SDN : construire une architecture plus sûre

Les réseaux à définition logicielle pourraient être la clé d’une meilleure sécurité L’expert réseau Lee Doyle explique comment durcir son SDN pour prévenir les brèches.

Sécuriser les données critiques et contenir les attaques est le principal défi de la plupart des DSI. Les avancées des technologies SDN permettent au réseau d’identifier les motifs de trafic qui signalent une attaque, et de segmenter le réseau pour limiter les déplacements des attaquants dans l’infrastructure.

De nouveaux besoins

Les évolutions rapides des technologies de l’information ont modifié le paysage de la sécurité réseau. Avec l’arrivée de la mobilité, du BYOD, et des objets connectés, les organisations ne peuvent plus se contenter de compter sur un périmètre durci pour prévenir les attaques informatiques.

Les organisations emploient en outre des services de Cloud privé, public, ou hybride, qui ne sont pas sans poser de questions de sécurité autour de la migration des données. Et la popularité croissante des DevOps, avec ce qu’ils apportent de changements rapides en besoins en ressources pour les applications, implique que le réseau doit pouvoir automatiquement provisionner les règles de sécurité. Et c’est compter, bien sûr, avec des attaques toujours plus nombreuses, et à l’impact parfois considérable.

La sécurité réseau à l’heure des SDN

Dans ce contexte, les professionnels de l’IT et de la sécurité cherchent de nouveaux outils qui leur donnent les moyens de comprendre quand et comment ils sont attaqués, ainsi que rapidement contenir d’éventuelles brèches. Le réseau, par où transite tout le trafic, a là un rôle crucial à jouer.

Les réseaux à définition logicielle (SDN) améliorent la capacité du réseau à identifier et bloquer les attaques. Et cela commence par la segmentation.

L’adoption généralisée de la virtualisation de serveurs a conduit à une augmentation considérable du trafic est-ouest entre machines virtuelles. En termes de sécurité, cela peut augmenter le risque, car les attaques peuvent évoluer plus aisément au sein de l’infrastructure. La segmentation permet de la compartimenter pour mieux protéger les données sensibles. Mais ce n’est pas tout.

Les réseaux programmables permettent d’offrir une personnalisation, afin que les utilisateurs puissent travailler efficacement avec les actifs de sécurité réseau A cela s’ajoute la possibilité de surveiller à moindre coût le trafic réseau pour identifier les anomalies susceptibles de trahir une attaque réseau Il faut aussi compter avec la possibilité de modifier rapidement le réseau lorsque des attaques sont identifiées. Sans oublier le recours massif au chiffrement pour protéger les données en transit et au repos.

Les options pour passer au SDN

Les DSI peuvent choisir parmi un vaste éventail d’outils de SDN pour améliorer la sécurité réseau. VMware propose NSX pour virtualiser le réseau et déployer une stratégie de micro-segmentation au sein du centre de calcul. Cisco met à profit des capacités de SDN dans son infrastructure centrée sur les application, ACI, avec ses produits de sécurité réseau. Et il faut également compter avec les solutions proposées par HPE, Big Switch Networks, Pluribus Networks, Plexxi, NetScout Systems (VSS), Gigamin, Spirent, Ixa, vArmour, Certes Networks, et CohesiveFT.

Qui plus est, un grand nombre de spécialistes de la sécurité réseau – dont Intel, F5, Palo Alto, et Check Point, travaillent avec des fournisseurs SDN pour intégrer leurs appliances et logiciels de sécurité avec des capacités SDN spécifiques.

Recommandations pour les DSI

Avec l’usage croissant du BYOD et des objets connectés, le périmètre fournit une protection insuffisante des données sensibles. Le réseau est une composante critique des pratiques de sécurité, en cela qu’il peut aider à identifier et contenir les attaques. Les technologies SDN apportent des fonctionnalités pouvant améliorer la sécurité réseau. Les organisations devraient adopter une architecture de sécurité en couches, en intégrant les technologies de sécurité des SDN, afin de disposer d’une défense en profondeur.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close