Coloures-pic - Fotolia
La Banque de France passe à la micro-segmentation réseau
Un choix qui doit permettre d’accélérer le déploiement de nouveaux environnements de développement ou encore celui de nouveaux services, sans sacrifier la sécurité et le contrôle.
Depuis début 2015, la Banque de France travaille à une petite révolution interne : elle déploie la pile de virtualisation de réseau de VMware sur une partie de son infrastructure. A l’occasion d’un atelier organisé aux Assises de la Sécurité, début octobre à Monaco, Tanguy Deflandre, responsable du service infrastructure de l’institution, a expliqué répondre ainsi un besoin lié à l’évolution de ses métiers. De fait, dans le cadre du système européen des banques centrales (SEBC), notamment, la Banque de France est amenée à s’ouvrir de plus en plus vers l’extérieur, pour fournir des services informatiques à ses homologues de la zone Euro. Et c’est sans compter avec l’ouverture du système d’information – ou plutôt de sa zone dite standard, ne recouvrant donc pas les grands systèmes patrimoniaux – aux développeurs externes.
Mais pas question d’ouvrir à tous les vents sans maintenir sécurité et contrôle. Et justement, historiquement, cette zone standard était largement accessible aux environnements de production, de pré-production, voire de développement. Regroupant autour de la table architectes réseau et virtualisation, la Banque de France a donc misé sur une approche de micro-segmentation de cette zone. Le tout en profitant de ses compétences internes, déjà familières des technologies de VMware – utilisées pour virtualiser environ 70 % des serveurs.
La micro-segmentation est donc le premier cas d’usage de NSX. Mais ce n’est pas le seul. Le second aspect est l’automatisation. Si le déploiement de serveurs s’est déjà industrialisé grâce à la virtualisation, ce n’est pas le cas de la gestion des configurations réseau associées. Sur le volet réseau, les processus de gestion des déploiements restent largement manuels. Et tout naturellement, plus il y a de demandes spécifiques, plus les délais de déploiement sont longs. Le recours à NSX va donc conduire à la définition de modèles complets intégrant toutes les couches de l’infrastructure impliquées dans de nouveaux déploiements, jusqu’au volet sécurité avec les règles de pare-feu, notamment.
Le projet a été quelque peu retardé, compte tenu de l’ouverture d’un nouveau centre de calcul et du déploiement de briques techniques qui n’étaient pas initialement connues – en l’occurrence, des systèmes convergés Cisco.
Pour l’heure, des fonctionnalités réseau virtualisées telles que l’équilibrage de charge n’ont pas encore été déployées. Ce point sera étudié ultérieurement, après définition d’une stratégie plus globale de la sécurité réseau, au-delà de la zone standard. Et là, le passage à une infrastructure réseau à définition logicielle pourra remplir toutes ses promesses et délivrer toute sa valeur ajoutée.