Simplifiez les déploiements de SDN et de pare-feu grâce à la microsegmentation basée sur l'hôte

Réseau défini par logiciel (SDN) et la segmentation sont souvent abordées simultanément car elles donnent toutes deux la priorité à l'automatisation. Le SDN automatise de nombreuses tâches liées à la mise en réseau, et comme la plupart des failles de sécurité modernes sont automatisées, les outils de segmentation devraient suivre la même voie. En outre, les limites de confiance sont traditionnellement considérées comme résidant dans la couche réseau de toute architecture cloud. Étant donné que les contrôleurs SDN permettent de gérer et d'orchestrer de manière centralisée des architectures réseau à grande échelle, il est judicieux d'ajouter une segmentation à ces contrôleurs pour une meilleure orchestration.

Cela dit, vous devez garder à l'esprit que le « N » dans SDN signifie réseau. Par conséquent, toute segmentation déployée par n'importe quel contrôleur SDN sera mise en œuvre pour se concentrer sur les défis du réseau, et non sur les défis de l'hôte. Les contrôleurs SDN considèrent les hôtes de la manière traditionnelle, en tant que nœuds connectés à la structure du réseau, et les applications exécutées sur ces hôtes sont gérées à l'aide d'outils centrés sur l'hôte et non d'outils centrés sur le réseau. Les outils réseau gèrent rarement des tâches spécifiques à chaque hôte ou application. Les contrôleurs créent des segments de réseau pour appliquer les décisions de transfert de trafic dans la structure du réseau, et ces décisions sont prises en fonction des indicateurs les plus pertinents pour les routeurs et les commutateurs, notamment la charge du réseau, la latence, les défaillances de liaison et les coûts du protocole de routage dynamique. Ces mesures sont rarement pertinentes pour les exigences de segmentation spécifiques à l'hôte.

Segmentation du réseau et microsegmentation basée sur l'hôte

Lors de la définition des limites de confiance, le choix de l'endroit où créer les segments pertinents donnera lieu à deux conversations parallèles : l'une entre l'équipe qui gère les charges de travail de l'hôte et l'autre entre l'équipe qui gère le réseau. Les deux équipes utiliseront le même terme, « segmentation » ou « microsegmentation », mais leur signification sera différente. Si les deux équipes utilisent leurs propres outils pour déployer et gérer chaque type de segment, au lieu de travailler ensemble, le résultat sera une approche cloisonnée qui entraînera des limites opérationnelles à mesure que l'échelle de l'architecture augmentera.

Par exemple, votre équipe réseau a peut-être déployé Cisco ACI en tant que solution SDN de centre de données. L'ACI utilise ses propres mécanismes pour créer des segments, tels que des domaines de pont et des groupes de points de terminaison (EPG). Les charges de travail sont déployées au sein des EPG et peuvent être divisées en « micro EPG » plus petits afin de créer des segments de réseau plus granulaires.

Cependant, il s'agit toujours de concepts de segmentation centrés sur le réseau. Si votre centre de données possède dix hôtes, par exemple, vous pouvez simplement créer dix segments EPG dans Cisco ACI pour appliquer une limite de confiance à chaque hôte. Mais si vous avez 100 ou 1 000 charges de travail, il est irréaliste sur le plan opérationnel de créer 100 ou 1 000 segments EPG pour chaque hôte. L'utilisation du contrôleur SDN pour créer un nombre égal de segments de réseau et d'hôtes ne permet tout simplement pas d'évoluer.

Les solutions SDN créeront leurs propres segments pour répondre segmentation du réseau priorités, mais pour segmenter les hôtes individuels, vous devriez envisager une approche basée sur l'hôte.

Réseaux SDN et superposés

L'un des avantages du SDN est que les topologies de réseau ne dépendent plus de la topologie physique des routeurs et des commutateurs. Les protocoles de tunneling, tels que VXLAN ou GENEVE, sont utilisés pour virtualiser le réseau. Étant donné que le réseau peut désormais être virtualisé de la même manière que les ressources de calcul et de stockage des centres de données, ces méthodes de tunneling sont utilisées pour définir les chemins et les liens réseau de manière programmatique, permettant au contrôleur de reconfigurer rapidement les topologies du réseau selon les besoins sans avoir à modifier l'infrastructure physique. Cela permet de virtualiser la structure réseau d'un centre de données sur site, de la même manière que les réseaux sont virtualisés dans les structures réseau du cloud public.

Étant donné que les réseaux superposés, tels que VXLAN, possèdent un grand nombre d'identifiants uniques (plus de 16 millions), il est tentant de vouloir utiliser ces identifiants pour créer des architectures de microsegmentation qui permettent au contrôleur SDN d'allouer des segments à chaque hôte du réseau. Mais les contrôleurs SDN ne terminent pas les segments VXLAN sur des hôtes individuels. Tous ces identifiants uniques sont utilisés par les contrôleurs SDN pour résoudre les problèmes de réseau, tels que l'encapsulation de paquets de couche 2 dans des trames de couche 3. Afin de permettre la microsegmentation sur chaque hôte, le mécanisme utilisé doit être activé sur l'hôte lui-même, et non par un contrôleur SDN externe déployé sur le réseau et axé sur les tâches réseau.

Comment les outils au niveau de l'hôte peuvent-ils aider le SDN ?

La visibilité des flux applicatifs constitue un défi pour la plupart des solutions SDN. La capacité de déterminer le comportement des applications du point de vue des applications constitue un défi pour les outils réseau. Les contrôleurs SDN disposent d'une visibilité approfondie sur les topologies réseau, les segments de réseau, les adresses IP et les mesures de trafic, mais il n'est souvent pas facile d'obtenir une image claire du comportement et des ressources réseau requises entre vos serveurs SQL et vos serveurs Web, par exemple, avec les contrôleurs SDN. Connaître les exigences dynamiques entre les applications d'un réseau est nécessaire pour concevoir une architecture cloud évolutive.

Lorsque vous déployez des solutions basées sur l'hôte, comme Illumio, dans un centre de données qui utilise une architecture SDN, vous devez rechercher des fonctionnalités de mappage, comme notre carte des dépendances des applications, pour faciliter la conception de ressources réseau répondant aux exigences spécifiques de l'hôte. Illumio coexiste avec n'importe quelle solution SDN, et tandis que la carte de dépendance des applications est utilisée pour définir des segments spécifiques à l'hôte, cette même carte fournit une image claire des exigences des applications lorsque le réseau est déployé et géré par le contrôleur SDN.

La microsegmentation basée sur l'hôte et la segmentation au niveau du réseau peuvent et doivent coexister, car elles répondent chacune à une exigence différente. En mettant en œuvre une approche basée sur l'hôte, vous bénéficiez des fonctionnalités de visibilité au niveau des applications qui permettent aux solutions SDN de garantir les ressources réseau sur n'importe quelle architecture cloud.

Pour plus d'informations sur l'approche d'Illumio en matière de microsegmentation basée sur l'hôte, visitez https://www.illumio.com/solutions/micro-segmentation