Les défis de l'infrastructure réseau

Considérations relatives à votre migration vers le cloud

Il est rare que la migration vers le cloud s'effectue d'une seule traite. Peu d'organisations sont en mesure d'adopter un seul fournisseur de cloud, et un nombre bien plus important se retrouve avec une combinaison de cloud public, de cloud privé et d'infrastructure sur site.

De nombreuses bonnes raisons justifient de maintenir une infrastructure hétérogène. Il n'en va pas de même pour les fonctions réseau sous-jacentes à cette infrastructure :

  • La sécurité, par exemple les pare-feux, l'atténuation DDoS et la gestion des accès des utilisateurs
  • Les performances et la fiabilité, par exemple l'équilibrage de charge, l'accélération du trafic et l'optimisation WAN

Paradoxalement, une approche hybride de la protection et de l'accélération des environnements cloud complexes crée en fait des problèmes de performance, des failles de sécurité et des difficultés en termes de soutien. Afin d'éviter ces problèmes, les équipes informatiques et de sécurité doivent s'assurer que les fonctions réseau fonctionnent ensemble de manière parfaitement transparente.

Infrastructure de sécurité et de performance : modèles et défis courants

La sécurisation et l'accélération des infrastructures cloud hybrides et multicloud requièrent généralement un ou plusieurs des éléments suivants :

  • Appliances physiques sur site
  • Solutions multipoints fournies dans le cloud

Malheureusement, ces deux approches posent des défis considérables :

Défis liés aux appliances physiques sur site

Il est bien connu que le matériel des datacenters est coûteux et que le coût de possession est lié à un investissement temporel important. Il présente aussi souvent des limitations de capacité. Par exemple, 76 % de toutes les attaques DDoS visant les couches 3 et 4 au deuxième trimestre 2020 ont envoyé jusqu'à 1 million de paquets par seconde (pps), selon une étude de cloudflare. En règle générale, une interface Ethernet de 1 Gbit/s peut accueillir entre 80 000 et 1,5 million de paquets par seconde.

En admettant que l'interface serve également au trafic légitime, on voit très bien comment les attaques DDoS présentant un débit de paquets « faible » peuvent facilement bloquer une propriété Internet. La solution alternative ? Maintenir une capacité suffisante pour le pire des scénarios, mais c'est une proposition coûteuse.

Le matériel crée également des failles de sécurité. Les correctifs et les mises à jour en sont un exemple. Les correctifs reposent sur une mise en œuvre manuelle, et peuvent ne pas être installés rapidement en raison de retards logistiques ou d'oublis. De plus, une fois un correctif publié, la vulnérabilité correspondante devient une cible privilégiée pour les auteurs d'attaque opportunistes.

Qui plus est, les appliances physiques réseau déployées selon une approche de cloud hybride créent des failles de sécurité. Il est évidemment impossible d'installer votre propre matériel chez un fournisseur de cloud tiers. Cela signifie que différentes parties de l'infrastructure sont protégées de différentes façons, ce qui réduit la visibilité et le contrôle des équipes de sécurité et informatiques en termes d'attaques entrantes et de trafic légitime.

Défis liés à certaines solutions reposant sur le cloud

Les services fondés sur le cloud ont un coût total de possession inférieur à celui du matériel, mais ils peuvent ralentir les performances des applications et du réseau s'ils sont mal déployés. Par exemple, beaucoup d'entre eux dépendent d'un nombre limité de datacenters spécialisés, comme les scrubbing centers pour l'atténuation DDoS. Si vous ou vos utilisateurs finaux ne vous trouvez pas à proximité d'un de ces datacenters, votre trafic devra parcourir une longue distance pour les atteindre, même si la destination finale est proche.

Ce reroutage peut ajouter une latence considérable. Ce problème s'aggrave encore lorsqu'une organisation recourt à différents fournisseurs pour exécuter différentes fonctions réseau, et que le trafic doit faire beaucoup de sauts sur les réseaux avant d'atteindre sa destination.

Le recours à différents fournisseurs pour différentes fonctions crée également des défis en matière d'assistance. En cas de problème, il peut être difficile de déterminer quel fournisseur est à l'origine de la saturation ou des pannes. En outre, le temps (et donc les coûts) nécessaire pour gérer tous ces fournisseurs peut encore être élevé.

Comment les organisations peuvent-elles relever ces défis ?

Les réseaux cloud distribués comblent les failles de sécurité et réduisent la latence

Les stratégies mentionnées précédemment pour sécuriser et accélérer l'infrastructure cloud présentent plusieurs faiblesses communes :

  • Problèmes de performances : la capacité du matériel est limitée, tandis que les services basés sur le cloud peuvent entraîner une latence, en particulier lorsque le trafic passe par plusieurs réseaux cloud pour plusieurs services.
  • Surveillance et contrôles incohérents : l'utilisation de services distincts pour des fonctions réseau différentes complique l'application de règles cohérentes et la surveillance du trafic mondial.
  • Soutien : le recours à des services distincts rend difficile le diagnostic des problèmes.

L'intégration et la portée mondiale constitue les solutions à tous ces problèmes : elles permettent à ces fonctions réseau de fonctionner ensemble de manière aussi transparente que possible, partout dans le monde.

En pratique, cela implique généralement l'utilisation d'un réseau cloud distribué. Un réseau cloud distribué présente les caractéristiques suivantes :

  • De nombreux points de présence avec une distribution mondiale. Ainsi, les utilisateurs finaux sont toujours à proximité du réseau, ce qui élimine la latence due au trafic en provenance et à destination d'un scrubbing center, d'un serveur VPN ou d'un autre service distant.
  • La capacité d'exécuter de multiples fonctions de sécurité et de performance à chaque point de présence. Ainsi, le trafic peut être « nettoyé », routé et accéléré dans un seul datacenter, plutôt que de devoir passer d'un endroit à l'autre pour chaque fonction (ce qui crée également une redondance). Si un datacenter est surchargé ou tombe en panne, d'autres peuvent prendre le relais instantanément.
  • La possibilité de combiner des infrastructures cloud et sur site. Cette capacité, tout comme les précédentes, permet aux équipes informatiques et de sécurité d'établir des contrôles cohérents et de surveiller le trafic mondial à partir d'un seul et même endroit.

Les réseaux cloud distribués reposent souvent sur Anycast, une méthode d'adressage et de routage réseau avec laquelle les requêtes entrantes peuvent être routées vers différents endroits ou « nœuds ». Anycast permet à ces réseaux de router le trafic entrant au plus près avec la capacité de traiter efficacement la requête, ce qui est essentiel pour réduire le temps de latence pour les utilisateurs finaux.

Avec cette interconnexion, ce routage intelligent et cette redondance, des problèmes tels que les contrôles incohérents, la latence élevée et le soutien difficile sont beaucoup moins susceptibles de freiner la migration vers le cloud.

Le réseau cloud distribué de cloudflare comporte des datacenters répartis dans 200 villes dans plus de 100 pays, chacun d'eux étant capable d'appliquer des règles de pare-feu, d'atténuer les attaques DDoS, d'équilibrer le trafic et de mettre le contenu en cache pour permettre notamment une diffusion rapide jusqu'aux utilisateurs finaux.

Approfondissez ce sujet. Pour en savoir plus sur les stratégies de sécurité relatives à la migration des fonctions réseau depuis le matériel vers le cloud, consultez le livre blanc La fin des équipements réseau physiques.

Cet article fait partie de notre série consacrée aux tendances et sujets d’actualité qui intéressent les décideurs technologiques d’aujourd’hui.