Select Page

Virtualisation du réseau et de la sécurité : pourquoi il faut y aller dès maintenant !

Virtualisation du réseau et de la sécurité : pourquoi il faut y aller dès maintenant !

Il est désormais acquis que le futur du Datacenter, c’est le SDDC, le Software-Defined Data Center. Une cible encore lointaine pour beaucoup d’entreprises à qui il faudra du temps avant qu’elles ne refondent leurs infrastructures actuelles pour coller à cette nouvelle approche. Il est pourtant possible de tirer profit dès aujourd’hui d’un composant clé du SDDC, la virtualisation des réseaux et des éléments de sécurité. Tant du point de vue performances, sécurité et bien entendu souplesse d’administration le Software-Defined Network est une approche qui présente de nombreux atouts.

Paradoxalement, lorsqu’on pense Software-Defined Network, on pense immédiatement à la souplesse qu’apporte cette approche quand il s’agit de configurer de nouvelles ressources réseau ou redéployer des serveurs et des applications au sein de l’architecture. Pourtant, le moteur numéro un qui pousse aujourd’hui les entreprises à aller vers ce modèle, c’est la sécurité. Tous les experts s’accordent à dire qu’aujourd’hui si la sécurité périmétrique du système informatique reste indispensable, elle est devenue notoirement insuffisante pour garantir la protection du système d’information. L’actualité le montre presque chaque jour, plus personne n’est à l’abri d’un ransomware ou d’un malware quelconque comme l’a été récemment le Hollywood Presbyterian Medical Center de Los Angeles. Passé le pare-feu, les systèmes d’information ne sont pas assez sécurisés et il est maintenant devenu urgent de sécuriser les ressources intra-datacenter, notamment par l’approche de la micro-segmentation. Un peu à l’image d’un aéroport où la sécurité n’est pas uniquement assurée au niveau des portes d’entrée, mais en de multiples points tout au long du parcours des voyageurs jusqu’aux portes d’embarquement.

L’hyperviseur, le pivot d’une micro-segmentation de la sécurité

Face au danger, les entreprises segmentent leur réseau interne de manière de plus en plus granulaire, dans une approche inspirée de l’approche « zéro confiance » formalisée par Forrester Research. Les contrôles de sécurité sont associés à des groupes de ressources de plus en plus petits, de quelques VM parfois. En pratique, une telle micro-segmentation n’est réalisable qu’au niveau de l’hyperviseur lui-même. Celui-ci est idéalement placé pour sécuriser les flux applicatifs au plus près, c’est à dire dès leur sortie de la machine virtuelle.

Un autre domaine où la virtualisation du réseau va apporter un gain significatif aux entreprises, c’est celui de l’automatisation des Datacenters. Il faut se souvenir qu’en 2003/2004, lorsque la virtualisation a commencée à se diffuser massivement dans les entreprises, à cette époque il fallait encore se rendre dans la salle machine pour aller physiquement allumer une machine afin de disposer d’un serveur. En ce sens, la virtualisation a totalement transformé les pratiques avec des gains majeurs en termes de TCO, mais aussi en éliminant bon nombre d’erreurs humaines. Aujourd’hui, provisionner un serveur se fait en quelques clics, voire même de manière totalement automatisée. Il s’agit d’un premier pas significatif vers l’automatisation du Datacenter, mais si les serveurs peuvent être aujourd’hui provisionnés automatiquement, toute sa configuration réseau nécessite encore un certain nombre d’étapes manuelles.

Virtualiser le réseau, une étape clé dans l’automatisation du Datacenter

L’acte 2 de la transformation du Datacenter passe par la virtualisation du stockage avec le Virtual SAN et la virtualisation du réseau. Avec NSX, VMware propose toute une série de fonctions avancées qui permettent d’automatiser bon nombre de tâches d’administration du Datacenter. Ainsi, les templates (modèles) de NSX permettent de véritablement industrialiser la mise en production de nouveaux serveurs. Le template est appliqué au serveur virtuel à provisionner avec toute la connectivité interne et externe dont il aura besoin, le niveau de sécurité à lui appliquer. Si aujourd’hui le délai de provisionnement d’un nouveau serveur dans une entreprise est, dans le meilleur des cas d’une journée, il est bien souvent de l’ordre de plusieurs jours voire plusieurs semaines à cause du manque de disponibilité des équipes réseau et sécurité. Avec les modèles, ces délais n’ont plus lieu d’être.

Un Cloud hybride « sans couture » grâce à la virtualisation

La souplesse qu’apporte la virtualisation du réseau va permettre d’aller bien plus loin dans l’approche du Cloud hybride telle qu’on la connait aujourd’hui. Dès lors que le réseau est virtualisé, une machine virtuelle peut être indifféremment provisionnée sur les ressources internes ou dans le Cloud public s’il y a un besoin temporaire de débordement capacitaire. Il est possible de le faire aujourd’hui sous quelques conditions, mais avec NSX, la mise en place d’un canal de transport des échanges entres VM peut enfin atteindre une réelle « liquidité » des applications vis à vis des infrastructures. La solution permet même de ne plus solliciter le réseau physique lorsque deux VM sur un même serveur échangent des données entre-elles. De la même façon, la virtualisation réseau permet aux infrastructures déployées pour les PRA ou PCA (plans de reprise d’activité / plans de continuité d’activité) d’être agnostique en terme de matériels tant du côté des serveurs que sur les équipements réseaux qui peuvent être banalisés.

Si la virtualisation du réseau et de la sécurité apporte dès aujourd’hui des apports significatifs, à moyen terme, elle va amener à une « commoditisation » du hardware. Actuellement, le marché des équipements réseaux et sécurité reste encore relativement élitiste, avec des équipements à fortes marges et couteux. Des solutions de plus en plus délaissées par des acteurs comme Google ou Facebook qui préfèrent désormais acheter des équipements banalisés et achetés au meilleur prix auprès de constructeurs spécialisés. S’ils optent pour ces équipements, c’est que l’intelligence réseau est de moins en moins placée dans le hardware mais de plus en plus dans le logiciel. Les géants du Web ont entamé cette démarche voici 7/8 ans ; et celle-ci va infuser dans le monde de l’entreprise tôt ou tard. Le Software-Defined Data Center est l’étape ultime d’une démarche que l’on peut aborder par ces 3 aspects : sécurité, automatisation, hybridation.

 

About The Author

Charles Gengembre

Manager BU Sécurité et Réseaux.

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter