theNet by CLOUDFLARE

Les défis de l'infrastructure réseau

Considérations relatives à votre migration vers le cloud

Il est rare que la migration vers le cloud s'effectue d'une seule traite. Peu d'organisations sont en mesure d'adopter un seul fournisseur de cloud, et un nombre bien plus important se retrouve avec une combinaison de cloud public, de cloud privé et d'infrastructure sur site.

De nombreuses bonnes raisons justifient de maintenir une infrastructure hétérogène. Il n'en va pas de même pour les fonctions réseau sous-jacentes à cette infrastructure :

  • La sécurité, par exemple les pare-feux, l'atténuation DDoS et la gestion des accès des utilisateurs

  • Les performances et la fiabilité, par exemple l'équilibrage de charge, l'accélération du trafic et l'optimisation WAN

Paradoxalement, une approche hybride de la protection et de l'accélération des environnements cloud complexes crée en fait des problèmes de performance, des failles de sécurité et des difficultés en termes de soutien. Afin d'éviter ces problèmes, les équipes informatiques et de sécurité doivent s'assurer que les fonctions réseau fonctionnent ensemble de manière parfaitement transparente.


Infrastructure de sécurité et de performance: modèles et défis courants

La sécurisation et l'accélération des infrastructures cloud hybrides et multicloud requièrent généralement un ou plusieurs des éléments suivants :

  • Appliances physiques sur site

  • Solutions multipoints fournies dans le cloud

Ces deux approches s'accompagnent malheureusement de défis considérables.


Défis liés aux appliances physiques sur site

Il est de notoriété publique que les équipements physiques installés dans les datacenters s'avèrent coûteux, aussi bien du point de vue financier que du temps consacré à ces derniers. En outre, ils présentent souvent certaines limitations en termes de capacité. Pour prendre un exemple, selon un rapport de Cloudflare, 98 % de l'ensemble des attaques DDoS lancées au quatrième trimestre 2021 sur les couches 3 et 4 ont envoyé jusqu'à 1 million de paquets par seconde (pps). En règle générale, une interface Ethernet de 1 Gb/s peut acheminer entre 80 000 et 1,5 million de paquets par seconde.

En admettant que l'interface serve également au trafic légitime, on voit très bien comment les attaques DDoS présentant un débit de paquets « faible » peuvent facilement bloquer une propriété Internet. La solution alternative ? Maintenir une capacité suffisante pour le pire des scénarios, mais c'est une proposition coûteuse.

Le matériel crée également des failles de sécurité. Les correctifs et les mises à jour en sont un exemple. Les correctifs reposent sur une mise en œuvre manuelle, et peuvent ne pas être installés rapidement en raison de retards logistiques ou d'oublis. De plus, une fois un correctif publié, la vulnérabilité correspondante devient une cible privilégiée pour les auteurs d'attaque opportunistes.

Qui plus est, les appliances physiques réseau déployées selon une approche de cloud hybride créent des failles de sécurité. Il est évidemment impossible d'installer votre propre matériel chez un fournisseur de cloud tiers. Cela signifie que différentes parties de l'infrastructure sont protégées de différentes façons, ce qui réduit la visibilité et le contrôle des équipes de sécurité et informatiques en termes d'attaques entrantes et de trafic légitime.


Défis liés à certaines solutions reposant sur le cloud

Les services fondés sur le cloud ont un coût total de possession inférieur à celui du matériel, mais ils peuvent ralentir les performances des applications et du réseau s'ils sont mal déployés. Par exemple, beaucoup d'entre eux dépendent d'un nombre limité de datacenters spécialisés, comme les scrubbing centers pour l'atténuation DDoS. Si vous ou vos utilisateurs finaux ne vous trouvez pas à proximité d'un de ces datacenters, votre trafic devra parcourir une longue distance pour les atteindre, même si la destination finale est proche.

Ce reroutage peut ajouter une latence considérable. Ce problème s'aggrave encore lorsqu'une organisation recourt à différents fournisseurs pour exécuter différentes fonctions réseau, et que le trafic doit faire beaucoup de sauts sur les réseaux avant d'atteindre sa destination.

Le recours à différents fournisseurs pour différentes fonctions crée également des défis en matière d'assistance. En cas de problème, il peut être difficile de déterminer quel fournisseur est à l'origine de la saturation ou des pannes. En outre, le temps (et donc les coûts) nécessaire pour gérer tous ces fournisseurs peut encore être élevé.

Comment les organisations peuvent-elles relever ces défis ?


Les réseaux cloud distribués comblent les failles de sécurité et réduisent la latence

Les stratégies mentionnées précédemment pour sécuriser et accélérer l'infrastructure cloud présentent plusieurs faiblesses communes :

  • Problèmes de performances : la capacité du matériel est limitée, tandis que les services basés sur le cloud peuvent entraîner une latence, en particulier lorsque le trafic passe par plusieurs réseaux cloud pour plusieurs services.

  • Surveillance et contrôles incohérents : l'utilisation de services distincts pour des fonctions réseau différentes complique l'application de règles cohérentes et la surveillance du trafic mondial.

  • Soutien : le recours à des services distincts rend difficile le diagnostic des problèmes.

L'intégration et la portée mondiale constitue les solutions à tous ces problèmes : elles permettent à ces fonctions réseau de fonctionner ensemble de manière aussi transparente que possible, partout dans le monde.

En pratique, ce genre de débit implique généralement l'utilisation d'un réseau cloud distribué. Ce type de réseau présente les caractéristiques suivantes :

  • De nombreux points de présence avec une distribution mondiale. Ainsi, les utilisateurs finaux sont toujours à proximité du réseau, ce qui élimine la latence due au trafic en provenance et à destination d'un scrubbing center, d'un serveur VPN ou d'un autre service distant.

  • La capacité d'exécuter de multiples fonctions de sécurité et de performance à chaque point de présence. Ainsi, le trafic peut être « nettoyé », routé et accéléré dans un seul datacenter, plutôt que de devoir passer d'un endroit à l'autre pour chaque fonction (ce qui crée également une redondance). Si un datacenter est surchargé ou tombe en panne, d'autres peuvent prendre le relais instantanément.

  • La possibilité de combiner des infrastructures cloud et sur site. Cette capacité, tout comme les précédentes, permet aux équipes informatiques et de sécurité d'établir des contrôles cohérents et de surveiller le trafic mondial à partir d'un seul et même endroit.

Les réseaux cloud distribués reposent souvent sur Anycast, une méthode d'adressage et de routage réseau permettant de router les requêtes entrantes vers différents emplacements, également nommés « nœuds ». La technologie Anycast permet à ces réseaux de router le trafic entrant vers le nœud le plus proche disposant de la capacité de traiter efficacement la requête, un point essentiel pour réduire le temps de latence pour les utilisateurs finaux.

Avec cette interconnexion, ce routage intelligent et cette redondance, des problèmes tels que les contrôles incohérents, la latence élevée et le soutien difficile sont beaucoup moins susceptibles de freiner la migration vers le cloud.

Le réseau cloud distribué de Cloudflare dispose de datacenters présents dans 330 villes réparties dans 120 pays. Chacun de ces datacenters est en mesure d'appliquer des règles de pare-feu, d'atténuer les attaques DDoS, d'équilibrer la charge du trafic et de mettre le contenu en cache afin d'assurer, entre autres fonctionnalités, sa diffusion rapide aux utilisateurs finaux.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.


Points clés

Cet article vous permettra de comprendre les points suivants :

  • Les avantages et les inconvénients d'une infrastructure hétérogène

  • Les défis liés aux équipements physiques sur site et à la multiplication des solutions ponctuelles dans le cloud

  • Comment un réseau cloud distribué peut éliminer ces difficultés


Ressources associées


Approfondissez ce sujet.

Pour en savoir plus sur les stratégies de sécurité relatives à la migration des fonctions réseau depuis le matériel vers le cloud, consultez le livre blanc La fin des équipements réseau physiques.

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !