NetApp Tech OnTap
     

Colocation sécurisée

NetApp, Cisco et VMware collaborent à l'amélioration de la sécurité des environnements mutualisés

Lors du déploiement de la virtualisation à grande échelle, ou d'un cloud privé ou public, la sécurité peut constituer un défi. Cisco, NetApp et VMware ont reconnu que la sécurité posait un problème important au sein d'une infrastructure IT partagée, et collaborent depuis plusieurs années afin de résoudre ce problème.

Vous avez peut-être lu les précédents articles de Tech OnTap® concernant notre solution de colocation sécurisée commune. En janvier 2010, Chris Naddeo de Cisco a rédigé un article détaillé sur la qualité de service de cette solution. Un autre article publié quelques mois plus tard a décrit le déploiement de notre solution de colocation sécurisée de première génération au sein d'un environnement cloud en fonction de la conception détaillée validée par Cisco®. Toutefois, aucun de ces articles n'a fourni d'informations plus détaillées sur les fonctions de sécurité d'une solution de colocation sécurisée.

Aujourd'hui, moins d'un an après le lancement de la version initiale, nous avons conçu une version améliorée de la colocation sécurisée qui optimise la flexibilité du déploiement et qui développe davantage les fonctions et la sécurité de la conception. Dans cet article, nous allons présenter l'architecture de sécurité de notre conception de colocation sécurisée avancée. Cette conception comprend plusieurs composants fondamentaux et facultatifs qui vous permettent de personnaliser de manière flexible votre environnement afin qu'il soit conforme aux normes de sécurité spécifiques. Les informations détaillées sur ces composants sont présentées plus loin dans cet article.

Présentation de la sécurité de la colocation sécurisée


La conception initiale de la colocation sécurisée était axée sur quatre piliers :

  • Disponibilité
  • Isolation sécurisée
  • Garantie de service
  • Gestion des services

Notre architecture de colocation sécurisée avancée reprend ces objectifs. D'importants progrès ont été réalisés dans tous les domaines par rapport à la première version, mais nous aimerions parler en particulier de l'isolation sécurisée des environnements mutualisés. Nous la définissons par des environnements où l'infrastructure est partagée par des locataires (des clients, des unités commerciales, des services, des applications ou toute autre entité) qui doivent être isolés en toute sécurité.

Services assurés par le composant d'isolation sécurisée d'une solution de colocation sécurisée avancée.

Figure 1) Services assurés par le composant d'isolation sécurisée d'une solution de colocation sécurisée avancée.

L'isolation sécurisée garantit qu'un locataire ne peut pas accéder aux ressources d'un autre locataire, telles que les ordinateurs virtuels, les réseaux ou le stockage. Chaque locataire doit être isolé de tout autre locataire de manière sécurisée.

L'architecture de colocation sécurisée avancée empêche un locataire d'accéder aux données d'un autre locataire, ainsi qu'aux fonctions d'administration de l'infrastructure IT partagée. L'innovation majeure apportée à l'isolation sécurisée par l'implémentation de notre solution de colocation sécurisée de deuxième génération est la capacité de fournir une isolation complète de chaque couche (calcul, réseau et stockage). D'autres solutions peuvent fournir uniquement quelques poches d'isolation dans l'infrastructure et non pas une isolation des locataires de bout en bout.

Les principes de sécurité déterminants implémentés au sein de cette architecture incluent les éléments suivants :

  • Isolation : l'isolation constitue le fondement de la sécurité du data center mutualisé. Selon les objectifs de la conception, les pare-feux, les listes d'accès, les VLAN, la virtualisation, le stockage et l'isolation physique contribuent tous à la sécurité. La combinaison de tous ces éléments peut assurer le niveau de sécurité approprié aux applications et aux services pour différents locataires.
     
  • Application des règles et contrôle d'accès : au sein d'un environnement mutualisé, le problème lié au contrôle d'accès et à l'application des règles nécessite une attention particulière. Les fonctions des dispositifs de chaque couche de l'architecture permettent de définir des règles complexes et des niveaux d'accès pouvant améliorer l'isolation sécurisée pour tous les locataires.
     
  • Visibilité : les infrastructures IT partagées deviennent très fluides de sorte qu'elles évoluent et prennent en charge de nouveaux services et ordinateurs virtuels. La virtualisation de serveurs et les technologies, telles que VMotion™, facilitent le déploiement des nouveaux serveurs et leur déplacement d'un emplacement physique vers un autre avec peu d'intervention manuelle. Lorsque ces dispositifs sont transférés et que les modèles de trafic changent, ils peuvent poser problème aux administrateurs de sécurité au niveau de la surveillance active des menaces. Cette architecture tire parti de la détection des menaces et des fonctions de réduction des risques disponibles dans toutes les couches du réseau. Ces éléments permettent de collecter des alarmes, des données et des informations sur les événements, ainsi que d'analyser et de corréler les données afin d'identifier la source des menaces, de visualiser les chemins d'attaques, de proposer et d'appliquer des actions de réponse, si possible.
     
  • Résilience : la résilience implique que les terminaisons, l'infrastructure et les applications de l'environnement mutualisé sont protégées et peuvent résister aux attaques pouvant entraîner des interruptions de service, la divulgation de données et des accès non autorisés. Afin d'atteindre le niveau de résilience souhaité, les entreprises doivent prendre certaines mesures, notamment renforcer l'infrastructure de manière adéquate, assurer la redondance d'applications et implémenter des pare-feux.

Les composants réseau, de gestion, de stockage et de calcul au sein de cette architecture comprennent des fonctions qui, ensemble, forment la structure assurant l'isolation sécurisée. La Figure 2 décrit l'architecture de sécurité utilisée dans cette conception, soulignant les domaines fonctionnels de la solution, ses composants et leurs fonctions de sécurité correspondantes.

Structure architecturale de la colocation sécurisée avancée.

Figure 2) Structure architecturale de la colocation sécurisée avancée.

La colocation sécurisée gère les différents modèles de trafic disponibles au sein de l'infrastructure IT partagée. Les flux de trafic sont divisés de manière logique en deux catégories distinctes : est-ouest et nord-sud. D'une manière générale, VMware® vShield assure la sécurité du trafic est-ouest, tandis qu'un ensemble de services de sécurité Cisco assure la sécurité du trafic nord-sud. Ces composants sont décrits plus en détail plus loin.

Comparaison de la sécurité des trafics est-ouest et nord-sud.

Figure 3) Comparaison de la sécurité des trafics est-ouest et nord-sud.

Les flux de trafic nord-sud sont entrants ou sortants en fonction de l'infrastructure de colocation sécurisée. En général, ils sont de nature client à serveur. Lorsque ce trafic traverse le data center, il est exposé à des services sur son passage, tels que les pare-feux, l'équilibrage de la charge, la détection des intrusions et les dispositifs d'analyse réseau. Au sein d'un environnement mutualisé, le trafic entre les locataires peut également être forcé via les services réseau de l'infrastructure IT partagée. Cette fonction est idéale, car toutes les règles des locataires sont appliquées uniformément entre tous les locataires. L'exposition des flux de trafic d'entrée et de sortie aux services de sécurité du data center dépend des exigences spécifiques des applications et des règles de sécurité globales de l'entreprise.

Afin de générer des offres de sécurité, il est important de souligner la nature flexible de cette architecture, qui permet à un architecte de sécurité d'utiliser toute combinaison de services de sécurité, comme l'indique la section suivante sur les options de sécurité de la colocation sécurisée. Nous considérons cette flexibilité comme une défense approfondie.

Le trafic est-ouest se rapporte à la communication entre les serveurs du data center. L'exigence en matière de sécurisation de la communication interserveur peut provenir des applications ou de l'entreprise. En règle générale, les applications de l'entreprise exigent davantage de disponibilité, d'évolutivité et/ou de puissance de traitement qu'une instance serveur ne peut en fournir. Afin de résoudre ces problèmes, les développeurs d'applications utilisent des rôles de serveur dédiés. Chaque rôle est spécialisé et dépend d'autres serveurs. Les ordinateurs virtuels prennent entièrement en charge ce modèle d'application. Dans un environnement de colocation sécurisée, les flux serveur à serveur échangés entre les ordinateurs virtuels peuvent survenir au sein d'un conteneur de locataires ou entre les locataires.

Afin d'optimiser les modèles de trafic est-ouest dans un data center virtualisé, nous vous conseillons d'utiliser un dispositif de pare-feu virtuel, tel que vShield, afin de sécuriser la connectivité entre les ordinateurs virtuels. Ce service peut prendre en charge des communications au sein d'un conteneur de locataires ou entre les locataires en toute sécurité. Par exemple, un pare-feu virtuel offre une connectivité sécurisée aux ordinateurs virtuels du locataire qui ont besoin d'accéder aux services de l'infrastructure, tels qu'Active Directory résidant sur un locataire d'infrastructure commune.

Composants de base de la colocation sécurisée avancée


L'infrastructure de base utilisée par la colocation sécurisée comprend les éléments suivants :

  • Commutateurs de data center Cisco Nexus®
  • Cisco Unified Computing System™ (Cisco UCS)
  • Commutateur de réseau virtuel Cisco Nexus 1000V
  • Stockage NetApp®
  • VMware vSphere™
  • VMware vCenter™ Server

L'infrastructure requise pour la colocation sécurisée est principalement identique à l'architecture FlexPod™ récemment annoncée, décrite dans un article connexe de cette édition de Tech OnTap. FlexPod est un bon point de départ pour la colocation sécurisée avancée, mais, par défaut, ne fournit pas de colocation sécurisée.

La colocation sécurisée avancée de base requiert plusieurs composants supplémentaires en plus des composants de l'infrastructure de base.

La gamme VMware vShield de solutions de sécurité offre une protection orientée virtualisation aux data centers et aux environnements cloud virtuels. Elle renforce la sécurité des applications et des données, améliore la visibilité et le contrôle, et accélère les efforts en matière de conformité informatique. La gamme vShield comprend les solutions suivantes :

  • vShield Edge assure la sécurité côté réseau et fournit des services permettant d'isoler les ordinateurs virtuels d'un groupe de ports à partir d'un réseau externe. vShield Edge relie les réseaux souches isolés des locataires aux réseaux partagés (ascendants) et fournit des services de sécurité de périmètre commun, tels que DHCP, VPN et NAT.
     
  • vShield App met en œuvre des pare-feux entre les ordinateurs virtuels en installant un filtre de pare-feu sur l'adaptateur de chaque réseau virtuel. Ce filtre fonctionne de manière transparente et ne requiert aucune modification au niveau du réseau et des adresses IP pour créer des zones de sécurité. Les règles peuvent être élaborées à l'aide des regroupements vCenter, tels qu'un data center, un cluster, des pools de ressources et vApp ou à l'aide des objets réseau, tels qu'un groupe de ports et VLAN, afin de réduire le nombre des règles de pare-feu et de simplifier leur suivi.
     
  • VMware vShield Zones est un pare-feu virtuel, distribué, dynamique et géré de manière centralisée, fourni avec vSphere 4.1. Il crée des zones de sécurité grâce à la proximité de l'hôte ESXi et à la visibilité du réseau virtuel. En exploitant les différents conteneurs VMware logiques, il est possible de réduire considérablement le nombre de règles requises pour sécuriser un environnement mutualisé et, par conséquent, réduire la charge opérationnelle qui accompagne l'isolation et la segmentation des locataires et des applications. Cette nouvelle façon de créer des règles de sécurité est étroitement liée aux objets d'ordinateurs virtuels VMware, et respecte par conséquent les exigences d'ordinateurs virtuels pendant les opérations VMotion.

    En plus de servir de terminaison et de pare-feu, vShield Zones génère des rapports sur les réseaux virtuels de niveau micro-flux nécessaires à l'analyse et à la surveillance des flux de trafic virtuels. Cette solution implémente également des règles de segmentation en fonction des informations détaillées fournies aux administrateurs réseau et de sécurité.
     
  • La fonction de surveillance de flux affiche les flux réseau bloqués et autorisés au niveau du protocole d'application. Cette fonction permet d'effectuer l'audit du trafic réseau. Elle peut également servir d'outil de dépannage opérationnel.

Cisco Nexus 1000V. Nous allons présenter ici le commutateur Cisco Nexus 1000V, un composant FlexPod standard, en raison de ses fonctionnalités de sécurité. Cisco Nexus 1000V est un commutateur logiciel exécuté sur un serveur qui fournit des services Cisco VN-Link aux ordinateurs virtuels hébergés sur ce serveur. Il tire parti de la structure VMware vSphere et offre une intégration étroite entre les environnements réseau et serveur. Il permet également de s'assurer que des capacités réseau cohérentes et basées sur des règles sont fournies à tous les serveurs du data center. Cisco Nexus 1000V permet de déplacer une règle avec un ordinateur virtuel lors de la migration dynamique. Il assure ainsi une conformité continue en matière de stockage, de sécurité et de réseau, et améliore la continuité des activités, la gestion des performances et la conformité en matière de sécurité.

Étant donné que les data centers deviennent plus fluides par nature, les administrateurs de sécurité ont de plus en plus de difficultés à surveiller de manière active les menaces dans l'infrastructure. Afin de résoudre ce problème, le commutateur de réseau virtuel Cisco Nexus 1000V prend en charge la surveillance en utilisant NetFlow, Switch Port Analyzer (SPAN) et Encapsulated Remote SPAN (ERSPAN). Ces fonctions permettent à Cisco Nexus 1000V d'exporter les données sur les flux de trafic d'ordinateurs virtuels à partir de l'environnement virtuel vers des dispositifs d'analyse externe classiques ou les serveurs lames de services virtuels avancés. Dans les deux cas, le commutateur Cisco Nexus 1000V offre une visibilité améliorée aux équipes de sécurité afin qu'elles puissent identifier la source des menaces, visualiser les chemins d'attaques et enfin y remédier.

Cisco Nexus 1010 Virtual Services Appliance héberge le module Cisco Nexus 1000V Virtual Supervisor Module (VSM) et prend en charge le serveur lame Cisco Nexus 1000V Network Analysis Module (NAM) Virtual Service Blade, et fournit de ce fait une solution complète pour la commutation d'accès virtuel. La solution Cisco Nexus 1010 met en place le matériel dédié pour le module VSM, en simplifiant le déploiement des commutateurs d'accès virtuel et en améliorant les performances et l'efficacité des opérations.

NetApp MultiStore® permet de créer des partitions logiques séparées et parfaitement privées sur un seul système de stockage NetApp dans les domaines d'administration discrets appelés unités vFiler™. Grâce à ces unités, un contrôleur de stockage physique apparaît sous forme de plusieurs contrôleurs logiques. Chaque unité vFiler peut être individuellement gérée à l'aide de différents jeux de performances et caractéristiques de règles. Exploitez MultiStore afin de permettre à plusieurs clients de partager les mêmes ressources de stockage avec peu de compromis en matière de confidentialité et de sécurité. Le contrôle administratif du conteneur de stockage virtuel peut même être délégué directement au client. MultiStore a fait l'objet d'un article Tech OnTap récent.

Options de sécurité de la colocation sécurisée avancée


En plus des composants standard décrits dans la section précédente, vous pouvez également bénéficier d'un grand nombre de composants facultatifs relatifs à la sécurité afin de remplir les exigences en matière de sécurité.

VMware vCloud Director (VCD) s'appuie sur la plateforme VMware vSphere et expose l'infrastructure IT partagée virtualisée sous forme de plusieurs data centers virtuels mutualisés et entièrement découplés du matériel sous-jacent. En d'autres termes, grâce à cette technologie, vous pouvez fournir des services informatiques standardisés sur une infrastructure IT partagée à l'aide d'un catalogue Web. vCloud Director a fait l'objet d'un autre article Tech OnTap récent.

La plateforme Cisco Catalyst® 6500 Series Virtual Switching System (VSS) 1440 prend entièrement en charge l'utilisation des modules de service Cisco intégrés, tels que Cisco Application Control Engine (ACE), Firewall Services Module (FWSM) et Network Analysis Module (NAM). La solution Cisco Catalyst VSS est utilisée en tant que plateforme de services en réseau pour une architecture mutualisée avancée et entièrement sécurisée.

Cisco Firewall Services offre des fonctions de sécurité de pare-feu dynamiques au sein de l'architecture de colocation sécurisée. Intégré en tant que module ou dispositif dédié, le contexte de sécurité du pare-feu virtuel Cisco peut être introduit de manière transparente à la couche 2 du réseau ou en tant que « saut » à la couche 3. Quel que soit le modèle de déploiement, les règles de sécurité associées à chaque contexte de pare-feu virtuel sont appliquées systématiquement afin de protéger les réseaux liés.

Le module Cisco Application Control Engine (ACE) et les plateformes d'applications se chargent de l'équilibrage de la charge, du contrôle du trafic réseau, de la redondance des services, de la gestion des ressources, du cryptage et de la sécurité, ainsi que de l'optimisation et de l'accélération des applications, le tout au sein d'un seul dispositif réseau. Les technologies Cisco ACE offrent au data center la disponibilité, l'évolutivité et les fonctions de sécurité en matière de services réseau et de périphériques.

Le module Cisco ACE offre les services de périphériques suivants :

  • Redondance physique avec des capacités de basculement
  • Évolutivité via la virtualisation qui partitionne et qui attribue les ressources ACE de manière logique afin de répondre aux besoins en services du locataire
  • Services de sécurité incluant les ACL et le cryptage de transport (SSL/TLS) entre le contexte ACE virtuel, les clients et la batterie de serveurs associée

Les dispositifs Cisco Intrusion Prevention System (IPS) sont des capteurs réseau qui peuvent être placés au sein de votre infrastructure sous forme d'appareils d'analyse réseau de proximité ou de systèmes de protection contre les intrusions en ligne. Les capteurs Cisco IPS protègent votre infrastructure en détectant, en classant et en bloquant les menaces réseau à l'aide des signatures d'attaques associées aux vers, aux virus et à d'autres programmes malveillants. Ce processus est exécuté à chaque connexion et autorise le trafic sûr à circuler librement.

Le module Cisco Network Analysis Module (NAM) inclut plusieurs éléments :

  • Module de service intégré pour la plateforme de commutation Cisco Catalyst 6500
  • Dispositif physique avec une prise en charge de 10 GbE ou de GbE multiples
  • Serveur lame de services virtuel pour les déploiements Cisco Nexus 1000V

Quel que soit le modèle, le module NAM offre une analyse du trafic basée sur les flux des applications, des hôtes et des conversations. Il mesure également les performances des applications, des serveurs et de la latence réseau, et permet de déterminer la qualité de l'expérience des services réseau. Enfin, il analyse les problèmes via la collecte de paquets intuitive et complète. Le module Cisco NAM comprend une interface utilisateur graphique intégrée qui analyse le trafic Web, offre un accès rapide aux menus de configuration et fournit des rapports sur les performances dans un format facile à lire sur le Web pour les différents types de services et de trafic. La gamme de produits Cisco NAM améliore la visibilité et surveille les performances de plusieurs couches virtuelles et physiques de votre infrastructure.

Cisco Security Manager est une application de gestion d'entreprise permettant de configurer le pare-feu, le réseau VPN, ainsi que les services de sécurité IPS sur les dispositifs de sécurité et réseau Cisco.

Conclusion

Même si nous avons à peine effleuré les capacités complètes de notre architecture de colocation sécurisée avancée, nous espérons que cette introduction vous offre une bonne vue d'ensemble de ses fonctions de sécurité. Pour plus d'informations sur les fonctions d'isolation sécurisée et sur les fonctions nouvelles et améliorées d'autres piliers, tels que la disponibilité, la garantie de service et la gestion, consultez notre guide complet sur la conception. Remarque : dans ce guide, la colocation sécurisée améliorée est désignée par l'abréviation ESMT. Ce guide de 140 pages décrit tous les aspects de l'architecture de colocation sécurisée et du déploiement.

Communauté NetApp
 Votre avis sur la colocation sécurisée avancée nous intéresse !

Posez vos questions, échangez des idées et partagez vos points de vue directement en ligne via les communautés NetApp.

Chris O'Brien

Chris O'Brien
Architecte de solutions
Cisco

Chris a conçu l'architecture des dernières technologies de data center au sein du groupe Systems Architecture and Strategy de Cisco. Il se charge à présent de la validation de la conception de data center et de l'optimisation des applications. Ayant commencé comme développeur d'applications, Chris travaille dans le secteur informatique depuis plus de 15 ans.

David Klem

David Klem
Architecte de référence
NetApp

David a rejoint NetApp en 2005, dans l'équipe initiale responsable de l'architecture et de la conception de l'environnement Kilo-Client de NetApp, un cloud interne de 1 700 nœuds utilisé par les ingénieurs de NetApp. David travaille à présent pour l'équipe chargée de l'infrastructure et du cloud chez NetApp, et se consacre en particulier aux meilleures pratiques et solutions d'architectures basées sur le cloud. Avant de rejoindre NetApp, il a travaillé chez Cisco pendant six ans en tant qu'ingénieur sur la plateforme de commutation Cisco Catalyst®.

 
Explorer