La structure du data center a été profondément modifiée au cours des dix dernières années. Les entreprises se sont tournées vers la virtualisation et la conception d’applications à plusieurs niveaux afin de construire des data centers plus dynamiques capables d’augmenter plus rapidement la performance, la capacité et les fonctionnalités.
Ces évolutions ont transformé le trafic. Aujourd’hui, soit la majorité des flux se trouvent dans le data center, soit ils circulent d’est en ouest entre les différentes machines virtuelles qui exécutent les applications et gèrent les données. L’approche Software-Defined Data Center (SDDC) repose sur une virtualisation du réseau, dynamise les performances, l’agilité et les services par ordre de grandeur. Le nouveau data center fait en effet abstraction du réseau physique, se structure de façon logique, et exécute les applications en fonction des besoins commerciaux.
Dans ce paradigme, réseau critique et services de sécurité peuvent être prévus pour les applications qui les requièrent. En outre, pare-feu, prévention des intrusions, analyse de contenu et contrôle de la sécurité peuvent être alloués et appliqués lorsque l’application et son système de calcul en ont besoin ; ils peuvent également être désactivés lorsque leur utilisation n’est plus nécessaire. Avec le SDDC, tout est possible en termes de sécurité. Les ressources du data center sont sécurisées jusqu’au dernier niveau, comme les applications. Toutefois, il faut garder en tête qu’il n’existe pas de sécurité fiable du réseau. Les services de sécurité sont appliqués de façon dynamique et généralisée à toute la couche virtuelle. Ce nouveau type de data center, le plus flexible à ce jour, abrite aussi bien des charges de travail physiques que virtualisées, différentes technologies de virtualisation et des outils de sécurité à la pointe du progrès.
Les menaces qui ciblent le trafic sont situées au cœur du data center, et peuvent s’y introduire en étant dissimulées dans des appareils ou des flux autorisés. Une fois à l’intérieur, elles se propagent de serveur en serveur. En théorie, les contrôles de sécurité des appareils doivent être appliqués à chaque étape du data center, mais en réalité, la manœuvre est irréalisable pour des raisons d’envergure et de performance, en particulier face à l’augmentation de la vitesse réseau et des volumes de trafic. Lorsque la sécurité est activée, son application est rarement générale ou détaillée. Dès lors, malgré les améliorations continues dans ce domaine, l’unification des politiques de sécurité et de contrôle des applications dans les charges de travail physiques et virtuelles se révèle souvent peu réaliste. Les data centers restent par conséquent très vulnérables et la cible privilégiée des pirates informatiques, car ils contiennent bien souvent les données les plus précieuses d’une organisation.
Il est donc essentiel de mettre en place une sécurité de nouvelle génération telles que la micro-segmentation et l’application de contrôles de sécurité des flux des utilisateurs dits ″granulaires″ au sein-même des data centers. Lors de ce processus, le taux de provisionnement des applications et des charges de travail est aussi important que peut l’être le taux d’erreurs, en particulier dans la sphère virtualisée. Cela augmente le risque d’infection par un malware sur un serveur ou une machine virtuelle. De plus, en l’absence de contrôles de sécurité et face à la complexité des flux de trafic dans le data center, la menace peut se cacher indéfiniment pour ensuite proliférer rapidement. La surveillance du trafic au sein du data center, pour détecter la présence de malwares, toute communication nuisible et exfiltration de données, n’a donc jamais été aussi vitale. Ainsi la découverte d’un logiciel malveillant dans le réseau signifie, avec la micro-segmentation en place, que la menace peut rester cantonnée seulement à un nœud.
Pour les entreprises qui optent pour la micro-segmentation et la sécurité granulaire il est indéniable que si l’installation d’appareils de sécurité à tous les niveaux d’un data center nuit fortement aux performances, contrôler la sécurité des flux de travail, de manière bénéfique reste possible. Pour une sécurité optimale, il est essentiel d’avoir une visibilité complète et d’accéder à tous les paquets et métadonnées des flux de trafic du data center de façon transparente. Ces derniers doivent également être rassemblés et envoyés à toutes les applications et contrôles de sécurité requis par l’organisation.
C’est pourquoi la SDP (Security Delivery Platform) s’est imposée comme un élément indispensable de l’architecture d’un data center. Grâce à l’exploitation des segments physiques et virtualisés du réseau, à l’agrégation des paquets et à la préparation de ces derniers à des fins de confidentialité, d’étiquetage et d’identification de l’application, le trafic situé dans les serveurs physiques et les machines virtuelles peut être envoyé de façon sélective et à très haut débit vers les systèmes de détection des menaces, les antivirus et les outils de prévention des intrusions et des pertes de données.
Cette approche permet de conférer un niveau de protection et de sécurité identique à l’ensemble du trafic du data center, par exemple grâce à des outils de détection de menaces avancées et de prochaine génération tels que ceux qui sont aujourd’hui déployés dans les réseaux d’entreprise et leurs filiales. Le provisionnement adéquat des services, le mouvement des charges de travail et l’élargissement des topologies permettront l’ajustement automatique de l’agrégation du trafic et des politiques de transfert, offrant ainsi une couche de visibilité et de surveillance permanente.
________
Pascal Beurel est Directeur Technique Europe chez Gigamon