VMworld Europe : le réseau NSX s’enrichit de fonctions de sécurité
VMware dote à présent son réseau virtuel de fonctions de détection d’intrusion et de reprise d’activité après incident, qui s’ajoutent à la répartition de charge et à l’analyse des anomalies présentées en août. L’objectif : devenir omnipotent.
Le réseau virtuel NSX de VMware s’accompagnera bientôt d’une option NSX Federation, pour appliquer en central des règles de routage à plusieurs sites, et de fonctions d’IDS/IPS qui permettent d’analyser le trafic réseau au niveau de l’hyperviseur.
« Notre objectif avec NSX est de débarrasser les entreprises de tous les équipements réseau propriétaires qui plombent leurs budgets. En virtualisant les fonctions réseau, l’entreprise réduit la complexité des datacenters, elle est plus efficace, car elle traite le routage des données et leur sécurité au niveau même de machines virtuelles et, in fine, nous avons calculé qu’elle économise 59 % de ses investissements », a lancé Sanjay Poonen, le DG de VMware, lors l’événement VMworld Europe 2019, qui s’est tenu courant novembre à Barcelone.
Ces annonces complètent la nouvelle stratégie d’enrichissement fonctionnel autour de NSX. En août dernier, VMware avait ainsi déjà dévoilé l’arrivée d’un répartiteur de charge applicatif (NSX Advanced Load Balancer) et d’un moteur de détection des anomalies dans le trafic réseau (NSX Intelligence).
Rappelons que NSX fonctionne au niveau d’un l’hyperviseur, mais aussi au niveau des serveurs autonomes – dans sa version NSX-T – pour offrir des fonctions de routage, de répartition de charge et de firewall. Le catalogue de VMware comprend par ailleurs NSX SD-WAN (ex-VeloCloud) qui s’occupe des mêmes fonctions, mais au niveau des passerelles WAN qui connectent le réseau privé d’un site avec le reste du monde. Indépendant du matériel, NSX-T se place en concurrent des habituels équipements réseau physiques.
L’avantage de NSX est d’appliquer ses règles non pas en périphérie du datacenter, mais au plus proche des serveurs virtuels, ce qui offre le double intérêt de produire des règles sur mesure par machine virtuelle et, surtout, de suivre ces machines virtuelles même lorsque leur exécution est déplacée sur un autre serveur physique, sur un autre site, ou dans un cloud public.
« Pour le dire simplement, NSX va certainement connaître autant de succès dans les projets de rationalisation du réseau que vSAN en a eu ces dernières années dans le domaine du stockage. NSX existe depuis cinq ans, mais ce n’est qu’aujourd’hui, avec la déclinaison NSX-T, qu’il est enfin mature. Nos clients, de grandes entreprises, sont à présent très intéressés par la possibilité d’avoir des réseaux entièrement programmables, qui permettent de sécuriser jusqu’à un service en particulier », lance Yves Pellemans, le directeur de l’innovation de l’intégrateur Axians.
« Selon moi, NSX va permettre à VMware de devenir le plus important concurrent de Cisco d’ici à deux ans », ajoute-t-il.
Pas encore d’intégration entre NSX-T et NSX SD-WAN
Yves Pellemans ne regrette qu’une chose : que VMware n’ait pas annoncé l’intégration de NSX-T avec NSX SD-WAN. « Le SD-WAN va de pair avec la refonte des réseaux vers des technologies SDN : il faut que la connexion WAN soit elle aussi programmable pour pouvoir se prévaloir d’être aux normes ISO de sécurité, pour fermer automatiquement des ports en cas de problème, etc. Et comme NSX-T le fait pour le réseau, NSX SD-WAN apporte ces fonctions au WAN ».
« Il existe un enjeu important en France autour du SD-WAN et il est différent des situations rencontrées dans d’autres pays. Ailleurs, une solution de SD-WAN sert à réduire les coûts des lignes MPLS. En France, les tarifs de ces lignes ont baissé, mais ce sont leurs délais d’installation qui posent problème. De fait, quand les opérateurs demandent d’attendre huit semaines pour l’activation d’une ligne, un intégrateur peut arriver avec une solution SD-WAN qui apporte le même service à partir de liens standards en seulement quelques heures. En clair, NSX SD-WAN permet de rivaliser avec les opérateurs ».
Un constat que partage Anthony Cirot, le Directeur Général de VMware France : « la France est le pays d’Europe qui a commercialement le mieux marché depuis le début de cette année. Bien entendu, car les entreprises françaises sont en plein cycle de renouvellement de leurs datacenters et ont besoin de nos logiciels pour les faire fonctionner. Mais la part du SD-WAN est indéniable dans ce succès. Il y a, en France, plus que partout ailleurs, la volonté de reprendre le contrôle sur les connexions WAN. »
En l’occurrence, VMware a bien débuté l’intégration de NSX SD-WAN et de NSX-T, mais il s’agit pour l’heure de plutôt prendre en compte les règles du second dans la configuration du premier, alors que les administrateurs système souhaiteraient plutôt faire l’inverse.
À titre comparatif, Nuage propose une intégration complète des fonctions de SD-WAN dans l’environnement d’administration de son SDN VNS (Virtualized Network Service), ce qui permet de tester et de diagnostiquer plus simplement les déploiements.
La comparaison n’est pas innocente : Nuage est le fournisseur de SDN le plus souvent rencontré dans les projets OpenStack – le concurrent Open source de VMware dans la virtualisation des datacenters – notamment parce qu’il utilise son module Open vSwitch. De fait, Nuage peut se prévaloir de retours d’expérience existants sur de grands projets qui mêlent à la fois SDN, SD-WAN et aussi Kubernetes, l’autre technologie qui tire la stratégie actuelle de VMware. En France, Bouygues Telecom se sert justement de la technologie de Nuage pour proposer une offre SD-WAN qui lui évite d’être concurrencé par les intégrateurs dans son métier d’opérateur pour les entreprises.
On notera toutefois que l’édition européenne de VMworld a paradoxalement été timide sur les annonces technologiques autour de NSX SD-WAN. VMware s’est surtout vanté de l’existence de passerelles NSX SD-WAN chez plusieurs dizaines d’éditeurs SaaS pour faciliter les règles d’authentification à leurs services. En ligne de mire, des passerelles NSX SD-WAN devraient bientôt être déployées sur le cloud public Azure, ce qui devrait notamment permettre, au-delà d’une identification via un système unique de Single-Sign-On (SSO), de chiffrer les échanges de bout en bout.
NSX Federation pour améliorer la reprise d’activité après incident
En termes d’intégration, les règles de trafic et de firewall de chaque site où est installé NSX SD-WAN sont définies depuis une interface d’administration centrale, qui pourrait éventuellement être fusionnée avec le nouveau module NSX Federation.
« NSX Federation apporte une console centrale qui permet de gérer les règles de routage, les plans d’adresses IP et les options de sécurité pour des environnements massivement multisite. L’avantage est de maintenir par exemple très simplement une seule et même politique de sécurité à l’échelle d’un groupe », explique au MagIT Éric Marin, le directeur technique de VMware France.
« Mais le besoin auquel il répond et que nous rencontrons le plus est la réplication des règles réseau sur un site de secours. Cela facilite dès lors la mise en place de plans de reprise d’activité après incident », ajoute-t-il, en expliquant qu’il devient trivial d’activer sur un site distant des ressources virtuelles qui ont exactement les mêmes adresses IP que sur le site d’origine.
NSX Federation devrait par ailleurs fonctionner de pair avec NSX Intelligence. Ce dernier enregistre en continu des statistiques sur le flux des paquets IP au niveau de chaque hyperviseur afin de se faire une idée d’un comportement normal et tirer la sonnette d’alarme si ce comportement dévie. NSX Intelligence est à ce titre capable de détecter une panne locale sur un réseau et de commander à NSX Federation le routage de certaines applications vers un autre site.
NSX DIDP pour filtrer depuis l’hyperviseur uniquement les signatures pertinentes
Le principe d’analyser le trafic au niveau de l’hyperviseur est également la caractéristique principale du nouveau module NSX Distributed Intrusion Detection and Prevention (NSX DIDP) qui cumule les fonctions des équipements de sécurité IDS et IPS.
« Les IDS et IPS sont d’ordinaire des sondes que l’on pose sur le réseau, pour détecter dans l’agencement des paquets la présence éventuelle de la signature d’un malware. Mais les IDS et IPS ne sont pas très populaires, car leur déploiement est très complexe. Il faut déjà installer des sondes en dérive pour ne pas que l’analyse ralentisse le trafic. Il faut ensuite vérifier la présence en moyenne de 10 000 signatures différentes, ce qui coûte énormément en ressources. D’autant plus que les faux positifs sont très fréquents dans ce domaine », dit Éric Marin.
« En plaçant la sonde NSX DIDP au niveau de l’hyperviseur, il devient possible de ne plus vérifier que les signatures effectivement dangereuses pour les machines virtuelles exécutées par cet hyperviseur. Or, si on ne s’intéresse qu’à la sécurité d’un serveur Apache par exemple, il n’y a plus qu’une soixantaine de signatures à vérifier. Les gains de performances sont énormes », lance-t-il.
Il explique que la stratégie de VMware est de proposer une sécurité dont la granularité descend, dans un premier temps, à la VM près et, à terme, jusqu’au container. « Habituellement, la sécurité est périmétrique. Mais il est devenu intenable de protéger ainsi des ressources virtuelles, c’est-à-dire des VMs et des containers, qui sont susceptibles de se déplacer sans cesse entre les serveurs physiques avec vMotion. »
NSX DIDP s’inscrit dans un nouveau programme « Intrinsic Security » qui pourrait, à terme, devenir le nom d’une suite de logiciels. Celle-ci comprendrait aussi des licences pour l’antivirus Carbon Black, racheté en août dernier. Alors que ce dernier fonctionnait jusqu’ici uniquement en SaaS, VMware entend en proposer une version installable sur site.