Il fut un temps où la sécurité des centres de données était une chose simple. En substance, il suffisait de construire un château fort, de l'entourer de douves, et d'utiliser pont-levis et herse pour en contrôler les accès. Une telle approche était possible parce que les applications, les ressources de calcul et les réseaux étaient étroitement liés et physiquement séparés. Mais ce n'est plus le cas.
Au sein du centre de données, la virtualisation, les applications distribuées et le stockage sur IP ont tout changé. Et à l'extérieur, les cybercriminels utilisent des méthodes de plus en plus sophistiquées. Que doivent donc faire les experts de la virtualisation et des réseaux pour appréhender ce nouvel environnement ?
1. Une adoption croissante de la virtualisation
La prolifération de la virtualisation introduit toutes sortes de risques, si les organisations n'y prennent garde. Et la raison en est simple : plus la virtualisation progresse, plus les organisations perdent en visibilité et en contrôle sur les flux de données entre les machines virtuelles. Parce que les outils conventionnels ne voient pas ces flux.
En réponse, de nombreuses organisations installent des pare-feu virtuels pour inspecter les paquets de données et faire appliquer leurs règles de sécurité. Mais ce n'est pas aussi simple que cela peut le sembler. Tous les pare-feu virtuels ne se valent pas. Certaines solutions induisent des pertes de performances significatives jusqu'au point d'effacer les bénéfices de la virtualisation.
Qui plus est, la sécurité peut empêcher les organisations de tirer pleinement profit de la virtualisation. De fait, les entreprises veulent pouvoir profiter des avantages liés à la migration live des machines virtuelles. Mais il existe de véritables dangers à migrer une machine virtuelle d'un serveur physique à l'autre si l'on ne dispose pas des outils permettant de migrer, dans le même temps, les règles de sécurité associées et les tables de connexion.
2. Les applications distribuées
Les applications de type Lego, construites à partir de services réutilisables, sont de plus en plus communes dans les centres de données modernes. Elles accélèrent considérablement le développement, mais elles rendent plus difficile l'application des contrôles d'accès en raison d'une hiérarchie éclatée des contrôles, dans le cadre des sessions utilisateurs, et d'un nombre élevé de connexions TCP pour chaque interaction client.
Pour assurer que seul l'accès légitime à un composant applicatif est accordé, les organisations ont besoin de repenser leur stratégie de sécurité. Définir des privilèges d'accès sur la seule base des adresses IP n'est pas approprié dans le cadre d'environnements virtualisés puisqu'elles sont dynamiques par essence. Cela ne permet pas de répondre aux impératifs de sécurité dictés par les cadres réglementaires. Les entreprises doivent mettre en place les solutions de sécurité réseau capables de faire respecter des règles d'accès basées sur les identités et les rôles au sein d'environnements fortement distribués.
3. La croissance du stockage sur IP
Le stockage change également. Les nouveaux systèmes de stockage Ethernet tier-1 fournissent un environnement largement plus dynamique aux centres de données virtualisés, mais ils induisent également de plus grandes menaces. Une entreprise peut rapidement se retrouver dans une situation inextricable du fait de données critiques inaccessibles ou pire, corrompues. Les solutions de sécurité doivent protéger contre les attaques en déni de service aussi bien que contre les logiciels malveillants.
Et qu'en est-il des données ? Si les équipementiers sont susceptibles de fournir des outils pour sécuriser les données critiques et non critiques sur la baie de stockage elle-même, ceux-ci ne répondent pas à la problématique des données qui transitent sur le réseau. Mais alors que le trafic réseau évolue, intégrant données et vidéo, les solutions de sécurité doivent protéger non seulement l'intégrité des données, mais également leur confidentialité et leur disponibilité. Elles doivent également être capables d'inspecter, de superviser et de contrôler les divers volumes de trafic rapidement afin que les performances ne soient pas dégradées.
4. Des menaces externes toujours plus grandes
La mobilité des utilisateurs finaux, assortie de leur équipement d'outils collaboratifs, renforce leur productivité et contribue à l'amélioration du service client de nombreuses organisations. Mais la combinaison du « Cloud Computing » basé sur le navigateur Web, des plateformes de données mobiles, et de celles de réseau social, contribue à l'émergence de nouvelles menaces - et notamment des botnets hautement organisés qui peuvent ouvrir des canaux de communication cachés susceptibles de compromettre la confidentialité des données.
Les cybercriminels attaquent sur de multiples fronts et les mesures traditionnelles de sécurité ne permettent pas de les maintenir à une distance raisonnable. Les organisations ont besoin de mettre en œuvre un ensemble cohérent de règles de sécurité à l'échelle de leurs centres de données, afin d'éliminer les vulnérabilités potentielles induites par une multiplication des règles de sécurité différentes.
Les architectes des centres de données modernes sont confrontés à une tâche difficile. D'un côté, on leur demande d'être de véritables héros et d'utiliser la virtualisation ainsi que d'autres avancées technologiques pour réduire la consommation de ressources et les coûts, tout en renforçant l'efficacité. De l'autre côté, les considérations de sécurité limitent leurs possibilités. Comment peuvent-ils satisfaire à toutes ces exigences ?
Au lieu de châteaux, ils doivent penser hôtels ou motels. Bien sûr, le périmètre doit être protégé. Mais à l'intérieur de celui-ci, les administrateurs doivent pouvoir fortifier chaque pièce indépendamment, et aisément définir, contrôler et surveiller les accès. Chez Juniper, nous fournissons les outils matériels et logiciels qui apportent la séparation virtuelle et la sécurité multicouches nécessaires pour faire cela efficacement.
Auteur : Bruno Durand, Juniper.
Sur un sujet similaire : «Il est moins cher de stocker à vie que de sélectionner et effacer» par Gilbert Kallenborn, 01net.
Continuer avec Linkedin