La transformation numérique et particulièrement le cloud computing ont modifié le paysage technologique des entreprises, reportant l’attention sur la sécurité des infrastructures des réseaux. Un TAP réseau (pour Terminal Access Point, en anglais) peut être une mesure essentielle pour optimiser l’uptime et se protéger contre les violations de données.
La migration des applications vers le cloud doit s’accompagner d’une sécurité robuste. L’interruption des services ou les violations de données peuvent avoir un impact catastrophique, notamment lorsqu’il s’agit de données très sensibles confiées à des organismes publics, telles que des dossiers médicaux ou d’autres données personnelles des citoyens. Des attaques très médiatisées, telles que WannaCry et NotPetya, ont tiré la sonnette d’alarme pour les organisations publiques et privées. Ces intrusions graves peuvent signifier une perte de revenus mais aussi des dommages importants sur la réputation. Dans la lutte pour la sécurité des données, le matériel reste primordial malgré l’importance croissante du logiciel.
Le passage au cloud introduit de nouvelles vulnérabilités. Les applications étant hébergées en dehors du réseau de l’entreprise, il est difficile pour les administrateurs de suivre et d’analyser les performances du réseau en temps réel. Par conséquent, les équipes de maintenance des datacenters doivent surveiller en permanence les menaces, telles que des attaques par déni de service (DDoS) ou ransomwares, et identifier rapidement les goulots d’étranglement ou autres problèmes de performance potentiels.
TAP et SPAN
Les organisations peuvent prendre un certain nombre de mesures pour garantir un environnement de cloud computing plus sécurisé.
Impliquer les administrateurs de réseau et les équipes de câblage structuré pour qu’ils adoptent une approche préventive de la surveillance du réseau, n’est pas seulement efficace pour détecter les erreurs et offrir un accès aux données de performance et d’utilisation, mais permet également de garantir l’exactitude des changements pour produire uniquement les résultats souhaités.
Deux technologies sont actuellement utilisées dans les systèmes de surveillance des réseaux : SPAN (switched port analyser), également connu sous le nom de port miroir, et le TAP (test access point) réseau.
Un port SPAN copie le trafic de n’importe quel port vers un port unique inutilisé. Les ports SPAN interdisent le trafic bidirectionnel sur ce port pour se protéger contre le reflux dans le réseau, et dirigent les paquets de son commutateur ou routeur vers le dispositif de test pour analyse.
Un TAP réseau, quant à lui, est un dispositif qui permet une surveillance non intrusive des données circulant sur le réseau afin de superviser les liens du réseau. Un TAP réseau utilise un fractionnement optique passif pour transmettre le trafic en ligne à un dispositif de surveillance connecté sans interférence du flux de données. Il est totalement passif et ne provoque aucune perturbation du réseau mais permet de collecter énormément d’information, en temps réel.
La surveillance avec un TAP réseau
L’uptime est un point essentiel pour les organisations lorsqu’elles cherchent à maximiser la productivité et la valeur de leurs réseaux et applications informatiques. Dans ce contexte, il est judicieux de mettre en œuvre des solutions qui permettent de surveiller le réseau sans en affecter les performances. La surveillance du réseau, lorsqu’elle est mise en œuvre de manière optimale, doit permettre une vision globale du trafic du réseau, y compris les erreurs, quelle que soit la taille des paquets, en temps réel, afin que des mesures préventives ou correctives soient prises rapidement et efficacement plutôt qu’une approche corrective souvent plus coûteuse.
Les TAP sont véritablement neutres et n’ajoutent aucune charge supplémentaire sur le réseau. Comme le dispositif ne fait que diviser un signal au lieu de le reproduire, une partie du signal peut être mise hors ligne, ou hors bande, pour effectuer une analyse d’entrée/sortie (E/S) sans affecter les applications.
Les atouts face au SPAN
Un port SPAN est un outil plus complexe, car il doit être configuré par un ingénieur réseau, ce qui peut poser des problèmes lorsqu’il s’agit de maintenir la disponibilité. Si un port SPAN n’est pas désactivé lors d’un rafraîchissement du réseau, il est possible que ce port soit câblé pour servir de port réseau, créant ainsi une » boucle de pontage « , ce qui entraînera des problèmes de performance du réseau.
Outre la capacité de surveillance passive, le besoin d’un ingénieur réseau peut également avoir une incidence sur les coûts de mise en œuvre. En général, avec le SPAN, le coût augmente en fonction de l’augmentation des débits de données. Par exemple, un port de commutation 10G est plus cher qu’un port de commutation 1G, alors qu’un port de prélèvement à 1G coûte le même prix qu’un port de prélèvement à 10G ou même 40G. Pour ces raisons, « l’optical tapping » devient une solution plus courante pour les débits de données plus élevés.
Intégrer ou ne pas intégrer
Tous les TAP réseaux ne sont pas égaux donc il est important pour les entreprises de comprendre les options qui s’offrent à elles.
La première chose à prendre en compte est l’emplacement. La présentation du port de dérivation sous forme de connecteur MPO à l’arrière du module offre une flexibilité maximale lors de la conception d’un réseau de câblage structuré. L’encombrement des connecteurs MPO permet de séparer les ports de réseau de production en direct et les ports de dérivation dans différents emplacements, si nécessaire.
L’utilisation de cette capacité pour regrouper les équipements de surveillance, plutôt que de l’installer dans de multiples racks à travers le datacenter permet de réaliser des économies en optimisant leur utilisation et réduit les erreurs de patching.
D’autres considérations entrent également en ligne de compte. Un TAP réseau peut être intégré ou non dans votre câblage structuré et peut utiliser des séparateurs biconiques fondus (FBT) ou des séparateurs à couche mince.
De manière générale, les TAP réseaux intégrés offrent de meilleures capacités. Non seulement ils remplissent la même fonction qu’un réseau de câblage structuré normal, mais ils envoient également une partie de la lumière à l’électronique de surveillance. À l’inverse, les TAP réseaux non intégrés sont déployés en tant que dispositifs autonomes en dehors du réseau de câblage structuré, de sorte que chaque fois qu’il est nécessaire de changer les ports surveillés, la liaison doit être temporairement désactivée. Un module de TAP réseau intégré permet de déplacer, d’ajouter et de modifier (MAC) les ports surveillés sans perturber le réseau et peut permettre d’économiser jusqu’à huit heures d’arrêt annuelles.
Options disponibles pour réduire les taux d’erreurs binaires
L’un des grands avantages d’un module de prise intégré est que la solution peut être directement installée dans un câblage structuré. Utilisé avec la technologie des séparateurs multimodes et monomodes à couche mince haute performance, il permet de réduire l’atténuation des liaisons, ce qui se traduit par des distances Ethernet et Fibre Channel plus importantes.
Alors que certains modules de prise sur le marché actuel utilisent encore des séparateurs FBT, qui peuvent entraîner une augmentation du taux d’erreur binaire (TEB) en fonction de l’endroit où ils sont placés dans le système, les séparateurs à couche mince n’introduisent aucune pénalité de TEB, de sorte qu’il est possible de les installer n’importe où dans le système sans effets de TEB.
Les modules d’exploitation intégrés permettent d’exploiter toutes les liaisons dès la mise en œuvre, avec la possibilité de ne surveiller que les liaisons nécessaires. Au fur et à mesure que les besoins en matière de surveillance du réseau augmentent ou changent, les administrateurs réseau peuvent simplement ajouter le câblage nécessaire entre les modules de prise installés et l’équipement de surveillance du réseau correspondant. Comme il n’est pas nécessaire de modifier l’infrastructure de câblage, il n’y aura aucune perturbation du réseau.
Comme les modules TAP occupent le même espace que les modules MPO ou LC traditionnels, l’ajout de la surveillance à un réseau existant est aussi simple que le remplacement d’un module traditionnel par un module de prise.
Le besoin de données et la capacité des entreprises à les stocker, les analyser et les gérer ne font qu’augmenter. Cela signifie que les considérations de coût potentiel d’une violation de données vont également augmenter dans le monde où la sécurité est primordiale. Du point de vue du matériel, les entreprises doivent comprendre parfaitement leurs réseaux et intégrer des solutions de sécurité et de surveillance qui soient évolutives. Les TAP réseaux offrent cette possibilité, ce qui en fait une solution pragmatique et réaliste, solide et à long terme.
___________________
Par Cindy Ryborz, responsable marketing DC EMEA, Corning Optical Communications