Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Simplifiez les déploiements de SDN et de pare-feu avec la microsegmentation basée sur l'hôte

Christer Swartz
Directeur du marketing des solutions
Illumio Editorial
November 13, 2020
23 min. lire

La mise en réseau définie par logiciel (SDN) et la segmentation sont souvent abordées simultanément parce qu'elles donnent toutes deux la priorité à l'automatisation. Le réseau SDN automatise un grand nombre de tâches liées à la mise en réseau, et comme la plupart des atteintes modernes à la sécurité sont automatisées, les outils de segmentation devraient suivre le même chemin. En outre, les limites de confiance sont traditionnellement considérées comme résidant dans la couche réseau de toute architecture en nuage. Comme les contrôleurs SDN permettent de gérer et d'orchestrer de manière centralisée les architectures de réseau à grande échelle, il est logique d'ajouter une segmentation à ces contrôleurs pour une meilleure orchestration.

Ceci étant dit, vous devez garder à l'esprit que le "N" de SDN signifie "réseau". Par conséquent, toute segmentation déployée par un contrôleur SDN sera mise en œuvre pour se concentrer sur les défis du réseau, et non sur ceux de l'hôte. Les contrôleurs SDN considèrent les hôtes de manière traditionnelle, comme des nœuds qui s'attachent à la structure du réseau, et les applications fonctionnant sur ces hôtes sont gérées à l'aide d'outils centrés sur l'hôte, et non sur le réseau. Les outils de mise en réseau gèrent rarement des tâches spécifiques à chaque hôte ou application. Les contrôleurs créent des segments de réseau pour appliquer les décisions d'acheminement du trafic dans la structure du réseau, et ces décisions sont prises en fonction des paramètres les plus pertinents pour les routeurs et les commutateurs, notamment la charge du réseau, la latence, les défaillances de liaison et les coûts du protocole de routage dynamique. Ces mesures sont rarement pertinentes pour les exigences de segmentation propres à l'hôte.

Segmentation du réseau et microsegmentation basée sur l'hôte

Lors de la définition des limites de confiance, la décision de créer des segments pertinents donnera lieu à deux conversations parallèles : l'une entre l'équipe qui gère les charges de travail de l'hôte et l'autre entre l'équipe qui gère le réseau. Les deux équipes utiliseront le même terme - "segmentation" ou "microsegmentation" - mais ils auront des significations différentes. Si les deux équipes utilisent leurs propres outils pour déployer et gérer chaque type de segment, au lieu de travailler ensemble, il en résultera une approche cloisonnée qui entraînera des limites opérationnelles au fur et à mesure que l'architecture prendra de l'ampleur.

Par exemple, votre équipe de mise en réseau peut avoir déployé Cisco ACI comme solution SDN pour le centre de données. ACI utilise ses propres mécanismes pour créer des segments, tels que les domaines de pont et les groupes de points d'extrémité (EPG). Les charges de travail sont déployées dans des EPG et peuvent être divisées en "micro EPG" plus petits pour créer des segments de réseau plus granulaires.

Toutefois, il s'agit toujours de concepts de segmentation centrés sur le réseau. Si vous avez dix hôtes dans votre centre de données, par exemple, vous pouvez simplement créer dix segments EPG dans Cisco ACI pour appliquer une limite de confiance à chaque hôte. Mais si vous avez 100 ou 1 000 charges de travail, il n'est pas réaliste de créer 100 ou 1 000 segments EPG pour chaque hôte. L'utilisation du contrôleur SDN pour créer un nombre égal de segments de réseau et d'hôtes n'est tout simplement pas adaptée.

Les solutions SDN créeront leurs propres segments pour répondre aux priorités de segmentation du réseau, mais pour segmenter les hôtes individuels, vous devez envisager une approche basée sur l'hôte.

SDN et réseaux superposés

L'un des avantages du SDN est que les topologies de réseau ne dépendent plus de la topologie physique des routeurs et des commutateurs. Les protocoles de tunneling, tels que VXLAN ou GENEVE, sont utilisés pour virtualiser le réseau. Étant donné que le réseau peut désormais être virtualisé de la même manière que les ressources de calcul et de stockage des centres de données, ces méthodes de tunneling sont utilisées pour permettre de définir les chemins et les liens du réseau de manière programmatique, ce qui permet au contrôleur de reconfigurer rapidement les topologies du réseau en fonction des besoins, sans qu'il soit nécessaire de modifier l'infrastructure physique. Cela permet de virtualiser la structure du réseau dans un centre de données sur site, de la même manière que les réseaux sont virtualisés dans les structures de réseau des nuages publics.

Étant donné que les réseaux superposés, tels que VXLAN, possèdent un grand nombre d'identifiants uniques - plus de 16 millions - il est tentant de vouloir utiliser ces identifiants pour créer des architectures de microsegmentation qui permettent au contrôleur SDN d'allouer des segments à chaque hôte du réseau. Mais les contrôleurs SDN ne terminent pas les segments VXLAN au niveau des hôtes individuels. Tous ces identifiants uniques sont utilisés par les contrôleurs SDN pour résoudre des problèmes de réseau, tels que l'encapsulation de paquets de couche 2 dans des trames de couche 3. Pour permettre la microsegmentation sur chaque hôte, le mécanisme utilisé doit être activé sur l'hôte lui-même, et non par un contrôleur SDN externe déployé dans le réseau et axé sur les tâches de mise en réseau.

Comment les outils au niveau de l'hôte peuvent-ils contribuer au réseau SDN ?

Pour la plupart des solutions SDN, la visibilité des flux d'applications constitue un défi. Pouvoir déterminer le comportement d'une application du point de vue de l'application est un défi pour les outils de mise en réseau. Les contrôleurs SDN disposent d'une grande visibilité sur les topologies de réseau, les segments de réseau, les adresses IP et les mesures de trafic, mais il est souvent difficile d'obtenir une image claire du comportement et des ressources réseau nécessaires entre vos serveurs SQL et vos serveurs web, par exemple, avec les contrôleurs SDN. Il est nécessaire de connaître les exigences dynamiques entre les applications sur un réseau pour concevoir une architecture en nuage évolutive.

Lorsque vous déployez des solutions basées sur l'hôte, comme Illumio, dans un centre de données qui utilise une architecture SDN, vous devriez rechercher des capacités de mappage, comme notre carte de dépendance d'application, pour aider à la conception de ressources réseau qui répondent aux exigences spécifiques de l'hôte. Illumio coexiste avec n'importe quelle solution SDN, et alors que la carte des dépendances applicatives est utilisée pour définir les segments spécifiques à l'hôte, cette même carte permet d'obtenir une image claire des exigences applicatives lorsque le réseau est déployé et géré par le contrôleur SDN.

La microsegmentation au niveau de l'hôte et la segmentation au niveau du réseau peuvent et doivent coexister, car elles répondent chacune à un besoin différent. En mettant en œuvre une approche basée sur l'hôte, vous bénéficiez des capacités de visibilité au niveau de l'application qui permettent aux solutions SDN de garantir les ressources du réseau dans n'importe quelle architecture en nuage.

Pour plus d'informations sur l'approche d'Illumio en matière de microsegmentation basée sur l'hôte, visitez le site https://www.illumio.com/solutions/micro-segmentation .

Sujets connexes

No items found.

Articles connexes

Comment résoudre les 3 principaux défis de la sécurisation des conteneurs et des environnements Kubernetes ?
Segmentation sans confiance

Comment résoudre les 3 principaux défis de la sécurisation des conteneurs et des environnements Kubernetes ?

Découvrez comment déployer une sécurité à la fois cohérente et flexible dans des conteneurs et des environnements Kubernetes en constante évolution.

Read more
4 informations clés tirées du guide du marché de la microsegmentation de Gartner® pour 2023
Segmentation sans confiance

4 informations clés tirées du guide du marché de la microsegmentation de Gartner® pour 2023

Obtenez des informations du Gartner Market Guide sur la mise en œuvre de la microsegmentation, également appelée Zero Trust Segmentation (ZTS), afin de sécuriser les environnements hybrides, d'arrêter les mouvements latéraux et d'instaurer une confiance zéro.

Read more
3 qualités à rechercher dans une plateforme de segmentation sans confiance
Segmentation sans confiance

3 qualités à rechercher dans une plateforme de segmentation sans confiance

La meilleure façon de se protéger contre les cyberattaques qui se propagent dans votre réseau est de déployer la segmentation zéro confiance, en appliquant des contrôles d'accès qui bloquent les voies d'accès dont dépendent les failles telles que les ransomwares.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more