Systèmes hyperconvergés : pourquoi les outils de sécurité traditionnels ne fonctionneront pas ?
Les infrastructures hyperconvergées (Hyperconverged Infrastructure ou HCI) présentent de belles promesses : augmenter le rendement des capitaux investis dans son centre de données ; favoriser l'agilité du provisionnement de services ; bénéficier d'une évolutivité fluide à mesure que ses besoins augmentent.
Mais lorsqu'il est question de sécuriser infrastructures hyperconvergées (HCI,) il faut être prêt à sacrifier 35 % de la capacité CPU pour exécuter des agents de sécurité traditionnels, affectant ainsi les performances et la densité de virtualisation.
De la même manière, il faut également accepter de recourir à une solution qui requiert de pénibles efforts manuels pour s'intégrer à son HCI, pour être déployée, et pour fonctionner. Le jeu en vaut-il la chandelle ?
La sécurisation des infrastructures hyperconvergées représente une avancée significative par rapport à celle des infrastructures de centre de données traditionnelles, dans la mesure où ces dernières impliquent de réduire les systèmes en une dimension unique là où les premières étaient multidimensionnelles.
Les infrastructures hyperconvergées sont un moteur pour les datacenter définis par logiciel (Software-Defined Datacenter ou SDDC) et la sécurisation de ce type d'infrastructures implique une approche basée sur des politiques et liant intrinsèquement la sécurité aux applications plutôt que la mise en oeuvre d'une sécurité traditionnelle basée sur le réseau.
L'effondrement de l'infrastructure traditionnelle à trois niveaux
Les datacenter traditionnels impliquent un calcul, un stockage et une mise en réseau distincts ; les HCI ont fondu cette infrastructure à trois niveaux en une base unique qui intègre également des services de virtualisation, de gestion et de données.
Au final, en plus de simplifier la migration vers un modèle de Cloud hybride, cela simplifie également les tâches administratives des départements IT.
Parce que la technologie qui sous-tend les HCI peut être efficace quel que soit le secteur d'activité dans lequel elle est mise en oeuvre, son adoption devrait réduire les coûts et améliorer l'efficience opérationnelle de toute entreprise ou organisation. Cette conception tout-en-un délaisse également le modèle de sécurité basé sur le réseau, adoptant des politiques de sécurité basées sur les applications qui laissent les charges de travail opérer les unes avec les autres dans tous les segments de réseau.
Les grandes infrastructures traditionnelles comptaient sur des pare-feu pour protéger les utilisateurs et les charges de travail de toute compromission ou contamination ; cette formule ne fonctionne pas pour les infrastructures hyperconvergées.
De manière très simple, l'approche traditionnelle n'est pas compatible avec l'évolutivité nécessaire à l'ajout d'endpoints supplémentaires, et elle conduit à des problèmes de performance et à des ralentissements à mesure que la topographie s'accroît.
Une sécurité orientée applications
Le passage à une infrastructure hyperconvergée demande aux organisations de repenser la manière dont elles stockent et sécurisent leurs données. De nouveaux contrôles de sécurité sont nécessaires, des contrôles et des politiques orientés applications.
L'adoption des HCI étant stimulée par des considérations en lien avec les performances et l'agilité, les solutions de sécurité traditionnelles vont inhiber plutôt que faciliter la transformation numérique, ce qui explique pourquoi les organisations doivent comprendre l'environnement hôte et l'infrastructure hyperconvergée dans sa globalité lorsqu'elles choisissent une solution de sécurité.
Par exemple, une sécurité capable de prendre en charge le provisionnement automatique et d'évoluer au même rythme que l'infrastructure informatique est obligatoire dès lors que des charges de travail nouvellement engendrées ont besoin d'être protégées instantanément.
Une sécurité orientée applications garantit que les politiques de sécurité sont mises en oeuvre automatiquement dans n'importe quelle configuration réseau, sur la base du rôle de la charge de travail, et non de son emplacement au sein de l'infrastructure, comme cela serait le cas avec des infrastructures traditionnelles.
Les infrastructures traditionnelles centrées sur le matériel qui nécessitent que des agents complets soient exécutés sur chaque endpoint impactent fortement les performances, contrairement à la proposition de l'HCI centralisant agilité et performance.
Le datacenter moderne qui est basé sur une HCI doit permettre les contrôles de sécurité centralisés, tout en déployant des agents de sécurité légers - voire pas d'agents du tout - qui n'entravent pas les performances des charges de travail virtuelles.
L'ajout d'une couche d'abstraction supplémentaire aux ressources physiques redéfinit la façon dont la sécurité devrait s'intégrer aux infrastructures hyperconvergées. Même si cela nécessite que les organisations mettent en place de nouvelles pratiques de sécurité, cela ne rend pas pour autant obsolètes les anciennes connaissances en matière de données.
Les pare-feu de périmètre et la ségrégation des réseaux sont deux exemples parmi d'autres de pratiques de sécurité pouvant être appliquées aux infrastructures hyperconvergées, mais les départements IT et sécurité devront se concentrer davantage sur la sécurité des applications que sur le matériel.
Principaux éléments de sécurité des infrastructures hyperconvergées
La capacité de la solution de sécurité à s'intégrer étroitement à l'infrastructure sans nuire aux performances des applications s'exécutant dans les charges de travail virtuelles est la principale considération à prendre en compte lorsqu'il s'agit de sécuriser l'HCI. Autrement, de mauvaises performances dissuaderont les organisations d'adopter l'HCI et de tirer complètement parti de ses avantages en termes de performance et d'évolutivité.
Dans la mesure où tout dans les infrastructures hyperconvergées est conçu autour de l'agilité et d'un déploiement rapide, le déploiement de la sécurité devrait suivre la même tendance. La consolidation des contrôles de sécurité au sein d'une console unique offre non seulement une visibilité complète sur toute l'infrastructure, mais elle permet aussi un déploiement rapide et une application des politiques fluides dans tous les environnements.
L'aspect le plus important de la sécurité des infrastructures hyperconvergées est peut-être que les capacités de prévention, de détection et de résolution de la solution de sécurité ne sont nullement affectées. En fait, en tirant complètement parti de l'intégration étroite aux hyperviseurs qui contrôlent les ressources matérielles allouées aux charges virtuelles, les nouvelles couches de sécurité qui se trouvent en dessous du système d'exploitation invité peuvent offrir une visibilité sans précédent sur les menaces. Cela peut être particulièrement utile au moment de se défendre contre des vulnérabilités connues ou inconnues qui cherchent à compromettre des charges de travail virtuelles.
Enfin, le rôle de la solution de sécurité pour les HCI est de permettre aux organisations d'adopter pleinement la digitalisation, l'agilité et l'automatisation, leur permettant ainsi de se concentrer sur la croissance.
Sur le même thème
Voir tous les articles Cybersécurité