-/30)
• Azure AD
• Intégration entre ASA et Azure AD via le serveur NPS (MFA, AAA)

Chaque sous-réseau est associé à un groupe Azure AD via ISE (voir l’explication SGT ci-dessous).

L’entreprise souhaite que les utilisateurs d’Anyconnect ne puissent atteindre ces sous-réseaux que lorsqu’ils sont membres du groupe correspondant, de manière mixte et matching. Exemple :

Utilisateur 1 appartient aux groupes A et B = peut accéder aux sous-réseaux A et B
Utilisateur 2 appartient au groupe B = ne peut accéder qu’à B

(illustré de manière très similaire ici)

Configuration SGT : Dans ISE, nous associons chaque sous-réseau à son propre tag SGT, et chaque groupe AAD à son propre tag SGT. La règle sur l’ASA est donc basée sur les SGT (src/dst) plutôt que sur IP/objets de sous-réseau.

La grande limitation de cette approche est la façon dont l’ASA voit l’utilisateur d’Anyconnect : lorsque l’utilisateur se connecte, il appartient à un seul groupe AAD (SGT) à la fois. Cela ne permet pas la flexibilité de plusieurs groupes simultanés.

J’ai cherché une solution à ce besoin, et tout ce que j’ai trouvé est :

• mettre en œuvre des DAPs
• Politique d’autorisation multi-matches dans ISE (https://community.cisco.com/t5/network-access-control/can-ise-asa-anyconnect-support-multiple-ad-group-membership/m-p/3503688/highlight/true#M540280)
• meta-groupes contenant plusieurs destinations sgt/subnets en même temps - solution à essayer, mais peu apprécié par l’entreprise

Je crains que ces deux options ne soient pas scalables, car nous parlons de centaines de sous-réseaux/groupes AD et, par conséquent, de nombreux tags SGT.

Des idées ? Je suis prêt à revoir radicalement l’approche. Ma connaissance de l’ASA et de l’ISE n’est pas très approfondie, je suis sûr qu’il me manque certains éléments.

Merci !

Mise à jour : merci à tous pour les suggestions. Je vais simplifier les exigences. Une alternative serait d’utiliser des règles basées sur les groupes AD. Toujours, trop nombreux, mais c’est envisageable.

Le problème est qu’aucune solution ne pourra évoluer à des centaines de groupes AD.

ISE est probablement la meilleure option mais dans n’importe quelle configuration, vous aurez des centaines de politiques, cela prendra des mois à créer et sera un vrai cauchemar à maintenir.

Je sais qu’il est difficile de dire non quand la direction insiste, mais cela prendra des mois à mettre en œuvre et augmentera énormément votre charge de travail avec des demandes du type « Pourquoi je ne peux pas accéder à cette application ? », et vous devrez fouiller dans une liste de 1000 politiques pour trouver le problème.

Je vous conseillerais d’opter pour une politique VPN différente pour chaque département et d’affirmer que c’est la granularité maximale réaliste.

Bonne chance !