Actualités et temps forts

4 problèmes de sécurité du Data Center qui vous amèneront à repenser votre installation de pare-feu

Porte-parole: Arnaud Gauge,
Senior Manager, Solution Engineering – Virtual Cloud Network,
VMware France


Vous souvenez-vous de ce qui se passait il y a dix ans ? On a parfois l’impression que l’année 2011 vient à peine de se terminer, mais beaucoup de choses ont changé en dix ans. À cette époque, la plupart des Data Centers commençaient à peine à tester la virtualisation. Vous souvenez-vous de l’époque où les craintes en matière de sécurité faisaient que seules quelques charges de travail non essentielles pouvaient être virtualisées ? Eh bien, aujourd’hui, près de la moitié des serveurs du monde entier sont désormais virtualisés, et nous avons même dépassé le stade de la simple virtualisation. Presque tous les Data Centers d’entreprise se sont transformés en environnement hybride, mélangeant stockage virtuel et physique et ressources informatiques. 
La conteneurisation et les technologies qui la prennent en charge commencent à s’implanter. Et bien sûr, le Cloud Computing s’est généralisé, dans tous les aspects de l’informatique professionnelle. 

Les avantages commerciaux des Software-Defined Data Centers d’aujourd’hui sont nombreux, tout particulièrement sur le plan de l’efficacité des ressources et des économies de coûts. Mais cela ne doit pas nous faire oublier que la complexité s’est également accrue. En effet, les mêmes ressources restent nécessaires (calcul, stockage, commutation, routage), mais un certain nombre de ces dernières peuvent désormais se trouver on premise ou sur le Cloud. Maintenir la connectivité, garantir le respect des exigences de performances commerciales et s’adapter au rythme des modifications technologiques et commerciales : à l’heure actuelle, la gestion d’un Data Center est un véritable défi. Et nous n’avons même pas encore abordé l’enjeu principal pour les conseils d’administration, les dirigeants d’entreprise et les professionnels de l’informatique : la sécurité.

Voyons à présent quelques-uns des enjeux de sécurité des Data Centers d’aujourd’hui :

1. Vous ne pouvez pas sécuriser ce que vous ne comprenez pas

Commençons par la visibilité. Dans un récent webinaire avec Omdia, l’analyste nous parlait de ce qu’il dénomme le cycle de vie des opérations de cybersécurité, qui présente les étapes de mise en place deSecOps efficaces. Dans ce cycle de vie, tout comme dans le Data Center, tout commence par la visibilité. Après tout, comment voulez-vous sécuriser un environnement si vous ne le comprenez pas ? La visibilité d’un Data Center passe par la mise à disposition d’informations fiables et en temps réel concernant les charges de travail, les utilisateurs, les terminaux et les réseaux. Il est également essentiel d’être prévenu dès l’apparition de modifications des conditions, dès l’aggravation des conditions de risque, ou dès l’apparition de nouvelles menaces. À l’heure actuelle, à l’ère du COVID(ou bientôt post­COVID, comme nous l’espérons tous), vous allez probablement être confronté à une base d’utilisateurs fortement répartie, qui accède aux ressources du Data Center à partir de sites distants, pour une durée indéterminée. 

Dans ce contexte, combien d’organisations sont en mesure de déclarer avec une certitude absolue qu’elles disposent d’une visibilité adaptée sur leur Data Center ? Si ce n’est pas votre cas, il pourraitêtre judicieux de vous demander si votre plan de sécurité est correctement mis en œuvre. En effet, plus votre visibilité est faible, plus vous souffrirez de failles de sécurité.

2. Il n’existe aucune application dédiée

Abordons maintenant la sécurité des applications. Nous pourrions dédier un article de blog complet à ce sujet, mais voici l’essentiel : vous avez vraiment besoin de contrôles de sécurité au sein et autour de vos applications. Des approches différentes sont nécessaires, selon qu’il s’agisse d’applications sur site traditionnelles ou d’applications SaaS. Rester au fait des exigences règlementaires en matière d’application est également un défi constant. À mesure que les applications adoptent de plus en plus une structure basée sur différents composants, vous aurez besoin de vous appuyer sur les processus DevSecOps pour vous assurer que la sécurité est intégrée aux instances prenant en charge des fonctions d’applications conteneurisées, 
ou même sans serveur.

3. La seule constante : le changement (rapide) 

Le défi suivant est le rythme du changement. Vous pouvez penser qu’il s’agit d’un cliché, mais presque toutes les organisations traversent actuellement une sorte de transformation digitale, qui, à divers degrés, implique une transition importante en matière d’infrastructure informatique. Mais ce que personne ne vous raconte au sujet de la transformation digitale, c’est que ce processus entraîne l’apparition définitive d’un rythme de changement accéléré : plus d’infrastructure Cloud, plus de SaaS, plus de conteneurisation. Et au cours des dix prochaines années, vous serez également confronté à diverses technologies telles que l’IoT ou la 5G. Vous assisterez donc à une augmentation exponentielle du nombre de terminaux qui se connecteront 
à votre Data Center et l’alimenteront en données. Les technologies de sécurité des Data Centers devront alors se centrer sur une approche basée sur l’automatisation et les règles, capable de s’adapter à un rythme de changement en croissance constante. 

4. L’explosion du volume de trafic est-ouest est le rêve de tous les hackers 

Pour finir, il est nécessaire de s’arrêter sur un enjeu spécifique : le trafic est-ouest. L’évolution des Data Centers a entraîné l’explosion du volume de trafic est-ouest au sein du Data Center. Les Data Centers plus efficaces et sécurisés disposent d’un plus grand nombre de charges de travail, ce qui entraîne une augmentation du trafic réseau. Dans la plupart des organisations, le volume du trafic est-ouest dépasse désormais largement celui du trafic nord-sud, qui entre dans le Data Center puis en ressort. Mais ce n’est pas parce que le trafic est-ouest ne quitte pas physiquement votre Data Center que vous pouvez lui faire confiance. 

Le trafic est-ouest est le rêve de tous les pirates qui cherchent à dissimuler des mouvements latéraux malveillants. Il s’agit peut-être même du problème le plus important des environnements de Data Centers modernes. Quel est le scénario entraînant des tentatives de mouvement latéral le plus répandu ? 
Il s’agit du vol d’informations d’authentification valides. Dans l’hypothèse 
où un cybercriminel est authentifié dans une application système à l’aide d’informations d’authentification légitimes, vous devez disposer de contrôles au niveau de la couche réseau capables d’identifier le trafic malveillant et de l’empêcher de traverser votre réseau et d’aggraver potentiellement l’intrusion. Dans ce contexte, le doute n’est plus permis : le trafic est-ouest joue désormais le rôle de périmètre réseau.

Et il vous faut donc un nouveau type de pare-feu

Tout le monde, ou presque, sait qu’un pare-feu est nécessaire dès lors 
qu’il existe un périmètre réseau. Par extension, les entreprises doivent désormais installer des pare-feu à l’intérieur de leur Data Center. Mais les approches traditionnelles de pare-feu périmétrique ne sont pas nécessairement adaptées au trafic est-ouest. Penchons-nous un peu plus sur la question.

Tout d’abord, la topologie du Data Center pose un problème 

Tout particulièrement dans un Software-Defined Data Center, il peut être impossible d’insérer des pare-feu virtuels entre chaque charge de travail. Le détournement du trafic est-ouest vers l’emplacement des pare-feu dédiés n’est pas non plus une approche efficace. Cela entraînerait inévitablement la création de goulots d’étranglement physiques sur l’environnement virtuel, ce qui va à l’encontre de l’objectif du modèle software-defined, axé sur l’efficacité et la flexibilité. Pensez également à la manière dont les pare-feu contrôlent le trafic, ainsi qu’aux types de trafic concernés. Sur le périmètre, vous bloquez principalement des protocoles et des ports spécifiques, ainsi que des plages d’adresses IP. Mais avec les pare-feu de nouvelle génération, vous contrôlez le trafic en fonction des types d’application et des groupes d’utilisateurs. Très bien, mais le contexte est-ouest exige la présence de contrôles bien plus granulaires. Même si vous ne disposez que d’une application, celle-ci peut avoir différentes fonctions (une couche Web, une couche de fonction d’application, une couche de base de données) et toutes nécessitent des contrôles différents. Votre pare-feu doit pouvoir comprendre non seulement le trafic et l’application, mais également les composants de l’application et la logique commerciale qui permet de faire la différence entre les communications acceptables ou non. 

Abordons à présent le problème du trafic chiffré 

Dans le cadre d’un trafic chiffré interne à la charge de travail, essayer de déchiffrer, inspecter puis rechiffrer ces paquets implique une surcharge importante, qui n’est souvent pas envisageable. Mais, vous ne pouvez pas non plus ignorer ce trafic, car vous ne savez jamais réellement ce qui s’y trouve.

Il est donc nécessaire de mettre en place des fonctions de pare-feu est-ouest. Cela ne signifie toutefois pas qu’il vous faut accepter les limites traditionnelles des pare-feu physiques et virtuels. Une autre approche est possible. Nous voulons parler des périmètres virtuels, ou plus concrètement de la micro-segmentation.

Le périmètre virtuel : un concept traditionnel avec une approche nouvelle

La micro-segmentation correspond à l’utilisation des logiciels et des règles pour mettre en place une segmentation réseau granulaire jusqu’au niveau de l’application et de la charge de travail. Ce concept n’est pas nouveau, mais de nombreuses organisations ne l’ont pas encore mis en place. Si la micro-segmentation offre de nombreuses fonctionnalités identiques à celles d’un pare-feu traditionnel, elle réduit le pare-feu à une fonctionnalité au sein d’une instance virtuelle. En d’autres termes, les contrôles de sécurité sont intégrés au niveau de la charge de travail, ce qui fait de cette approche une avancée considérable en matière de pare-feu de Data Centers. À l’avenir, les pare-feu passeront de plus en plus du statut d’appliances virtuelles et physiques à l’objectif précis à celui de fonctionnalités au sein d’une application, d’une charge de travail ou d’un conteneur.

Sécurité du Data Center : pour une simplicité et une efficacité améliorées

Dans la plupart des entreprises, la cybersécurité est une priorité commerciale essentielle, mais la sécurité devrait également être un atout commercial. Les responsables de sécurité qui travaillent dans ce secteur depuis longtemps savent que les dirigeants ne veulent bien évidemment pas voir les pires scénarios de sécurité se réaliser, mais qu’ils ne veulent pas non plus que leurs activités soient entravées par des architectures de sécurité qui ralentissent leurs employés, leurs processus, ou encore la technologie et l’innovation.

Les microservices et les pare-feu basés sur des fonctions disposent d’un avantage considérable : ils permettent une intégration bien plus flexible de la sécurité dans les processus commerciaux, même lorsque ceux-ci sont soumis à un rythme de modification et d’adaptation rapide. L’image ci-dessous présente sur la gauche le modèle de pare-feu virtuel traditionnel, dans lequel la seule approche viable consiste à insérer des instances de pare-feu virtuel entre différentes charges de travail et différents groupes de charge de travail. Les fournisseurs de pare-feu vous diront que pour segmenter votre réseau correctement, un grand nombre de pare-feu est nécessaire. Cela ne surprend personne. Mais ce modèle est difficile à déployer et gérer. Il n’est pas efficace, rarement rentable et ne favorise définitivement pas l’agilité. 

Du côté droit de l’image ci-dessous, vous pouvez voir un modèle à micro-segmentation. Vous conservez les mêmes fonctionnalités de pare-feu, mais elles sont désormais intégrées à chaque charge de travail. Chacune d’elles dispose d’une règle correspondante qui établit les paramètres du pare-feu, ainsi que d’autres aspects de sécurité du réseau. Dès qu’une charge de travail est créée, sa règle de sécurité est donc déjà mise en place.

D’un point de vue commercial, l’intégration de la sécurité directement dans 
les ressources vitales du Data Center présente un grand nombre d’avantages. Avec ce type de micro-segmentation basée sur des règles, dès que vous déployez une charge de travail, vous disposez immédiatement des contrôles de sécurité requis par cette dernière. Vous pouvez empêcher les menaces de mouvements latéraux, limiter le trafic sur l’application et profiter de tous les avantages de l’accès zéro confiance . Cette installation de pare-feu vous permet en outre de créer plusieurs couches de fonctionnalités de sécurité supplémentaires, comme l’IDS/IPS, l’analyse de trafic réseauet l’application de correctifs virtuels.

Pour résumer : l’installation de pare-feu n’est pas près de disparaître

Ne laissez jamais personne vous dire que les pare-feu vont devenir obsolètes, tout particulièrement pour les Data Centers. Vous avez toujours besoin des contrôles offerts par un pare-feu. Mais il est vrai que les instances de pare-feu autonome traditionnel vont petit à petit laisser place à l’installation de pare-feu sous forme de fonctionnalité. L’heure est venue de commencer à étudier le fonctionnement de ces technologies et leurs avantages potentiels pour votre organisation.

Je vous invite à approfondir ce sujet et à vous pencher sur la manière dont la technologie fonctionne dans votre environnement, grâce à notre webinaire à la demandeWhat’s Next for Data Center Firewalls?, qui vous permettra de découvrir des expériences concrètes liées au parcours d’implémentation de cette nouvelle approche de sécurité du Data Center chez VMware, de la bouche de son directeur de conception et d’ingénierie de solution pour l’infrastructure informatique centrale, aux prises actuellement avec ces scénarios de transformation du Data Center. Si vous ne me croyez pas sur parole, laissez-le vous convaincre !

Regarder le webinaire dès maintenant.

En savoir plus sur les pare-feu service-defined VMware NSX.