Sécurité des centres de données - Le grand fossé

Les centres de données devenant de plus en plus complexes et dynamiques, les entreprises sont confrontées à un maelström de risques de sécurité. Nous ne pouvons plus nous fier à l'idée qu'une frontière magique protégera nos centres de données.

Il y a environ neuf ans, je travaillais en tant qu'ingénieur distingué pour Juniper, l'une des principales entreprises de sécurité des réseaux au monde. Plus je travaillais, plus les périmètres des réseaux de mes clients s'effritaient lentement. L'infrastructure en tant que service et les solutions en nuage ont rendu impossible la mise en œuvre des services de sécurité traditionnels aux points d'étranglement. Mais ce n'est que lorsque je suis parti que j'ai pu aborder pleinement le fossé entre ce vieux monde et le nouveau monde, où le changement est constant.

Le système de sécurité adaptatif d'Illumio ouvre la voie entre le modèle de sécurité statique du passé et le centre de données de plus en plus dynamique d'aujourd'hui.

Dans ce nouveau monde, la virtualisation des centres de données accélère la mise en place de services de calcul, de stockage et de mise en réseau. L'informatique en libre-service et la culture DevOps de livraison continue accélèrent encore le rythme. Pourtant, au cours de toutes ces avancées, la sécurité a été laissée de côté, ce qui a souvent freiné les progrès. Les responsables SecOps sont désormais contraints de dire non aux architectures en nuage alors que tout le monde dit oui.

Illumio est né de ce chaos.

Il ne s'agit pas d'améliorer le réseau ou l'infrastructure (ou de la rendre virtuelle), nous sommes fondamentalement découplés de ces contraintes. Le système de sécurité adaptatif d'Illumio ouvre la voie entre le modèle de sécurité statique du passé et le centre de données de plus en plus dynamique d'aujourd'hui. C'est ici que les choses commencent à devenir passionnantes.

Trois vérités et le grand écart

1. Nous vivons dans un monde en constante évolution. Nous devons l'accepter, avec tous les défis et les avantages qu'elle comporte.

Les centres de données du passé étaient très liés à leur environnement physique. Les applications s'exécutaient directement sur du métal nu, avec un stockage en attachement direct et des câbles physiques reliant ces machines. Ce monde était statique.

Aujourd'hui, nos centres de données doivent faire face à d'innombrables changements. Avec la livraison continue d'applications, les nouvelles versions sont déployées plus rapidement que jamais. La virtualisation des serveurs permet de déplacer plus facilement et plus fréquemment les charges de travail et de les faire évoluer de manière dynamique. L'infrastructure en tant que service permet à presque tout le monde d'approvisionner et de déployer des serveurs et des applications.

En disposant d'un système de sécurité qui s'adapte à nos choix, nous sommes plus productifs, nous pouvons placer des objets n'importe où et nous sommes libérés du contrôle centralisé et des organisations rigides.

Traditionnellement, nous dépendions de l'infrastructure pour la fiabilité, mais à mesure que nous construisons des centres de données plus grands et plus complexes, les défaillances de l'infrastructure ne peuvent être évitées. C'est pourquoi Google a depuis longtemps adopté la philosophie selon laquelle de nouvelles architectures logicielles doivent être développées pour faire fonctionner des applications fiables au-dessus d'une infrastructure fondamentalement peu fiable.

Alors que le centre de données a subi tous ces changements, la sécurité est restée confinée à des modèles statiques et à des points d'étranglement. Et cela nous empêche d'avancer. Nous ne tirons pas pleinement parti de nos investissements technologiques dans le centre de données dynamique.

Nous savions que l'architecture de sécurité d'Illumio devait intégrer et permettre le changement.

En disposant d'un système de sécurité qui s'adapte à nos choix, nous sommes plus productifs, nous pouvons placer des objets n'importe où et nous sommes libérés du contrôle centralisé et des organisations rigides. Nous pouvons nous adapter plus facilement.

Pour y parvenir, nous savions que notre système devait être découplé du réseau et de l'infrastructure. Le fait d'être découplé nous permet de fournir une solution de sécurité qui fonctionne de manière cohérente à tout moment, quel que soit le type de changement dans l'environnement du centre de données.

Nous savions également que le système devait être entièrement distribué .Les systèmes traditionnels de sécurité des réseaux dirigent souvent le trafic vers un point d'étranglement centralisé qui n'a que peu ou pas de contexte. En raison des besoins à grande échelle, seule une partie de vos charges de travail peut être traitée et sécurisée. Ce mécanisme de force brute entraîne également des angles morts, des faux positifs et une plus grande surface d'attaque.

Pour remédier à ces limitations et assurer une couverture suffisante avec suffisamment de souplesse, nous avons mis en place des mesures de sécurité dans des endroits traditionnellement difficiles d'accès. Nous pouvons désormais voir des endroits qui étaient auparavant cachés. C'est un peu comme avoir une matrice de gardes du corps dans chaque chambre d'un hôtel, au lieu de la seule sécurité de la porte d'entrée - il s'agit d'un collectif qui travaille ensemble selon un ensemble de directives.

2. L'automatisation ne suffit pas. Les systèmes intelligents nous font avancer.

L'automatisation ne fait que masquer la complexité. L'informatique comporte de nombreux systèmes qui interagissent et la plupart d'entre nous dépensent beaucoup d'énergie à essayer de les faire fonctionner tous. Nous ajoutons des couches d'automatisation et d'abstraction pour tenter de dissimuler ou de gérer les problèmes. Ces couches s'empilent les unes sur les autres et créent des fondations fragiles qui ne peuvent soutenir la croissance.

La simple virtualisation de l'ancien modèle dans le nouveau monde n'allait pas suffire. La voie à suivre devait être totalement différente. Il devait être suffisamment intelligent pour s'adapter à ce monde complètement différent, où la vitesse et la réactivité sont les nouveaux enjeux.

Pour qu'un système intelligent prenne des mesures efficaces, il doit s'appuyer sur des données de qualité. Elle a besoin d'une compréhension approfondie du monde dans lequel elle opère. Elle a besoin d'un contexte.

De nombreuses formes de contexte sont nécessaires et doivent être combinées pour obtenir une image complète. Notre système recueille des informations sur la charge de travail elle-même, sur les relations et la communication entre les charges de travail et sur l'environnement dans lequel la charge de travail fonctionne.  

Ensuite, nous savions que la solution nécessitait un système dynamique et réactif.

Nous avons créé un langage et un modèle de politique qui s'alignent sur le mode de fonctionnement des utilisateurs et des centres de données : un système simple mais puissant, déclaratif et basé sur des étiquettes. Il ne s'agit pas d'une couche supplémentaire sur l'ancien modèle, mais d'une toute nouvelle approche.    

Le système Illumio alimente continuellement le modèle déclaratif de politique en données contextuelles et relationnelles et recalcule le graphe pour garantir une politique de sécurité cohérente. Nous déchargeons l'utilisateur de la mise en œuvre de chaque changement... car dans un monde aussi dynamique, il serait absurde d'attendre d'une personne qu'elle comprenne et refasse la carte de toutes les dépendances et relations à chaque changement. Avec Illumio, les gens spécifient la politique et notre plateforme de sécurité la met en œuvre.

3. Le monde est hybride. La sécurité doit fonctionner partout.

Alors que les logiciels et les objets "en tant que service" prennent de plus en plus d'importance, les API relient d'innombrables environnements différents et créent une myriade de défis en matière de sécurité.

Nous savons tous que les systèmes liés à une plateforme ou fonctionnant dans un écosystème unique ne parviennent pas à s'imposer dans ce monde hétérogène et hybride. Nous devons avoir la liberté de choisir les bons outils et les bons systèmes. Et nous avons besoin qu'ils fonctionnent de manière transparente, à la demande, sans que les divergences, les incohérences et les erreurs ne se fassent sentir.

Le système de sécurité d'aujourd'hui doit travailler avec nous, et non contre nous. Il doit aller là où nous voulons aller et faire ce que nous voulons qu'il fasse.

Nous avons conçu notre système pour qu'il fonctionne sur n'importe quelle plateforme informatique, y compris les serveurs nus et les machines virtuelles. Le système fonctionne également dans n'importe quel environnement, y compris les centres de données d'entreprise, Amazon Web Services, Google Compute Engine, Microsoft Azure et OpenStack.

Le meilleur outil pour ce voyage est un système intelligent qui offre une expérience uniforme et tire le meilleur parti des progrès réalisés dans le centre de données.

Voyage à travers le grand fossé

Ces trois vérités fondamentales sont présentes dans tout ce que nous faisons à Illumio. Nous avons franchi le grand fossé et les avantages sont énormes. Le meilleur outil pour ce voyage est un système intelligent qui offre une expérience uniforme et tire le meilleur parti des progrès réalisés dans le centre de données.

L'équipe d'Illumio est très fière de ce que nous lançons aujourd'hui et j'ai hâte d'en savoir plus à mesure que nous continuons à fournir des solutions pour le nouveau monde.