Convergence des infrastructures : risques et opportunités

Cependant, une autre tendance, sans doute moins visible, est également en train de bouleverser l’industrie informatique : la convergence des infrastructures. Partout dans le monde, des entreprises de toute taille cherchent à capitaliser sur les avantages apportés par une infrastructure convergente gérée depuis une plateforme virtualisée, que ce soit en matière de performances, de productivité et de flexibilité informatique. En revanche, les défis de sécurité liés à ces systèmes informatiques unifiés sont moins connus. Il est plus que jamais indispensable que les responsables de data centers se familiarisent avec ces risques pour s’assurer que ces fameux systèmes intégrés tiennent leurs promesses.

Le marché des systèmes intégrés est en forte croissance. Gartner révèle qu’il a bondi de 53,7% au second trimestre 2012 (en glissement annuel) et Wikibon table sur un marché de 402 milliards de dollars à l’horizon 2017. Avec de tels chiffres, il n’est guère étonnant que la plupart des spécialistes de l’infrastructure tente de se positionner sur ce marché, à l’image de HP, Oracle, Dell et IBM. Cependant, c’est le consortium VCE, qui regroupe VMware, Cisco et EMC, qui fait office de leader, via sa solution Vblock proposant un data center prêt à l’emploi.

L’idée est de simplifier la gestion de l’infrastructure des data centers et d’offrir une flexibilité optimale en associant les composants de réseaux, de stockage et de virtualisation au sein d’une solution unifiée. Il suffit ainsi au client de déployer son logiciel sur cette infrastructure proposée par un fournisseur unique. La plateforme FlexPod offerte par Cisco, VMware et NetApp est une autre offre majeure en matière d’infrastructure convergente. Dans cette offre, les composants individuels ne sont pas prédéfinis, ce qui offre davantage de flexibilité en matière de configuration et d’intégration.

Ces deux offres sont en train de transformer les datacenters d’aujourd’hui, mais la sécurité a toujours constitué un frein majeur à leur adoption, jusqu’à peser sur ces projets de transformation d’entreprise. Les architectures d’infrastructure convergente offrent davantage de simplicité aux équipes informatiques. Cependant, les plateformes de virtualisation sur lesquels elles s’appuient peuvent entraîner des risques de sécurité, ainsi que des problématiques de visibilité. Les cybercriminels entendent tirer parti des systèmes virtualisés : ils tentent d’infecter une seule machine virtuelle (VM), pour ensuite propager cette infection à d’autres VM présentes sur le même hôte. Cette approche permet de contourner les pare-feux et systèmes de prévention d’intrusion traditionnels. Les VM présentes sur un même hôte ayant des niveaux de confiance différents, il devient essentiel que les systèmes de prévention et de défense contre les intrusions prennent en compte les spécificités des environnements virtualisés, pour ainsi juguler ce type d’attaques entre VM.

L’hyperviseur constitue un autre élément vulnérable aux attaques puisqu’il contrôle à lui seul tous les aspects des VM déployées au sein du data center. L’hyperviseur doit donc être sécurisé pour, in fine, protéger les données confidentielles. De nouvelles failles de sécurité peuvent émerger, compte tenu de la nature versatile des environnements virtualisés (activation, clonage, migration et désactivation récurrents des VM). Ces vulnérabilités apparaissent fortuitement lorsque des machines dormantes sont réactivées par exemple, leur protection n’étant pas à jour. Il est alors nécessaire de déployer une appliance virtuelle de sécurité qui renforce la propension de chaque machine virtuelle à déjouer les attaques à chaque étape de son cycle de vie ou en continu.

Enfin, la multiplicité des VM sur une machine hôte peut induire des problématiques de performances lorsque des outils de sécurité traditionnels avec agent logiciel sont déployés (antivirus et autres solutions de sécurité). L’activation en simultané de ces antivirus, appelée également AV storm, peut entraîner une consommation excessive de ressources mémoire et remettre en cause tout l’intérêt des environnements virtualisés en matière de consolidation des serveurs et d’amélioration des performances. Une solution de sécurité sans agent s’impose donc pour centraliser les analyses et autres activités à forte consommation de ressources sur une appliance virtuelle.

Les produits d’infrastructure convergente visent à simplifier les environnements informatiques, améliorer les tâches d’administration et doper les performances, mais il faut bien admettre que la majorité – voire la totalité – des organisations dispose encore aujourd’hui d’environnements système hétérogènes. Le Software Defined Data Center (SDDC) qui, au-delà d’une couche matérielle fondamentale, est géré par des logiciels spécialisés plutôt que par du matériel, est souvent présenté comme la solution idéale alors que la plupart des clients travaillent avec des environnements mixtes. Face à ces défis de sécurité, les responsables informatiques doivent trouver une protection transversale, fonctionnant tant sur les systèmes physiques que virtualisés et Cloud. La plupart d’entre eux opte pour la virtualisation des serveurs, mais il peut également leur arriver d’avoir recours à des services de Cloud public tels qu’Amazon pour obtenir ponctuellement davantage de puissance informatique. Pour d’autres raisons, réglementaires notamment, certaines données et applications doivent, quant à elles, rester au sein d’environnements physiques classiques.

Au final, il s’agit de retenir une solution intégrée qui optimise la sécurité des entreprises, assure leur conformité et, avant tout, participe à leur croissance. Les organisations l’ont parfaitement compris, notamment dans le secteur des services, de la santé ou de la finance. Elles tirent ainsi parti des avantages indéniables des infrastructures convergentes, tout en protégeant leur ressource la plus précieuse : les données !