basiczto - Fotolia
Réseaux : Gigamon a une calculatrice contre l’explosion de la facture
L’équipementier propose aux entreprises de simuler en ligne leur trafic à l’ère du télétravail pour déterminer le nombre de sondes d’analyses réellement nécessaire à la sécurité et à la qualité de service.
Attention à l’explosion de la facture des infrastructures réseau après la crise pandémique. L’équipementier Gigamon vient de publier une calculatrice en ligne pour évaluer dans quelle mesure les entreprises peuvent éviter de se ruiner en voulant mieux servir leurs salariés désormais en télétravail.
« Depuis le confinement, les entreprises ont découvert que leurs concentrateurs VPN étaient sous-dimensionnés, qu’elles n’avaient pas assez de serveurs et de switches pour qu’une majorité de leurs collaborateurs puissent continuer à travailler à distance. Elles sont donc en pleine phase de rééquipement. Et pour s’assurer que tout fonctionne avec la qualité de service et la sécurité attendues, elles vont devoir mettre des sondes sur chacun de ces nouveaux modules de leur réseau. Mais elles vont se heurter à un mur : le prix que tout cela va leur coûter », lance Bruno Durand, vice-président de la région Europe du Sud et Centrale chez Gigamon.
Le propos de ce fournisseur est justement d’optimiser les flux à envoyer aux sondes, de sorte qu’il y en ait moins à installer, ou que celles en place soient mieux rentabilisées. « Avec la multiplication des VPN, nous voyons par exemple passer de plus en plus sur les réseaux d’entreprises des flux personnels, comme du trafic Netflix ou YouTube. Que ces trafics soient légitimes n’est pas la question. C’est surtout qu’il ne sert à rien de mobiliser des systèmes de cyberdéfense pour les analyser, car ils sont par essence sécurisés », illustre Bruno Durand.
Gigamon est un constructeur de Network Packet Brokers (NPB) ; il se targue même d’avoir mis au point le Network Packet Broker de nouvelle génération. Le NPB est le module de base du réseau de collecte, un réseau qui fonctionne en parallèle du réseau principal pour sonder les flux de production afin d’interpréter et traiter leurs relevés.
Lors du récent confinement, les clients de Gigamon ont été contraints de muscler leurs réseaux pour éponger le surcroît de flux extérieurs – voire de nouveaux flux en provenance des télétravailleurs qui entrent pour s’authentifier et ressortent pour envoyer des requêtes aux outils en cloud. Ces entreprises redoutaient de devoir investir dans de nouveaux systèmes d’analyse du trafic pour supporter cette charge supplémentaire, mais elles ont eu l’agréable surprise de n’avoir qu’à rajouter des filtres logiciels au niveau des NPB déjà en place.
C’est exactement le propos de la calculatrice que propose désormais Gigamon : évaluer le nombre de sondes dont une entreprise a réellement besoin.
Réduire le nombre de sondes
D’ordinaire, les entreprises doublent le signal réseau à chaque endroit qu’elles souhaitent sonder, ce qui se fait très simplement à l’aide de « TAPs », des sortes de boîtiers réseau qui se présentent comme une rallonge, mais avec un troisième port, pour diffuser le signal en Y. Cependant, cette technique présente l’inconvénient de multiplier les équipements de traitement à chaque point de collecte et, par conséquent, le coût global. Pour limiter la facture liée à la collecte de relevés, la solution consiste à installer des Packet brokers, des équipements qui agrègent les relevés en provenance de différents points du réseau vers une seule sonde Splunk, QRadar, NetScout ou autre.
Dans cette configuration, on prélève les flux soit depuis certains switches du réseau de production – s’ils disposent d’un port dédié au sondage (le port SPAN, ou Switched Port ANalyzer) –, soit en insérant un TAP à l’une des extrémités de certains brins du réseau. On notera qu’il existe aussi des TAPs virtuels pour sonder le trafic des machines virtuelles. Chaque lien issu d’un SPAN ou d’un TAP est ensuite connecté au Packet Broker. Tenedis, un intégrateur spécialisé dans le sondage réseau, recommande généralement d’installer un NPB GigaVUE de Gigamon pour une dizaine de liens physiques.
Le Packer Broker se charge de trier les flux et de les orienter vers la bonne sonde. Par exemple, en matière de cybersécurité, le GigaVUE enverra tous les paquets HTTP vers un IDS (système de détection d’intrusion) dédié à l’analyse du trafic Web, tous les paquets SMTP à un autre IDS dédié à l’analyse des e-mails, etc. Selon la taille du trafic, il peut également répartir la charge d’analyse entre plusieurs IDS, faisant dès lors office de load balancer. À ce stade, le nombre de sondes à acheter ne dépend plus de nombre de segments réseau à sonder, mais de la taille du trafic à analyser.
Une économie globale de 40 à 50 %
Et ce nombre est d’autant plus réduit que le GigaVUE décharge les sondes d’une certaine partie de leur travail : pour un trafic destiné à un IDS, par exemple, le packet brocker décryptera en amont les flux SSL, ce qui laisse d’autant plus de puissance disponible dans l’IDS pour ne pas devoir acheter des modules matériels en plus.
« C’est ce que nous appelons le Next-Generation Network Packet Broker : nos équipements sont capables de reconnaître et de filtrer en amont les flux de plus de 2 000 applications. Dès lors, vous ne payez plus que pour la quantité exacte de puissance de traitement dont vous avez besoin au niveau des sondes », assure Bruno Durand.
De manière très pragmatique, le filtrage en amont des paquets peut éviter à l’entreprise de passer par des options payantes au niveau de la sonde, comme une option de décryptage logiciel au niveau d’un IDS, et, surtout, cela réduit la facture globale des sondes qui sont facturées à la quantité de trafic analysé, comme Splunk.
Bruno DurandVP région Europe du Sud et Centrale, Gigamon
Selon une étude menée par le bureau ESG qui prend en compte le coût des Packet brokers, les solutions de Gigamon permettraient de réduire les équipements et les outils au point de réaliser une économie globale de 40 à 50 %.
Gigamon adresse plutôt les grands comptes, jusqu’aux opérateurs télécoms eux-mêmes. Le constructeur se défend de se spécialiser dans un métier en particulier : « nos interlocuteurs ne sont pas des DSI ou des RSSI, ce sont avant tout des clients de système de sondes. Outre les intégrateurs, nos principaux partenaires sont d’ailleurs les fournisseurs de ces systèmes. Car même si nos solutions servent à acheter moins de sondes, ceux qui les fabriquent trouvent en nous un moyen de mieux les vendre », conclut le vice-président de Gigamon.