API publique de SMC
Nouvelle API REST publique
Vos solutions d'orchestration peuvent désormais communiquer avec SMC via une API REST standard. Vous pouvez réaliser les actions suivantes via l'API :
-
obtenir les informations de supervision des firewalls SNS rattachés à SMC,
-
exécuter des scripts sur les firewalls SNS rattachés à SMC pour effectuer tout type d'opérations.
L'utilisation de l'API publique est sécurisée par des clés API, générées par les administrateurs. Ces clés possèdent des droits en lecture/écriture ou bien lecture seule, ainsi qu'une période de validité paramétrable.
Toutes les actions effectuées via l'API publique sont consignées dans les logs d'audit.
Le super administrateur de SMC peut désactiver à tout moment l'API publique. Son accès est désactivé par défaut.
Pour faciliter l'utilisation de l'API, une documentation OpenAPI est fournie sur le site de la Documentation technique Stormshield et également directement dans SMC.
Configuration du réseau
Création et gestion des interfaces IPsec virtuelles (VTI)
Vous pouvez désormais créer et gérer des interfaces IPsec virtuelles dans SMC, depuis le nouvel onglet Interfaces IPsec (VTI) des paramètres d'un firewall SNS. Le firewall doit être en version 4.2.3 minimum. Ces interfaces peuvent ensuite être utilisées dans la configuration du routage.
Création automatique des VTI
Lorsque vous créez une topologie VPN par route, les interfaces IPsec virtuelles nécessaires sont dorénavant automatiquement créées dans SMC, pour chaque firewall de la topologie dont SMC gère la configuration du réseau. Elles sont visibles dans l'onglet Interfaces IPsec (VTI). Elles sont classées par topologies VPN auxquelles elles appartiennent.
Pour les firewalls dont SMC ne gère pas la configuration du réseau, vous devez continuer à créer les interfaces manuellement sur le firewall directement.
Utilisation des interfaces des firewalls SNS
Dans les règles de filtrage et de translation, il est maintenant possible de sélectionner les interfaces connues d'un firewall SNS qui s'est déjà connecté à SMC.
Cette action n'est pas possible dans les dossiers et dans les jeux de règles.
Contrôle de la cohérence des routes
Un avertissement était remonté par le contrôleur de cohérence lorsqu'un objet était défini comme passerelle d'une route statique ou d'une route de retour et que cet objet ne faisait pas partie du plan d'adressage de l'interface utilisée dans cette route. Cet avertissement a été supprimé car il pouvait induire en erreur l'utilisateur, dans le cas où SMC ne connaissait pas le plan d'adressage de l'interface utilisée.
Règles de filtrage et de translation
Filtrage par services Web
SMC permet désormais de créer des règles de filtrage par services Web. La liste des services Web est disponible dans l'onglet Général des menus Source et Destination d'une règle de filtrage. Elle a été regroupée avec la liste des Réputations IP.
Le fichier /data/config/smc-ip-reputation.local est renommé /data/config/smc-webservices.local. Lors de la mise à jour vers la version 3.4 de SMC, les données présentes dans le fichier sont conservées.
Les Réputations IP suivantes ont toutefois été migrées en services Web :
| Réputations IP | Services Web |
|---|---|
| office365 | o365common |
| skypeforbusiness | o365skype |
| exchangeonline | o365exchange |
| sharepointonline | o365sharepoint |
Les Réputations IP microsoftauth et officeonline ont été supprimées.
Topologies VPN
Amélioration du fichier .csv de configuration des interfaces IPsec
Le fichier .csv de configuration des interfaces IPsec proposé au téléchargement à la fin de la création d'une topologie VPN par route contient de nouvelles informations. Il indique maintenant le nom de l'objet Machine représentant l'interface IPsec virtuelle présente sur le firewall distant ainsi que son adresse IP. Ces informations vous permettent d'automatiser la création de routes de retour via un script CLI SNS.
Système
Maintien de la connexion entre SMC et les firewalls SNS
Le mécanisme de maintien de la connexion entre SMC et les firewalls SNS (délai de keepalive) est dorénavant le même pour tous les firewalls. Il peut être configuré côté SMC via la variable d'environnement SMC_FW_CONNECTION_TIMEOUT_INT. La valeur par défaut est de 60 secondes. Côté SNS, le token PingValidity n'est plus pris en compte par SMC.
Variables d'environnement
Renommage des variables d'environnement FWADMIN_XXX
Les variables d'environnement FWADMIN_XXX utilisées en version 3.3.3 et antérieures pour la configuration du serveur SMC sont remplacées par les variables SMC_XXX. Les anciennes variables sont cependant toujours disponibles et fonctionnelles mais seront retirées dans les futures versions.
Pour connaître la correspondance entre les anciennes et les nouvelles versions des variables, reportez-vous au Guide d'administration.
Les variables d'environnement FWADMIN_SERVICES_NUM_INSTANCES_CFGCHECK et FWADMIN_SERVICES_NUM_INSTANCES_CFG2INI ne sont plus prises en compte.