Nouveaux horizons du Cloud – vers la couche de sécurité dans la pile logicielle ?

Comment définir précisément le software-defined data center ?

Nous avons déjà abordé l’abstraction matérielle et la virtualisation et les nouvelles technologies telles que le Software-Defined Networking, dans lequel les données et plans de contrôle sont séparés. Les services pouvant étendre ce concept à l’ensemble du datacenter se retrouvent avec un environnement quasi-entièrement virtualisé.

Le stockage, la mise en réseau, les applications, les serveurs et autres sont désormais hébergés etsimplifiés par les hyperviseurs, ce qui conduit à l’apparition de nouveaux concepts à considérer lorsque nous prenons des décisions liées à la conception du réseau et à la sécurité :

• Tout est désormais lié à/aux hyperviseur(s). L’hyperviseur n’est pas simplement une technologie centrale dans la consolidation et l’architecture cloud privée de base, il est désormais lié de façon fonctionnelle à toutes les autres technologies de l’ensemble du datacenter. C’est pourquoi il est essentiel de s’assurer que la sécurité de l’hyperviseur est assurée à tout moment et planifiée de façon adaptée lors des phases de conception initiales.
• L’automatisation est un élément essentiel du SDDC. Les outils d’automatisation sont utilisés pour configurer et utiliser le hardware ainsi que tous les aspects des technologies virtualisées utilisées dans le SDDC. Lorsque les outils d’automatisation deviennent un élément essentiel du fonctionnement de l’ensemble de votre datacenter, le profil de risque de ces outils change considérablement.
• L’orchestration permet aux définitions de politique de piloter la mise en oeuvre du provisionnement et de la gestion automatisés des ressources. La sécurité et l’orchestration n’ont pas fait bon ménage jusqu’à présent, ce qui signifie que très peu de contrôles de sécurité fonctionnent correctement avec des outils d’orchestration et des frameworks, ou répondent de façon adaptée à l’ensemble des workflows automatisés et orchestrés au travers du  cycle de vie des actifs.
• Tout est connecté. Il peut être difficile, voire impossible, de séparer un set de contrôles et de fonctions, ce qui peut entraîner des situations de défaillance basées sur la mise à jour d’un composant et causant des problèmes d’interopérabilité avec différents composants. Par exemple, si une infrastructure de stockage virtuelle ou un  switch de stockage virtuel est mis à jour, cela peut avoir des répercussions sur les performances ou la compatibilité de l’hyperviseur ou les éléments de virtualisation du réseau.
• Deplus en plus de produits de sécurité seront, également, logiciels. Comme nous l’avons déjà indiqué, cela signifie que les contrôles de sécurité nécessiteront désormais des ressources dans l’environnement matériel partagé et que la disponibilité et la redondance sont maintenant au cœur des discussions des équipes de sécurité lorsqu’elles prévoient de mettre en place des contrôles.

Dans un environnement SDDC, la sécurité devrait-elle simplement être traitée comme une autre couche de la pile logicielle ? Si c’est le cas, où est sa place ?

Il y a de nombreuses façons d’aborder ces questions, avec différents avantages et inconvénients en fonction de vos attentes, de vos besoins et technologies.

Commençons par le nouveau mot tendance du jour, « Software-Defined Security » (SDS), qui représente le cas d’utilisation dans lequel la sécurité est désormais un autre asset ou un ensemble de composants virtualisés, avec des mécanismes de protection traditionnels et une meilleure intégration avec les actifs virtualisés. Les systèmes de detection d’intrusion, les outils antimalwares, les pare-feux, les contrôles d’accès au réseau et de nombreuses autres fonctions de sécurité traditionnelles peuvent désormais être virtualisés et implémentés dans un environnement virtuel ou cloud… mais est-ce que cela constitue le « software-defined » ? Je répondrais que non, en fait, ce n’est pas le cas.

Une couche de la pile véritablement ’software-defined’ devrait permettre des opérations IT souples, de la flexibilité pour répondre à l’évolution des besoins de l’environnement et également s’adapter aux fondements principaux d’automatisation et d’orchestration citées auparavant. La plupart des outils et des appliances de sécurité virtuelles sont simplement des modèles virtualisés d’anciennes versions physiques, avec très peu d’adaptations réelles qui puissent permettre une véritable intégration ce cette couche dans la pile logicielle du datacenter.

Cet article a été écrit par Dave Shackleford.