Sécurisation des datacenters : une étape incontournable dans la transition vers le multicloud

Une exclusivité Datacenter-Magazine.fr

 

Par Ramyan Selvam, Ingénieur Systèmes et spécialiste sécurité chez Juniper Networks

Dans le domaine de l’informatique, les deux tendances qui marquent le plus les esprits sont le cloud et la sécurité. Et évidemment, la première complique la seconde.

Lorsqu’il s’agit de sécurité, plusieurs points sont à prendre en compte. Il y a bien longtemps qu’avoir une sécurité uniquement périmétrique, aussi élevée soit elle, n’est plus suffisant.

Alors, comment les entreprises peuvent-elles continuer à assurer la sécurité du périmètre alors que celui-ci explose, et en perpétuelle évolution ? Comment assurer le même niveau de sécurité à mesure que les workflows sont migrés vers le Cloud ou pire le Multicloud ?

Pas de doute : la sécurité est un défi de taille. Cependant, les services informatiques des entreprises doivent prendre en compte certains aspects lorsqu’ils s’engagent sur la voie du multicloud.

Même si la sécurité du périmètre est insuffisante, elle reste importante

Le vieillissement de la sécurisation des infrastructures au format « château-fort » ne fait aucun doute, mais il faut également reconnaître qu’il est essentiel d’assurer une certaine sécurité du périmètre. Au sens des datacenters classiques, c’est la raison pour laquelle les équipes réseau déploient une sécurité des réseaux sous la forme de pare-feu dotés de capacités nouvelle génération.

Ce même modèle a sa place dans le cloud. À mesure que les équipes déploient des pools de ressources, il est crucial de les protéger par une passerelle sécurisée. Un cloud privé virtuel (VPC) doit fonctionner selon les mêmes bonnes pratiques de sécurité que celles d’un datacenter. Cela se traduit par le déploiement d’un dispositif de sécurité efficace pour jouer le rôle de passerelle.

En plus de fournir des fonctions de pare-feu nouvelle génération, ce dispositif virtuel est également un élément essentiel pour assurer le chiffrement de la totalité du trafic entre les datacenters et les clouds.

La microsegmentation à sa place en dehors du datacenter.

La majorité des personnes préoccupées par la sécurité savent que la microsegmentation est un moyen efficace de renforcer la sécurité. Cependant, la segmentation est plus qu’une exigence des datacenters.
Dans un environnement multicloud, la définition du trafic est-ouest s’étend pour couvrir tout le trafic entre les workloads situés n’importe où dans l’entreprise. Par exemple, le micro-bursting (utilisation des ressources cloud publiques pour accroître temporairement la capacité des applications) permet aux workloads de diriger le trafic de manière dynamique entre le datacenter privé et un ou plusieurs clouds publics. Les exigences en matière de sécurité s’appliquent même lorsque le trafic quitte le datacenter. Cela signifie que les outils comme la microsegmentation doivent s’exécuter au-delà du datacenter dans le cloud public.

En réalité, à mesure que l’adoption rapide de l’edge computing progresse, les entreprises pourront observer que les workloads fonctionnent également à la périphérie du réseau. Les mouvements tels que l’IoT favoriseront les clouds distribués dans certaines instances, ce qui signifie que les solutions de microsegmentation ne se limiteront pas au domaine des datacenters (privés et publics). En effet, il faudra aussi l’intégrer aux sites distants, campus et site client.

Des serveurs physiques aux conteneurs

Les politiques de sécurité devront également devenir plus granulaires. Il n’est pas suffisant de les appliquer aux points d’agrégation tels que la périphérie du datacenter, la passerelle VPC ou le port d’accès sur un commutateur ToR (Top of Rack). Les workloads se diversifient, les entreprises doivent recourir à un moyen de sécuriser les serveurs physiques, les machines virtuelles et les conteneurs au sein des environnements privés et publics.

Ce processus pose au minimum des exigences supplémentaires pour les architectures de sécurité, mais il oblige une rationalisation à l’échelle de l’entreprise des fonctions de sécurité. Dans ce cas, la diversité d’un environnement multicloud représente un problème de sécurité distribuée de plus en plus complexe.

La diversité est l’ennemi

Les environnements de sécurité sont plus complexes et les cybercriminels plus déterminés que jamais. Pourtant, les entreprises ont recours à des solutions de sécurité reposant sur des outils travaillant indépendamment les uns des autres, ce qui se traduit par la recrudescence du nombre de fournisseurs et l’inefficacité des stratégies de sécurité. Les entreprises admettent aujourd’hui que la capacité à intégrer des technologies de sécurité disparates constitue la principale difficulté dans la création d’une architecture d’automatisation de la sécurité efficace. Selon une récente étude dirigée par Ponemon Institute, 59 % des participants sont d’avis que leur entreprise doit limiter le nombre de fournisseurs.

Cependant, que se passe-t-il lorsque la charge opérationnelle dépasse la capacité de l’entreprise ? En contexte de prospérité économique, le problème se pose déjà. Si l’économie ralentit ou régresse, les entreprises n’ayant pas été explicitement conçues pour l’efficacité opérationnelle auront une décision difficile à prendre : maintenir une mesure de sécurité en place ou respecter les objectifs des coûts d’exploitation ?

Dans la mesure du possible, les entreprises devront trouver le moyen efficace de gérer la sécurité dans des environnements variés. La course au multicloud s’est traduite par un mouvement vers les plateformes de gestion multi-plateformes capables de déterminer et d’appliquer une stratégie de sécurité permettant aux entreprises de surmonter les solutions cloud.

Elles offrent l’avantage d’harmoniser la stratégie de sécurité sur un ensemble diversifié de ressources. Que l’application réside dans un datacenter privé ou dans un cloud public A ou B ne devrait faire aucune différence. Peu importe où se trouve la ressource, l’exigence de sécurité doit être la même. L’utilisation d’une approche de gestion commune pour s’assurer que ce soit le cas permettra de garantir une sécurité plus forte et d’offrir un avantage opérationnel.

Tout ne commence pas par le multicloud

Il est certain que la plupart des entreprises commenceront leur transition vers le multicloud par un petit déplacement vers un cloud unique. Avec cette planification initiale, si la sécurité est verrouillée ou conçue avec un cloud unique en vue, les entreprises vont se retrouver dans une position délicate lorsqu’il sera temps d’évoluer. Plus important encore, les entreprises doivent envisager les aspects opérationnels liés à la sécurité dès le début. Tandis que les outils et les solutions incrémentiels permettant de relever de nouveaux défis sont parfois simples à déployer, les opérations se manœuvrent généralement comme un navire en haute mer : il est préférable de scruter l’horizon à la recherche de problèmes imminents plutôt que de se retrouver coincé et de se retrouver au pied du mur.