Implication de l’infrastructure réseau sur le cloud

Il y a quelques années, l’idée de base des réseaux définis par logiciel (SDN) a été popularisée. Le SDN a été conçu lorsque ses partisans ont observé que les fournisseurs de périphériques réseau étaient incapables de répondre au rythme de changement requis par l’industrie. Les dispositifs ne pouvaient être programmés que par l’intermédiaire de l’interface de ligne de commande ou à l’aide du protocole Simple Network Protocol, ce qui ne répondait pas aux exigences en constante évolution d’interfaces facilement accessibles, flexibles et conviviales pour les applications.

Certains ingénieurs de l’université de Stanford ont créé le protocole OpenFlow qui pouvait fonctionner avec une architecture composée d’un certain nombre de dispositifs contenant uniquement des plans de données pour répondre aux commandes qui leur étaient envoyées par un contrôleur logiquement centralisé qui détenait le plan de contrôle de ce réseau. Le contrôleur était responsable de la maintenance de tous les chemins du réseau, ainsi que de la programmation de tous les dispositifs du réseau qu’il contrôlait. Ces communications étaient l’essence même du protocole OpenFlow.

Infrastructure de réseau sur le cloud

OpenFlow a conduit à la conceptualisation du SDN. OpenFlow pouvait même « transmogrifier » ces plateformes pour en faire n’importe quel autre dispositif de réseau. Par exemple, des pare-feu ou des NAT. Ce changement tectonique dans l’industrie des réseaux a été bien documenté dans plusieurs livres. Ces ouvrages expliquent que le SDN va au-delà de la séparation des plans de contrôle et de données et ne se résume pas à un seul protocole. On pensait que le SDN concernait les problèmes de programmation des réseaux et que les solutions SDN nécessitaient un ensemble de protocoles. Depuis, les technologies SDN ont beaucoup progressé et sont maintenant déployées dans des réseaux de production.

Certains auteurs ont estimé que l’approche consistant à remplacer chaque élément du réseau par des machines sans cervelle risquait de ne pas être adaptée dans la pratique. Ces observations étaient fondées sur des préoccupations concernant les coûts d’investissement et d’exploitation liés à une approche « greenfield » qui exigeait des opérateurs de réseau qu’ils remplacent leurs équipements existants par des équipements plus récents afin de bénéficier des avantages du SDN. Cependant, de nombreux déploiements SDN actuels sont en fait des réseaux « brownfield » qui ont évolué en commençant par être « prêts pour le SDN » plutôt que d’avoir le SDN activé. Cela signifie que la plupart des équipements existants ont été préservés jusqu’à la fin de leur durée de vie prévue, tandis que les capacités SDN ont été lentement ajoutées de manière incrémentielle.
Même dans un passé récent, les fonctions réseau telles que les pare-feu et le cryptage ne pouvaient être exécutées que sur des dispositifs matériels dédiés, construits à cet effet. La virtualisation des fonctions réseau (NFV) a permis aux serveurs de commodité de les accomplir. Il en est résulté des avantages considérables comme la réduction des coûts et la rapidité du déploiement des services.

Dans un NFV, le système d’exploitation de la couche de virtualisation coordonne le calcul et le stockage. En outre, il peut connecter les ressources partagées entre les fonctions de réseau virtuelles (VNF) qui pourraient s’exécuter sur le même serveur physique. Le composant de gestion et d’orchestration (MANO) orchestre et administre les VNF. La demande de bande passante et de services réseau étant en constante augmentation, les fonctions virtuelles peuvent être déployées au bon moment et au bon endroit, selon les besoins.

Qu’est-ce que le NFV ? Comment a-t-elle été conceptualisée ?

La virtualisation des fonctions réseau (NFV) peut être conçue à partir de certains des concepts de base et principaux du SDN. Il peut s’agir de la séparation du plan de contrôle et du plan de données, de la centralisation logique, des contrôleurs, de la virtualisation du réseau (superpositions logiques), de la sensibilisation aux applications, du contrôle de l’intention des applications, et de bien d’autres choses encore, sur des plateformes matérielles facilement disponibles (Commercial Off-The-Shelf (COTS)). NFV a favorisé la conceptualisation de nouvelles méthodes pour soutenir l’interconnexion des éléments de service, et de techniques capables de faire face à ses exigences dynamiques et à leur montée et descente en charge.

La pression sur les opérateurs de réseaux s’est accrue en 2013 et s’est transformée en véritables défis pour leurs activités.

Ce qui a commencé comme une vidéo OTT (Over-The-Top) et des médias sociaux dans leur base de clients haut débit, s’est transformé en offres de services OTT. L’externalisation de l’informatique des organisations vers des fournisseurs de cloud a transformé ces nouveaux concurrents en partenaires informatiques plus pertinents.

Les opérateurs filaires ont dû faire face à des transitions importantes et longtemps retardées dans les services basés sur le cuivre.

Les opérateurs sans fil ont été confrontés à un changement d’architecture coûteux lors du passage au LTE pour répondre à la demande croissante de services de données. Les points de pression ici étaient la présence croissante du Wi-Fi entraînant une croissance exponentielle de la demande, tandis que la concurrence signifiait que les prix devaient baisser. Cela signifiait une pression accrue de la part des investisseurs des fournisseurs de services traditionnels pour augmenter l’agilité opérationnelle, en particulier autour de l’agilité des services (réduction des coûts par l’automatisation, le provisionnement juste à temps, la mise en commun des ressources, etc.) et de l’innovation pour éviter l’obsolescence. ) et de l’innovation pour éviter l’obsolescence. Deux résultats étaient visés : concurrencer la menace OTT et éviter d’être relégué au rang de simple fournisseur de transport, et fournir de nouvelles sources de revenus.

De nombreux opérateurs, dont les activités sont à la fois filaires et sans fil, ont dû se regrouper pour réduire leurs coûts et accroître leur efficacité. Les répercussions se sont traduites par une réduction des dépenses d’exploitation et d’investissement (OPEX et CAPEX).

Sur un autre front, les concepts de virtualisation ont évolué, passant des opérations de machines virtuelles centrées sur l’entreprise à des composants plus composables et évolutifs tels que les conteneurs dans les nuages publics et privés.

L’optimisation des performances de l’infrastructure de virtualisation a commencé à être massivement adoptée grâce à des efforts tels que la version d’Open vSwitch (OVS) d’Intel compatible avec le Dataplane Development Kit (DPDK), ce qui a permis d’augmenter plus facilement le débit des fonctions réseau virtualisées.

Le cloud computing a attiré de plus en plus d’entreprises. Outre la réduction des coûts COTS, cela a également créé un environnement propice à l’externalisation des services.

Avant d’explorer chacun de ces domaines pour visualiser leur combinaison formant la base de NFV, il convient de définir NFV. NFV est le processus de conception, de construction et de déploiement de services réseau à l’aide de composants logiciels virtualisés et de leur découplage du matériel d’exécution. NFV orchestre des services et/ou des composants de services virtualisés, ainsi que leurs contreparties physiques. Elle peut donc créer, déployer, intégrer, configurer, modifier et supprimer les services.

Infrastructure de réseau dans le cloud

SDN est un composant de NFV. Il est le catalyseur de la NFV, mais pas l’inverse. Avec l’avancée des techniques d’orchestration et de virtualisation dans le matériel COTS, la NFV entre progressivement en vogue. Les avantages conçus dans les réseaux de production sont nombreux aujourd’hui. Tout comme le changement provoqué par le plan de contrôle, les concepts et composants SDN poussent les fournisseurs de services à revalider les hypothèses de la méthode actuelle – fournir un plan de service, fournir des services en utilisant du matériel virtualisé, flexible et COTS. L’existence du SDN apporte la crédibilité nécessaire.

La virtualisation n’est pas une panacée pour tous les problèmes de déploiement de services et introduit en fait de nouveaux problèmes de fiabilité qu’un système d’orchestration de services doit atténuer. La virtualisation, comme tout outil, déployée sans discernement, peut produire des résultats désastreux. Si la virtualisation est essentielle pour la NFV, l’orchestration et l’intégration requises doivent avoir une portée qui inclut les plates-formes de services actuelles et futures entièrement intégrées. À cet égard, le SDN peut fournir une « colle » pour les intergiciels.

Malgré l’acceptation universelle du SDN dans le contrôle de la virtualisation des services, le type de point ou de points de contrôle continuera à faire l’objet de débats. Pour NFV, le débat se manifeste autour des points de contrôle sans état et des points de contrôle proxy, ou lorsque des métadonnées en ligne ou imputées sont employées.

Infrastructure de réseau dans le cloud

SDN est un composant de NFV. Il est le catalyseur de la NFV, mais pas l’inverse. Avec l’avancée des techniques d’orchestration et de virtualisation dans le matériel COTS, la NFV entre progressivement en vogue. Les avantages conçus dans les réseaux de production sont nombreux aujourd’hui. Tout comme le changement provoqué par le plan de contrôle, les concepts et composants SDN poussent les fournisseurs de services à revalider les hypothèses de la méthode actuelle – fournir un plan de service, fournir des services en utilisant du matériel virtualisé, flexible et COTS. L’existence du SDN apporte la crédibilité nécessaire.

La virtualisation n’est pas une panacée pour tous les problèmes de déploiement de services et introduit en fait de nouveaux problèmes de fiabilité qu’un système d’orchestration de services doit atténuer. La virtualisation, comme tout outil, déployée sans discernement, peut produire des résultats désastreux. Si la virtualisation est essentielle pour la NFV, l’orchestration et l’intégration requises doivent avoir une portée qui inclut les plates-formes de services actuelles et futures entièrement intégrées. À cet égard, le SDN peut fournir une « colle » pour les intergiciels.

Malgré l’acceptation universelle du SDN dans le contrôle de la virtualisation des services, le type de point ou de points de contrôle continuera à faire l’objet de débats. Pour NFV, le débat se manifeste autour des points de contrôle sans état et des points de contrôle proxy, ou lorsque des métadonnées en ligne ou imputées sont employées.

Les pour et les contre ?

Avantages de NFV

La mise en œuvre de NFV comme alternative à l’architecture standard présente de nombreux avantages. Certains d’entre eux sont présentés ci-dessous :

• Réduction des CAPEX et OPEX
• Plus grande facilité d’extension et de réduction du réseau
• Une plus grande agilité des services pour soutenir des déploiements de services plus rapides.
• Simplicité opérationnelle accrue
• Innovation plus rapide grâce à l’élimination du besoin de changement de matériel.
• Le NFV peut être un générateur de revenus viable.

« Bien que l’utilisation de la NFV pour influer de manière significative sur la vitesse des services pose encore des problèmes, la technologie peut déjà permettre d’offrir une nouvelle gamme de fonctions de service qui seront utilisées pour générer des revenus », selon Tom Nolle de CIMI Corporation.

Amélioration de la collecte de données, de l’analyse et des processus de prise de décision.

Inconvénients de NFV

NFV est basé sur SDN et présente donc les mêmes limitations. Comme le SDN, NFV doit encore évoluer pour gagner en fiabilité lorsqu’il est déployé au niveau de l’entreprise. Mais cela n’est pas si loin. Voici quelques-uns des autres défis spécifiques auxquels le NFV devra faire face à l’avenir :

• Coexister dans un environnement hybride intégré au cloud avec des dispositifs physiques.
• Contrairement aux environnements informatiques classiques, NFV nécessite de gérer l’informatique dans l’abstrait.
• NFV est plus dynamique que l’environnement traditionnel, avec la nécessité éventuelle d’évoluer tout en ajoutant de nouvelles fonctionnalités.
• NFV nécessite un réalignement des processus pour la gestion simultanée de l’infrastructure traditionnelle et virtuelle.

Relever les défis de la NFV

La transition vers la virtualisation de la fonction réseau prendra du temps. Dans certains cas d’utilisation, l’adoption pourrait être plus rapide, car il s’agit du besoin du moment. Les réseaux existants resteront probablement en place pendant un certain temps.

Afin de répondre aux exigences d’une transition vers la virtualisation, l’architecture doit fournir :

• Une prise en charge des changements dynamiques et en temps réel du réseau et des services en réponse aux événements du réseau.
• la séparation de la configuration du réseau et de la gestion de l’état du réseau
• la prise en charge d’une approche de modélisation des services de réseau
• Interfonctionnement avec les plateformes d’orchestration de réseau
• Interfonctionnement avec les contrôleurs SDN
• Infrastructure de réseau dans le nuageIl est également essentiel de bien planifier la stratégie de migration avant de commencer à déployer la virtualisation du réseau. Les réseaux des grandes entreprises trouveront ici davantage d’applications. Cela peut rendre le remplacement de l’infrastructure existante beaucoup plus complexe.

Une façon d’atténuer ce problème est d’adopter un environnement hybride dans lequel les capacités de réseau virtuel sont déployées dans les domaines où elles offrent la plus grande valeur perçue ou dans lesquels une mise à niveau de l’héritage est nécessaire.

Conclusion

L’infrastructure de réseau dans le nuage – NFV est un nouveau concept qui gagne rapidement en popularité. Il peut potentiellement relever bon nombre des défis des réseaux actuels et futurs. Cependant, comme pour tous les nouveaux concepts, il est suggéré d’examiner attentivement le nouveau cas et de l’adopter progressivement afin de vérifier la valeur qu’il apporte avant une adoption généralisée.

Les lacunes de la protection actuelle des réseaux

Shantanu Bhattacharya, cofondateur et directeur technique, Phone Pass Pty LTD

Les entreprises ont de plus en plus de mal à répondre à toutes les exigences d’un réseau et de la sécurité qui lui est associée afin de fournir une infrastructure réseau sûre, solide, performante et efficace.

Ces difficultés sont dues aux principaux aspects suivants :

• Les entreprises doivent fournir à leurs partenaires : vente et chaîne d’approvisionnement, un accès à leur infrastructure réseau pour prendre des décisions au bon moment. Par exemple, le fournisseur est automatiquement informé lorsque le stock est en dessous du filigrane haut ; ou lorsque le fournisseur de passerelle de paiement doit intégrer sa solution au réseau de l’utilisateur de la passerelle de paiement.
• De nombreuses entreprises autorisent l’utilisation du BYOD (Bring Your Own Device) au sein du réseau de l’entreprise. L’étendue de la gestion de ces appareils est limitée. Il existe un potentiel de perte de données ainsi qu’une surface d’attaque étendue pour les attaquants.
• Même les entreprises qui n’autorisent pas les appareils BYOD émettent des appareils mobiles qui ne peuvent être entièrement couverts et gérés par des solutions MDM (Mobile Device Management). Même les bonnes solutions MDM nécessitent des audits de sécurité et la définition de politiques d’entreprise pour être efficaces. La plupart des organisations ne disposent pas des ressources nécessaires pour les gérer, notamment en raison du volume de trafic. 
• De plus, la plupart des utilisateurs ne veulent pas de ces agents invasifs sur leurs appareils mobiles personnels ou même de bureau, ce qui permet aux employeurs d’avoir une visibilité sur l’activité personnelle – des choses comme l’historique de navigation, des choses comme les données de localisation via le GPS, des choses comme leurs identifiants de connexion puisqu’il est difficile de séparer l’utilisation professionnelle et personnelle de la navigation mobile ou de l’utilisation du GPS.

• Les employés – personnel d’assistance, de marketing et de vente – travaillent depuis des sites qui ne font pas partie de l’infrastructure de l’organisation. Le personnel d’assistance opère souvent à partir du site du client, tandis que les commerciaux et les spécialistes du marketing se rendent à divers endroits pour leurs réunions de vente. Dans tous ces cas, les employés ont besoin d’accéder à l’infrastructure réseau de l’entreprise.
• Avec l’avènement de Covid19, un pourcentage croissant de personnes travaillent à domicile. Les attaques sur le trafic « Work from Home » (WFH) ont augmenté de 2000% depuis le début de Covid19. De plus, le WFH a étiré le réseau à des niveaux insoupçonnés.
• Les services en cloud sont de plus en plus utilisés. De nombreuses organisations utilisent plusieurs services en cloud provenant de plusieurs fournisseurs, ce qui rend les choses encore plus complexes.

Les périmètres organisationnels ne sont plus physiques, ils sont logiques.

En dehors de tout ce qui précède, les réseaux d’entreprise sont de plus en plus soutenus par des applications basées sur le cloud pour exécuter leurs services d’entreprise, comme M365, et prendre en charge des flux de travail distribués pour assister les utilisateurs distants, comme ServiceNow. Cette évolution a abouti à l’émergence d’un réseau d’entreprise doté d’un périmètre complexe et se développant radicalement au-delà de la zone communautaire conventionnelle, mettant les responsables de l’infrastructure au défi d’élargir la surface d’attaque en constante expansion.

Les outils de sécurité et de renforcement des réseaux n’ont pas été mis à jour pour combler les vulnérabilités et les lacunes, ce qui rend les solutions VPN obsolètes. Pour que les entreprises puissent continuer à fonctionner dans les nouvelles circonstances, tous les points d’extrémité doivent être sécurisés et gérés avec les mêmes politiques de réseau et de sécurité, indépendamment de leur emplacement.

En bref, les réseaux actuels ne peuvent pas suivre le rythme des besoins des entreprises. Les réseaux ont été établis pour soutenir les activités commerciales et le non-alignement va à l’encontre de cet objectif. En outre, la sécurité est perçue comme un coût dans la plupart des entreprises, qui hésitent donc à dépenser suffisamment pour résoudre les problèmes et ramener l’alignement. Les CXOs sont plus enclins à dépenser avec un chiffre de ROI calculé sur la dépense.

Les problèmes de sécurité et leurs tendances

Comme nous l’avons vu, le profil de sécurité des organisations est également beaucoup plus vulnérable dans le contexte du réseau décrit.

• Compte tenu des lacunes de l’armure MDM, il n’est pas difficile de voir que ces appareils mobiles, qu’ils soient BYOD ou non, posent un sérieux problème de cybersécurité.
• L’intégration des flux de travail entre diverses organisations partenaires peut également exposer l’organisation considérée à davantage d’attaques de sécurité, dont beaucoup échappent à sa sphère de contrôle.
• Plus important encore, l’utilisation accrue du WFH par une partie significative de la main d’œuvre pose deux menaces majeures, à savoir la panne ou l’interruption du réseau en raison de l’augmentation du volume de trafic au niveau du réseau périphérique des organisations et les vulnérabilités du réseau domestique affaiblissant le réseau des organisations. Cela peut être grave car le budget de sécurité des ménages est minuscule par rapport à l’ampleur des attaques possibles. Ainsi, un appareil, BYOD ou autre, peut être affecté avant qu’il n’utilise le VPN du réseau domestique pour se connecter au réseau de l’entreprise, ce qui annule toute force que le VPN pourrait avoir. Pour couronner le tout, les technologies VPN elles-mêmes sont très vulnérables, et comme toute autre armure, même une petite faille dans celle-ci pourrait être désastreuse pour les organisations.
• Aucun fournisseur de cybersécurité ne peut fournir des produits qui ont une force dans tous les domaines de la cybersécurité. En outre, la situation de chaque organisation peut faire en sorte qu’un produit particulier lui convienne mieux que celui fourni par les concurrents du fournisseur. Les organisations qui achètent les produits sont donc plus susceptibles d’acheter différentes parties de la défense en matière de cybersécurité auprès de différents fournisseurs. Le plus souvent, ces produits ne s’intègrent pas de manière transparente aux produits d’autres fournisseurs.

Par conséquent, les organisations se retrouvent avec des solutions ponctuelles, laissant des lacunes importantes malgré les sommes considérables dépensées pour les résoudre.

Tout ceci a incité Gartner à proposer un concept de solution appelé SASE (Service d’accès sécurisé Edge), prononcé comme « sassy ». Avec SASE, les organisations n’ont pas à traiter avec de nombreux fournisseurs du modèle incongru des équipements physiques et virtuels. Ils n’ont à traiter qu’avec un seul fournisseur. Les organisations peuvent fournir davantage de technologies et de services par un seul fournisseur plutôt que deux ou plus, ce qui réduit les coûts d’intégration et de mise à niveau de divers appareils et la complexité indésirable du réseau. SASE facilite, par exemple, les mises à niveau, les correctifs et la maintenance du réseau, ce qui réduit encore les coûts.

La réduction de la complexité du réseau permettra également de réduire la charge de travail du personnel de support informatique. SASE a le potentiel de réduire le budget de support réseau et sécurité ainsi que celui du personnel informatique tout en fournissant une couverture continue pour la surveillance et la réaction aux performances du réseau et aux menaces pour la sécurité en utilisant une solution intégrée et consolidée avec moins de failles de sécurité.

L’un des principaux avantages de SASE est sa facilité de gestion. SASE, en tant qu’application centrale unique de gestion du cloud, peut contrôler toute la gamme des services à partir d’un seul tableau de bord. Par exemple, la gestion des dispositifs SD-WAN, NGFW, SWG et VPN sur plusieurs sites au sein d’un réseau d’entreprise nécessitera moins d’experts informatiques en raison de la consolidation.

Modèle de sécurité réseau du futur

SASE est donc le modèle futur suggéré par Gartner. Service d’accès sécurisé Edge (SASE) est une suite de solutions de sécurité en nuage à l’échelle de l’entreprise, conçue pour relever les défis de réseau et de sécurité causés par la transformation numérique de l’entreprise – un terme qui désigne tous les changements que nous avons vus au début de cet article. Les changements susmentionnés, avec une main-d’œuvre de plus en plus mobile, feront que les utilisateurs, les appareils, les applications et les données se trouveront en dehors du centre de données et du réseau de l’entreprise, ce qui créera une « inversion du modèle d’accès. » SASE est une nouvelle architecture réseau qui fusionne le SD-WAN (Software-Defined Wide Area Networking) pour former un service cloud unique et unifié.

L’un des avantages uniques de SASE est que sa complexité de gestion n’augmente pas avec la croissance du réseau, car il s’agit d’une seule application de gestion consolidée basée sur le cloud. Elle peut donc contrôler l’ensemble du service sans avoir à refaire entièrement le système existant.

SASE pourrait faire pour l’architecture de sécurité du réseau ce qu’AWS et Azure ont fait pour la fourniture d’applications. Il peut permettre l’hyperscalabilité et l’élasticité de l’infrastructure WAN. Les anciennes solutions cloisonnées nécessitent beaucoup de temps et d’efforts pour monter et descendre en charge. La mise à l’échelle vers le bas est inconnue dans les anciens systèmes. Il faut donc envisager de les rendre obsolètes. D’autre part, les solutions SASE réduisent la charge informatique et rationalisent les délais de mise à disposition.

Avec les solutions SASE basées sur le cloud, le service informatique peut acquérir un site beaucoup plus rapidement qu’avec un ancien système de plusieurs jours, comme c’était le cas avec le WAN traditionnel. En outre, la réduction du matériel sur site se traduit par un minimum de maintenance, de pannes et de licences logicielles. Les gains d’efficacité permettront au support informatique de se consacrer à des tâches plus sensibles et plus productives, telles que la sécurité et la surveillance du réseau.

Les solutions réseau traditionnelles nécessitent davantage de dispositifs et de systèmes de sécurité pour répondre aux exigences et aux normes de sécurité. Souvent, ces solutions traditionnelles ne fournissent pas les dernières fonctionnalités de sécurité telles que IPS, NGFW et SWG, et donc la sécurité nécessaire au fonctionnement de l’entreprise. Les entreprises ont donc besoin de plus de solutions de sécurité pour combler cette lacune, ce qui ne fait qu’ajouter à la complexité, entraînant davantage de problèmes.

SASE supprime ce problème en intégrant dans son infrastructure des fonctions de sécurité telles que les filtres URL, les IPS, les logiciels malveillants et les pare-feu. La fourniture de la solution SASE permet aux entreprises de gérer la sécurité de leur réseau, d’établir des politiques uniformes, d’identifier les irrégularités et de réagir rapidement aux changements. Toutes les frontières et tous les lieux, des sites des organisations aux sites mobiles en nuage, sont protégés de la même manière.

SASE (Service d’accès sécurisé Edge) – Ses avantages

L’objectif de l’intégration des performances du réseau et des capacités de sécurité est d’aider les organisations à faire face à des changements tels que le passage aux applications en nuage et à une main-d’œuvre distribuée et mobile. Voici quelques-uns des principaux avantages de la transition vers une architecture SASE :

• Permettre de nouveaux scénarios commerciaux pour les utilisateurs, les appareils, les applications, les données et les services situés à l’intérieur ou à l’extérieur du périmètre de l’entreprise et de l’entreprise.
• Améliorer la sécurité en fournissant des contrôles de sécurité à proximité de l’utilisateur, ce qui rend plus difficile pour les attaquants de découvrir et d’exploiter les ressources de l’entreprise.
• Améliorer l’évolutivité et la résilience grâce à un accès à faible latence aux utilisateurs, aux dispositifs et aux services.
• Réduire les coûts et la complexité de la gestion des fournisseurs en intégrant la vision des fournisseurs aux systèmes requis et en augmentant la visibilité tout en facilitant la gestion.
• Favoriser la confiance zéro en utilisant une multitude de signaux de menace, établir la confiance et garantir un accès sécurisé aux ressources internes et à l’internet.
• Augmenter l’efficacité du personnel chargé des réseaux et de la sécurité en réduisant les frictions dans la sécurisation du réseau sans dégradation des performances.

SASE – Ses inconvénients

Cependant, SASE est-il la solution miracle que nous recherchons tous ? Apparemment, non. Le modèle SASE présente des limites. Je vais en souligner quelques-unes.

Point de défaillance unique

Les inconvénients les plus importants sont que les équipes informatiques renonceront aux avantages du multi-sourcing – tels que la sélection des composants auprès des meilleurs fournisseurs possibles pour les fonctions individuelles, et la diversification du profil de risque lié à l’engagement de plusieurs fournisseurs. Avec l’architecture SASE, les organisations peuvent être confrontées au risque de point de défaillance unique (SPOF) ou d’exposition – comme SASE fournit toutes les fonctions de mise en réseau et de sécurité en tant que service unique, les problèmes techniques ou de sécurité du côté du fournisseur peuvent potentiellement entraîner la défaillance et l’exposition de tout le système.

Les pare-feu pour applications Web ne suffisent pas à eux seuls

On croit souvent à tort qu’une sécurité périmétrique, telle qu’un pare-feu pour applications Web (WAF), suffit à sécuriser une application Web. La sécurité périmétrique sécurise le trafic entrant et sortant de l’application, mais elle ne surveille pas l’activité qui se déroule directement sur le serveur de l’application Web ou entre différents serveurs situés derrière le WAF. Si un WAF passe à côté d’une attaque (comme dans les attaques de Capital One ou d’Equifax), le SASE ne pourra pas empêcher d’autres dommages sur les serveurs d’applications situés derrière le WAF, ni même détecter et contrôler les dommages que le cybercriminel cause sur le serveur d’applications lui-même.

Le NIST reconnaît la nécessité de la sécurité des applications

La sécurité de l’application située sur le serveur d’applications (également connue sous le nom de Runtime Application Self-Protection ou RASP) est désormais reconnue comme une exigence par le NIST (National Institute of Standards and Technologies) pour la sécurité des applications Web dans le cadre de sa structure SP 800-53. En outre, le NIST a ajouté à ce cadre une exigence relative aux tests interactifs de sécurité des applications (IAST). Du point de vue du NIST, c’est un changement important que de reconnaître ces déficits en matière de sécurité des applications dans le cadre de sécurité des applications du NIST.

Conclusion

Je voudrais résumer en disant que chaque organisation est confrontée à d’énormes défis avec les nouvelles façons de faire des affaires qui apparaissent chaque jour. Par conséquent, il est nécessaire de réfléchir et cette solution peut être différente pour chaque organisation. Elles devraient et seraient déterminées par leurs propres circonstances, leur profil de risque et leur appétit pour le risque. J’ai abordé ici une option possible de SASE. Elle apporte beaucoup de promesses, mais doit être adoptée avec les yeux ouverts, afin que les défis soient bien gérés.

Les raisons pour lesquelles les compagnies cherchent l’expertise des consultants sont nombreuses et variées. A l’heure de la transformation digitale, toutes les entreprises sont censées faire avec la technologie à des degrés divers. Il est fort probable que l’expertise n’existe pas en interne, s’attacher alors les services d’un consultant expert n’est pas une étape évidente. Isc Solutions, entreprise informatique à Toulon est par exemple le type d’entreprise dont vous aurez besoin pour effectuer la transition digitale de votre entreprise.

Un expert offre instantanément aux organisations les compétences utiles et répond au manque de n’importe quel besoin de la Transformation Digitale.

Un consultant expert en transition digitale

Plutôt que de développer leurs propres besoins en interne, lesquels peuvent consommer du temps, les entreprises veulet réussir leur transformation en s’appuyant sur le savoir-faire/en faisant appel au savoir-faire d’une personne extérieure ayant déjà une forte expérience dans le domaine et qui aura une approche plus neutre. Cette expertise peut écarter les erreurs courantes de la Transformation Digitale. Par exemple, beaucoup trop d’entreprises privilégient la technologie à la stratégie, et n’ont une compréhension claire des résultats que la Transformation Digitale peut et doit apporter. C’est pour cette raison que les entreprises et les consultants doivent être prudents pour développer une relation de travail où les mêmes problèmes pourraient survenir.

Il est crucial que la force de travail de l’équipe en charge soit impliquée dans ces discussions car ils seront ceux qui voient l’entreprise à travers le cycle de revenue. C’est seulement à ce moment-là que les chefs d’entreprises ont une compréhension de comment et où les besoins de changement se produisent et de ce que doit être la prochaine étape du parcours de la Transformation Digitale, plutôt que de laisser au hasard, les essais et erreurs.

Une transition digitale pour augmenter l’efficacité de travail

Il y a une certaine mutualisation à la relation avec les entreprises bénéficiant des nouvelles technologies et les consultants qui étendent leurs compétences. Les consultants travaillent sur un certain nombre significatif de projet de transformation digitale durant leur carrière. Chaque fois, ils trouveront des nouvelles idées et de nouveaux outils pour éclairer le prochain projet client, lesquels fourniront des nouvelles opportunités et résultats pour les prochaines organisations avec qui ils travailleront. Travailler dans différentes industries est aussi un avantage, car le consultant peut partager les ‘best practice’ des autres secteurs pour améliorer l’innovation et l’efficacité à l’initiative de la Transformation Digitale.

Typiquement, les modèles cloud sont divisés entre le public et le privé. Ce dernier implique un cloud exclusivement réservé à l’usage de l’entreprise, sans se soucier de savoir s’il est localisé sur site ou chez un fournisseur externalisé. Les bénéfices du réseau privé dédiés à la seule entreprise utilisatrice incluent un très haut niveau de sécurité et de contrôle ainsi que plus de flexibilité avec la possibilité d’adapter le système informatique aux besoins de la société. Un tel degré de contrôle est souvent d’une importance vitale dans les industries avec des réglementations tendues. L’inconvénient est que tout doit être fait en interne. Avant de vous lancer dans l’installation d’un système de cloud au sein de votre entreprise, lisez notre guide sur les avantages et inconvénients du cloud.

Dans le cloud public, les entreprises peuvent compter sur l’expertise des plus grandes sociétés mondiales et de leurs offres. S’appuyer sur de tels services déplace des dépenses d’investissement vers les dépenses opérationnelles de Software as a service, permet une capacité hautement évolutive, fiable et déplace la responsabilité de conception de vos systèmes.

L’approche Hybride

Pourtant, ce sur quoi la plupart des sociétés s’installeront, est une version hybride des deux modèles. Cette approche est moins perturbante à migrer que d’adopter le cloud public. Cela signifie que le matériel informatique sur site peut être plus facilement préservé et intégré dans un nouveau système.

Le cloud hybride intègre les services de cloud public, sur site et de cloud privé pour créer une solution sécurisée, flexible, et aux coûts contrôlés de l’infrastructure IT.

Cette composition vous permet de tirer le meilleur parti de vos investissements informatiques existants, tout en ayant accès aux ressources traditionnelles quand nécessaires. Avoir la capacité totalement transparente de migrer vos applications et données entre ces deux environnements permet aux entreprises d’optimiser ses coûts, sa sécurité, sa performance et sa disponibilité requise.

Les entreprises utilisent un Cloud public facilement évolutif, tout en laissant la partie sensible et le contrôle de la charge de travail au cloud privé ou au data center sur site. Ensuite une approche hybride permet aux entreprises de répondre à l’augmentation de complexité de l’environnement IT de manière transparente.

L’un des bénéfices définis d’une approche hybride est la capacité de lier ou développer le système informatique existant avec les services cloud, par exemple pour tirer parti d’une puissance de calcul accrue pour les problèmes existants ou cruciaux ; pour les sauvegarder si le pire devait arriver.

Résilience aux catastrophes par l’intermédiaire du cloud.

Les entreprises font face aux menaces venues de plusieurs endroits, depuis les cyber-attaques aux désastres naturels ou aux accidents en data center. Depuis le COVID-19 et le télétravail, les attaques sont devenues particulièrement banales. Il est impératif que les entreprises se protègent, les sauvegardent dans le cloud étant l’un des outils clés. Le cloud hybride signifie qu’il est possible de séparer un environnement informatique, avec une copie en direct dans un cloud privé ou sur site et une autre sauvegarde dans un coud public. Cela signifie aussi que les données plus sensibles peuvent être stockées plus loin du danger.

Alibaba dit de son offre cloud : ‘Les organisations qui ont des données particulièrement sensibles ou des applications, telles que des informations sur la facturation ou de propriétés intellectuelles cruciales pour l’activité, un cloud hybride permet de placer les données les plus sensibles sur des serveurs privés qui ne peuvent pas être accédés au travers d’internet.’

Les applications ou données moins confidentielles, lesquelles sont d’habitude plus copieuses en volume, peuvent être placées dans un cloud public et bénéficier de la grande capacité de stockage fournie par les cloud publics. C’est cette flexibilité et cette capacité qui est la force permanente du cloud hybride.

Conclusion CLOUD PRIVE VS CLOUD PUBLIC

Les trois éléments où le cloud hybride est meilleur/mieux adapté :

• Le cloud public est bien adapté à de nombreuses charges de travail en front-office,
• Le cloud privé est bien adapté à de nombreuses missions où la charge de travail est critique et/où les avantages du cloud public sont désirables, mais où la sécurité et l’assurance de conserver l’environnement privé est la clef.
• Un environnement IT traditionnel est mieux adapté aux charges de travail qui ne profitent pas intrinsèquement des avantages du cloud.

Le cloud comme toute technologie est aisé à mettre en œuvre, à condition de démarrer par le bon bout. Il est en effet très facile de se planter magistralement, pour de multiples raisons : technologiques, financières ou humaines.

Afin de vous aider dans votre projet cloud, abordons six aspects essentiels de sa mise en œuvre. Cette collection de bonnes pratiques ne se veut pas exhaustive. Chaque cas est unique. Il possède ses propres caractéristiques et doit faire l’objet d’un projet individualisé. Cet article vous aidera à comprendre en quoi une entreprise comme ISC Solutions, entreprise informatique à Aix-en-Provence pourra vous aider à installer un cloud d’entreprise.

S’il est vrai que la mise en œuvre d’un projet cloud s’est facilitée et accélérée ses dernières années, les écueils sont nombreux et souvent bien cachés. Seuls une évaluation initiale et un projet bien cadré rendront l’intégration du cloud et des technologies idoines aisés. Découvrez d’ailleurs les avantages et inconvénients du cloud d’entreprise.

La collection de bonnes pratiques ci-après est issue de plusieurs années de projets client menés avec succès : du déploiement de quelques postes en SaaS, jusqu’à l’intégration de technologies d’intelligence artificielle pour plusieurs milliers d’utilisateurs. Cette collection s’articule autour de six thèmes :

• Le réseau,
• Les coûts (il influera sur le coût total de la transition digitale de votre entreprise),
• Les applications,
• Les données,
• Le changement,
• Les spécialistes.

Ces six thèmes permettent de découvrir les principaux écueils d’un projet cloud et d’augmenter ses chances de réussite.

Comme pour de nombreuses techniques et technologies, le marketing a bien fait son travail pour faire croire à un monde merveilleux. La route qui permet de le rejoindre n’est cependant pas aussi droite qu’on le pense de prime abord. Un homme averti en vaut deux.

Commencer par un état des lieux du réseau.

La raison numéro un de l’échec d’un projet cloud se trouve souvent dans les arcanes du réseau.

Les premières questions à se poser concernent la topologie de votre réseau. En possédez- vous un plan ? S’il existe plusieurs sites, comment ceux-ci sont connectés entre eux ?Qu’en est-il de vos connexions internet actuelles ? Il est important de bien comprendre les flux de données sur votre réseau afin d’en trouver les goulots d’étranglement.

Une étude poussée du routage et de la vitesse entre les points de votre réseau va mettre en avant les éléments à améliorer.

La première étape des bonnes pratiques du cloud est donc de garantir que votre réseau local fonctionne correctement, que l’accès à l’ensemble de ses ressources est possible, sans erreur et rapide.

Authentification et réplication

Pour des questions de sécurité et de validité des clés de sécurité, le serveur d’annuaire est fréquemment interrogé.

Voici quelques activités liées à l’authentification qui vont avoir un impact sur les opérations réseau :

• Authentification d’un utilisateur auprès de l’annuaire d’entreprise ;
• Tous les autres de la page.

Cette liste n’est pas exhaustive, mais vous donne un aperçu de ce qui peut se passer en arrière-plan quand vous effectuez des opérations à priori bénignes sur le réseau.

Ce trafic d’authentification, de vérification d’identité et d’accès peut-être important, voire très important. Tant que celui-ci transite sur un réseau local, il y a de fortes chances qu’il soit indolore pour l’utilisateur, mais plus vous allez renforcer la sécurité, plus ce trafic risque d’augmenter. Si vous ajoutez à cela un accès à des services situés dans le cloud, l’expérience utilisateur risque d’être fortement dégradée.

Il est primordial de se mettre du côté de l’utilisateur pour en évaluer l’expérience, car c’est ce dernier qui fera ou non de votre projet un succès.

Connexions Internet et bande passante

La question que tout administrateur réseau se pose : de quelle bande passante ai-je besoin ? Il n’existe aucune réponse toute faite mais une réflexion s’impose. De ce fait, il est primordial de bien différencier connexion internet et connexion au cloud. La première permet aux utilisateurs de se servir de services internet ou de consulter des sites web tandis que la second leur permet d’accéder aux services cloud auxquels votre organisation est abonnée, comme des services de messagerie, de sauvegarde de fichiers ou de bases de données, pour ne prendre que quelques exemples.

La conclusion de cette partie devrait être limpide : séparez Internet et cloud, dédiez une connexion aux services cloud, dimensionnez et sécurisez-la de façon à offrir le meilleur niveau possible de performance et de sécurité à vos utilisateurs.

Applications, communications et exécutions

Si la plupart des applications modernes sont conçues pour le cloud et pour fonctionner sur les machines virtuelles, il n’en est pas de même des applications plus anciennes qui ne peuvent fonctionner à l’identique une fois déplacée dans le cloud. En effet, si vous remettez en perspective le routage, la translation d’adresses, les couches de sécurité, la latence et tous les éléments ajoutés entre le client et l’application, nous voilà donc revenu dans le monde du cloud hybride.

Le partage d’une application sur une machine virtuelle dans le cloud n’est pas toujours une promenade de santé en raison de ses dépendances. Il est alors une fois de plus, crucial, de faire un état des lieux de l’ensemble des applications et de leurs dépendances fonctionnelles, logiques et physiques. Une fois terminé, il sera possible de procéder aux tests de partage et d’exécution depuis le cloud.

Il faut maintenant introduire la question du stockage. Pour de nombreux clients, celle-ci est centrale. Confidentialité, sécurité et souveraineté sont en effet inscrites en lettres clignotantes avant tout autre considération. C’est l’objet de la suite de l’article.

Chiffrement à tous les étages

Pas de cloud sans chiffrement. Tout est dit dans ces cinq mots. Même la plus inoffensive des informations doit être protégée afin qu’elle ne soit pas modifiée intempestivement.

Les clefs de chiffrements.

Pour chiffrer des données, il faut une clé de chiffrement. Toute personne possédant ce sésame peut déchiffrer les données, c’est la base de tout système de chiffrement, la machine Enigma moderne. Un peu à l’image du coffre-fort de la banque, le système de gestion des clés est central. Elle est à définir au début de la politique de chiffrement.

Que faut-il chiffrer ?

Tout ! Les données stockées dans les bases de données, les informations non structurées comme celles des données Hadoop, les fichiers et les dossiers sur les serveurs, les ordinateurs personnels et les appareils mobiles. Et ce à tous les niveaux : chiffrement des disques durs, des machines virtuelles et des baies de stockage qui y sont attachées, chiffrement des disques des baies de stockage réseau, de la couche 2 des échanges entre des ordinateurs personnels, des tablettes et des smartphones. Vous constatez l’ampleur du chiffrement. Cela permet de protéger en profondeur l’ensemble des informations de l’organisation.

Classification des données.

La classification des données leur revient à leur attacher des étiquettes qui permettent d’en définir la valeur et l’importance et donc la protection à accorder. Cela peut aussi définir l’emplacement de leur stockage car on peut être réticent à stocker des données confidentielles dans le cloud. Reste cependant à se poser la question de l’accès, de la protection et de l’audit de ces données confidentielles.

Authentification et autorisation d’accès.

Il est nécessaire de mettre en place une politique d’authentification et d’accès aux données. Cette authentification multifactorielle permet de garantir l’identité de l’utilisateur avec une
plus grande certitude et d’éviter l’usurpation d’identité. Une fois l’utilisateur authentifié , il convient de pouvoir définir ce à quoi il a, ou pas accès. Il nous reste un dernier sujet à aborder qui est celui de l’évolution des métiers.

Spécialiste cloud et data scientist

Qui est cet individu et quelles en sont les qualités ?

Les compétences et missions du spécialiste cloud

Le spécialiste cloud est donc un individu protéiforme. Il doit posséder de nombreuses cordes à son arc et surtout, une curiosité qui lui fait acquérir de nouvelles connaissances en permanence.
Voici une base de départ pour évaluer ses compétences : (il reste tout de même important de définir les rôles de chacun pour un bon fonctionnement du cloud)

• Réseau : Il doit posséder une bonne connaissance des réseaux IP tant en LAN qu’en WAN.
• Systèmes d’exploitation : Linux et Windows ne doivent avoir aucun secret.
• Virtualisation : la virtualisation est la pierre angulaire de toute architecture cloud.
• Management et opérations : de la gestion de réseau au Data Center Infrastructure
• Management, les tableaux de bord opérationnels à la gestion des patrons, aucune information ne doit rester secrète.
• Identité et sécurité : Le sujet de la cybersécurité est incontournable. C’est un sujet que le spécialiste cloud devra prendre à bras le corps avec le responsable sécurité.

Comme vous le constatez, le champ des compétences techniques du spécialiste cloud est vaste. Ainsi comprendre les enjeux techniques de l’implémentation des technologies est primordial.

Conclusion :
Insistons sur le fait que les bonnes pratiques partagées ici ne sont ni des panacées, ni des options. L’ensemble des projets cloud couronnés de succès doivent les intégrer à une plus ou moins grande profondeur.

Le contrôle, perte ou gain ?

Qu’en est-il au final de la perte de contrôle ? Un réel mythe ! Le seul contrôle qui est perdu est celui sur l’achat et la maintenance du matériel. Pour le reste des tâches, vous gardez la main à cent pour cent.

Pour prendre un parallèle simple, imaginez devoir gérer un parc de voitures de fonction. Il est fort probable qu’un concessionnaire soit mieux équipé en matériel et en personnel pour gérer, achat, mise en route et entretien courant qu’un garage que vous monteriez dans l’entreprise. Perdez-vous pour autant le contrôle sur votre parc automobile ? Ou posé différemment : avez-vous besoin de contrôle matériel et maintenance de votre parc
automobile ? Il est fort possible que la réponse soit négative. Il en est de même avec la prétendue perte de contrôle de votre parc serveur. N’hésitez pas à lire notre article pour en apprendre sur les bénéfices et dangers du cloud en entreprise.

La sécurité, perte ou gain ?

Depuis le développement exponentiel d’internet et des applications qui s’y appuient, les menaces n’ont cessé d’augmenter, entraînant généralement une vulnérabilité accrue des systèmes. En prenant des mesures de sécurisation, les risques diminuent, toutefois sans jamais parvenir à les annuler.

La sécurité informatique est définie de façon précise au travers de la suite des normes ISO. Qu’est-ce que cela signifie pour vos informations ?

Que la mise en place de cette suite de normes ISO signifie que vos données sont hautement
sécurisées. Tous les prestataires sérieux de cloud public respectent à minima la norme
ISA/CEI 27001 :

• Microsoft,
• Amazon,
• Google,
• Salesfarce,
• OVH.

Il apparaît clairement que des données stockées chez un prestataire respectant la suite des normes sont plus en sécurité que dans un système informatique qui ne la respecte pas. Il s’agit d’un gain évident en matière de sécurité.

La souplesse, perte ou gain ?

Imaginons que votre entreprise décide de lancer un nouveau produit ou service. Ce dernier nécessite une infrastructure numérique pour fonctionner, sous forme d’une nouvelle application, de l’extension d’une application existante ou de l’ajout d’un nouveau module applicatif. Dans tous les cas, vous devrez posséder une infrastructure sous-jacente plus ou
moins complexe.

Et vous voilà reparti dans l’acquisition de nouveaux matériels, la négociation des budgets et la préparation de l’environnement à l’accueil de ces nouveautés. Malheureusement pour
votre entreprise, le nouveau produit n’est pas à la hauteur des attentes et elle décide de l’arrêter. Vous voila avec de la capacité informatique libérée dont vous ne savez quoi faire,
voire inutilisable, car très spécialisée.

Imaginons maintenant qu’une solution cloud ait été votre choix. Vous avez pu faire évoluer vos besoins au fur et à mesure de la commercialisation du nouveau produit, augmentant ou
diminuant les capacités nécessaires. Quand la décision de débrancher survient, il vous suffit alors de libérer les serveurs et services souscrits d’un simple clic.

On peut aussi étudier la souplesse des services proposés par la situation suivante : monter une plateforme de test dans le cloud ne nécessite aucun investissement lourd et n’a aucun
impact sur les systèmes en production. Il est alors possible de disposer d’un environnement totalement isolé avec lequel on peut mener tous les tests possibles et inimaginables sans faire prendre de risques à l’entreprise.

Existe aussi la situation dans laquelle on souhaite commencer par un investissement minimal, permet de répondre à tout besoin de monter en charge brutale.

Pour la souplesse, le gain est notable, quasiment dès la première minute d’utilisation.

La performance, perte ou gain

C’est l’un des sujets avec celui de la sécurité les plus controversés. En effet, la performance est à la fois mesurable, donc objective, et perçue, donc subjective. Ensuite, la performance pure d’une application ou d’un processus est souvent le fait d’un ensemble de composants interdépendants. Enfin, même si l’on imagine pouvoir isoler la performance d’une application à un seul serveur, on s’aperçoit en regardant la figure 1-3 – Modèles de service, que chacune des couches a un impact sur la performance objective de l’application.

Prenons un exemple simple : imaginons que vous hébergez dans votre centre de données un serveur de fichiers. Chaque utilisateur y stocke les informations dont il ou elle a besoin pour effectuer son travail quotidien. Les performances d’accès à chacun de ces fichiers sont limitées par la rapidité du réseau, par celle des disques durs sur lesquels sont stockés les fichiers et par la puissance du processeur qui doit interpréter et servir chaque demande d’accès. On peut donc imaginer que si un très grand nombre d’utilisateurs veulent accéder à leurs fichiers en même temps, le serveur, les disques et le réseau vont être mis à contribution et les temps d’accès vont augmenter.

Avec la croissance des fichiers, vous arrivez rapidement à saturation de vos baies de stockage. Il convient alors de trouver une solution plus rapide que la commande de disques durs supplémentaires. Vous décidez alors de stocker les fichiers de vos utilisateurs dans le cloud. Et là, patatras, les performances s’écroulent, car si votre stockage et la puissance des serveurs ont considérablement augmenté, il n’en est rien de votre réseau qui devient un goulot d’étranglement.

Vous l’avez surement compris la contrainte principale : la performance dépend de l’architecture de vos applications et services.