Instrument Inactif

VMware, Inc.

VMW

US9285634021

VMware : 4 problèmes de sécurité du Data Center qui vous amèneront à repenser votre installation de pare-feu

Le 23 novembre 2021 à 06:49

Porte-parole: Arnaud Gauge,
Senior Manager, Solution Engineering - Virtual Cloud Network,
VMware France

Vous souvenez-vous de ce qui se passait il y a dix ans ? On a parfois l'impression que l'année 2011 vient à peine de se terminer, mais beaucoup de choses ont changé en dix ans. À cette époque, la plupart des Data Centers commençaient à peine à tester la virtualisation. Vous souvenez-vous de l'époque où les craintes en matière de sécurité faisaient que seules quelques charges de travail non essentielles pouvaient être virtualisées ? Eh bien, aujourd'hui, près de la moitié des serveurs du monde entier sont désormais virtualisés, et nous avons même dépassé le stade de la simple virtualisation. Presque tous les Data Centers d'entreprise se sont transformés en environnement hybride, mélangeant stockage virtuel et physique et ressources informatiques.
La conteneurisation et les technologies qui la prennent en charge commencent à s'implanter. Et bien sûr, le Cloud Computing s'est généralisé, dans tous les aspects de l'informatique professionnelle.

Les avantages commerciaux des Software-Defined Data Centers d'aujourd'hui sont nombreux, tout particulièrement sur le plan de l'efficacité des ressources et des économies de coûts. Mais cela ne doit pas nous faire oublier que la complexité s'est également accrue. En effet, les mêmes ressources restent nécessaires (calcul, stockage, commutation, routage), mais un certain nombre de ces dernières peuvent désormais se trouver on premise ou sur le Cloud. Maintenir la connectivité, garantir le respect des exigences de performances commerciales et s'adapter au rythme des modifications technologiques et commerciales : à l'heure actuelle, la gestion d'un Data Center est un véritable défi. Et nous n'avons même pas encore abordé l'enjeu principal pour les conseils d'administration, les dirigeants d'entreprise et les professionnels de l'informatique : la sécurité.

Voyons à présent quelques-uns des enjeux de sécurité des Data Centers d'aujourd'hui :

1. Vous ne pouvez pas sécuriser ce que vous necomprenez pas

Commençons par la visibilité. Dans un récent webinaire avec Omdia, l'analyste nous parlait de ce qu'il dénomme le cycle de vie des opérations de cybersécurité, qui présente les étapes de mise en place deSecOps efficaces. Dans ce cycle de vie, tout comme dans le Data Center, tout commence par la visibilité. Après tout, comment voulez-vous sécuriser un environnement si vous ne le comprenez pas ? La visibilité d'un Data Center passe par la mise à disposition d'informations fiables et en temps réel concernant les charges de travail, les utilisateurs, les terminaux et les réseaux. Il est également essentiel d'être prévenu dès l'apparition de modifications des conditions, dès l'aggravation des conditions de risque, ou dès l'apparition de nouvelles menaces. À l'heure actuelle, à l'ère du COVID(ou bientôt postCOVID, comme nous l'espérons tous), vous allez probablement être confronté à une base d'utilisateurs fortement répartie, qui accède aux ressources du Data Center à partir de sites distants, pour une durée indéterminée.

Dans ce contexte, combien d'organisations sont en mesure de déclarer avec une certitude absolue qu'elles disposent d'une visibilité adaptée sur leur Data Center ? Si ce n'est pas votre cas, il pourraitêtre judicieux de vous demander si votre plan de sécurité est correctement mis en œuvre. En effet, plusvotre visibilité est faible, plus vous souffrirez de failles de sécurité.

2. Il n'existeaucuneapplication dédiée

Abordons maintenant la sécurité des applications. Nous pourrions dédier un article de blog complet à ce sujet, mais voici l'essentiel : vous avez vraiment besoin de contrôles de sécurité au sein et autour de vos applications. Des approches différentes sont nécessaires, selon qu'il s'agisse d'applications sur site traditionnelles ou d'applications SaaS. Rester au fait des exigences règlementaires en matière d'application est également un défi constant. À mesure que les applications adoptent de plus en plus une structure basée sur différents composants, vous aurez besoin de vous appuyer sur les processus DevSecOps pour vous assurer que la sécurité est intégrée aux instances prenant en charge des fonctions d'applications conteneurisées,
ou même sans serveur.

3. Laseule constante : le changement(rapide)

Le défi suivant est le rythme du changement. Vous pouvez penser qu'il s'agit d'un cliché, mais presque toutes les organisations traversent actuellement une sorte de transformation digitale, qui, à divers degrés, implique une transition importante en matière d'infrastructure informatique. Mais ce que personne
ne vous raconte au sujet de la transformation digitale, c'est que ce processus entraîne l'apparition définitive d'un rythme de changement accéléré : plus d'infrastructure Cloud, plus de SaaS, plus de conteneurisation. Et au cours
des dix prochaines années, vous serez également confronté à diverses technologies telles que l'IoT ou la 5G. Vous assisterez donc à une augmentation exponentielle du nombre de terminaux qui se connecteront
à votre Data Center et l'alimenteront en données. Les technologies de sécurité des Data Centers devront alors se centrer sur une approche basée sur l'automatisation et les règles, capable de s'adapter à un rythme de changement en croissance constante.

4. L'explosion du volume de traficest-ouestestle rêvede tous leshackers

Pour finir, il est nécessaire de s'arrêter sur un enjeu spécifique : le trafic est-ouest. L'évolution des Data Centers a entraîné l'explosion du volume de trafic est-ouest au sein du Data Center. Les Data Centers plus efficaces et sécurisés disposent d'un plus grand nombre de charges de travail, ce qui entraîne une augmentation du trafic réseau. Dans la plupart des organisations, le volume
du trafic est-ouest dépasse désormais largement celui du trafic nord-sud,
qui entre dans le Data Center puis en ressort. Mais ce n'est pas parce que
le trafic est-ouest ne quitte pas physiquement votre Data Center que vous pouvez lui faire confiance.

Le trafic est-ouest est le rêve de tous les pirates qui cherchent à dissimuler des mouvements latéraux malveillants. Il s'agit peut-être même du problème
le plus important des environnements de Data Centers modernes. Quel est
le scénario entraînant des tentatives de mouvement latéral le plus répandu ?
Il s'agit du vol d'informations d'authentification valides. Dans l'hypothèse
où un cybercriminel est authentifié dans une application système à l'aide d'informations d'authentification légitimes, vous devez disposer de contrôles au niveau de la couche réseau capables d'identifier le trafic malveillant
et de l'empêcher de traverser votre réseau et d'aggraver potentiellement l'intrusion. Dans ce contexte, le doute n'est plus permis : le trafic est-ouest joue désormais le rôle de périmètre réseau.

Et il vous faut doncun nouveautype de pare-feu

Tout le monde, ou presque, sait qu'un pare-feu est nécessaire dès lors
qu'il existe un périmètre réseau. Par extension, les entreprises doivent désormais installer des pare-feu à l'intérieur de leur Data Center. Mais
les approches traditionnelles de pare-feu périmétrique ne sont pas nécessairement adaptées au trafic est-ouest. Penchons-nous un peu plus sur la question.

Tout d'abord,la topologie du Data Centerpose un problème

Tout particulièrement dans un Software-Defined Data Center, il peut être impossible d'insérer des pare-feu virtuels entre chaque charge de travail. Le détournement du trafic est-ouest vers l'emplacement des pare-feu dédiés n'est pas non plus une approche efficace. Cela entraînerait inévitablement la création de goulots d'étranglement physiques sur l'environnement virtuel, ce qui va à l'encontre de l'objectif du modèle software-defined, axé sur l'efficacité et la flexibilité. Pensez également à la manière dont les pare-feu contrôlent le trafic, ainsi qu'aux types de trafic concernés. Sur le périmètre, vous bloquez principalement des protocoles et des ports spécifiques, ainsi que des plages d'adresses IP. Mais avec les pare-feu de nouvelle génération, vous contrôlez le trafic en fonction des types d'application et des groupes d'utilisateurs. Très bien, mais le contexte est-ouest exige la présence de contrôles bien plus granulaires. Même si vous ne disposez que d'une application, celle-ci peut avoir différentes fonctions (une couche Web, une couche de fonction d'application, une couche de base de données) et toutes nécessitent des contrôles différents. Votre pare-feu doit pouvoir comprendre non seulement le trafic et l'application, mais également les composants de l'application et la logique commerciale qui permet de faire la différence entre les communications acceptables ou non.

Abordons à présent le problème du trafic chiffré

Dans le cadre d'un trafic chiffré interne à la charge de travail, essayer de déchiffrer, inspecter puis rechiffrer ces paquets implique une surcharge importante, qui n'est souvent pas envisageable. Mais, vous ne pouvez pas non plus ignorer ce trafic, car vous ne savez jamais réellement ce qui s'y trouve.

Il est donc nécessaire de mettre en place des fonctions de pare-feu est-ouest. Cela ne signifie toutefois pas qu'il vous faut accepter les limites traditionnelles des pare-feu physiques et virtuels. Une autre approche est possible. Nous voulons parler des périmètres virtuels, ou plus concrètement de la micro-segmentation.

Le périmètre virtuel :un concept traditionnel avec une approche nouvelle

La micro-segmentation correspond à l'utilisation des logiciels et des règles pour mettre en place une segmentation réseau granulaire jusqu'au niveau de l'application et de la charge de travail. Ce concept n'est pas nouveau, mais de nombreuses organisations ne l'ont pas encore mis en place. Si la micro-segmentation offre de nombreuses fonctionnalités identiques à celles d'un pare-feu traditionnel, elle réduit le pare-feu à une fonctionnalité au sein d'une instance virtuelle. En d'autres termes, les contrôles de sécurité sont intégrés au niveau de la charge de travail, ce qui fait de cette approche une avancée considérable en matière de pare-feu de Data Centers. À l'avenir, les pare-feu passeront de plus en plus du statut d'appliances virtuelles et physiques à l'objectif précis à celui de fonctionnalités au sein d'une application, d'une charge de travail ou d'un conteneur.

Sécurité du Data Center : pour une simplicité et une efficacité améliorées

Dans la plupart des entreprises, la cybersécurité est une priorité commerciale essentielle, mais la sécurité devrait également être un atout commercial. Les responsables de sécurité qui travaillent dans ce secteur depuis longtemps savent que les dirigeants ne veulent bien évidemment pas voir les pires scénarios de sécurité se réaliser, mais qu'ils ne veulent pas non plus que leurs activités soient entravées par des architectures de sécurité qui ralentissent leurs employés, leurs processus, ou encore la technologie et l'innovation.

Les microservices et les pare-feu basés sur des fonctions disposent d'un avantage considérable : ils permettent une intégration bien plus flexible de la sécurité dans les processus commerciaux, même lorsque ceux-ci sont soumis à un rythme de modification et d'adaptation rapide. L'image ci-dessous présente sur la gauche le modèle de pare-feu virtuel traditionnel, dans lequel la seule approche viable consiste à insérer des instances de pare-feu virtuel entre différentes charges de travail et différents groupes de charge de travail. Les fournisseurs de pare-feu vous diront que pour segmenter votre réseau correctement, un grand nombre de pare-feu est nécessaire. Cela ne surprend personne. Mais ce modèle est difficile à déployer et gérer. Il n'est pas efficace, rarement rentable et ne favorise définitivement pas l'agilité.

Du côté droit de l'image ci-dessous, vous pouvez voir un modèle à micro-segmentation. Vous conservez les mêmes fonctionnalités de pare-feu, mais elles sont désormais intégrées à chaque charge de travail. Chacune d'elles dispose d'une règle correspondante qui établit les paramètres du pare-feu, ainsi que d'autres aspects de sécurité du réseau. Dès qu'une charge de travail est créée, sa règle de sécurité est donc déjà mise en place.

D'un point de vue commercial, l'intégration de la sécurité directement dans
les ressources vitales du Data Center présente un grand nombre d'avantages. Avec ce type de micro-segmentation basée sur des règles, dès que vous déployez une charge de travail, vous disposez immédiatement des contrôles de sécurité requis par cette dernière. Vous pouvez empêcher les menaces de mouvements latéraux, limiter le trafic sur l'application et profiter de tous les avantages de l'accès zéro confiance . Cette installation de pare-feu vous permet en outre de créer plusieurs couches de fonctionnalités de sécurité supplémentaires, comme l'IDS/IPS,l'analyse de trafic réseauet l'application de correctifs virtuels.

Pour résumer : l'installation de pare-feu n'est pas près de disparaître

Ne laissez jamais personne vous dire que les pare-feu vont devenir obsolètes, tout particulièrement pour les Data Centers. Vous avez toujours besoin des contrôles offerts par un pare-feu. Mais il est vrai que les instances de pare-feu autonome traditionnel vont petit à petit laisser place à l'installation de pare-feu sous forme de fonctionnalité. L'heure est venue de commencer à étudier le fonctionnement de ces technologies et leurs avantages potentiels pour votre organisation.

Je vous invite à approfondir ce sujet et à vous pencher sur la manière dont la technologie fonctionne dans votre environnement, grâce à notre webinaire à la demande, What's Next for Data Center Firewalls?, qui vous permettra de découvrir des expériences concrètes liées au parcours d'implémentation de cette nouvelle approche de sécurité du Data Center chez VMware, de la bouche de son directeur de conception et d'ingénierie de solution pour l'infrastructure informatique centrale, aux prises actuellement avec ces scénarios de transformation du Data Center. Si vous ne me croyez pas sur parole, laissez-le vous convaincre !

Regarder le webinaire dès maintenant.

En savoir plus sur les pare-feu service-defined VMware NSX.

Categorie:Actualités et temps forts

Mots-clés :

Attachments

Original Link
Original Document
Permalink

Disclaimer

VMware Inc. published this content on 22 November 2021 and is solely responsible for the information contained therein. Distributed by Public, unedited and unaltered, on 23 November 2021 05:48:01 UTC.

Dernières actualités sur VMware, Inc.

Liquid Web étend ses solutions de continuité d'activité avec une protection de reprise après sinistre optimisée par VMware	26/03	CI
VIAVI Solutions Inc. et VMware, Inc. étendent le testbed RIC en tant que service pour faire progresser les environnements de jumeaux numériques	21/02	CI
En direct des marchés : Engie, EssilorLuxottica, BNP Paribas, Stellantis, Voltalia, Novo Nordisk ...	23/11
Broadcom emprunte 28,39 milliards de dollars pour financer l'acquisition de VMware	22/11	MT
Broadcom finalise l'acquisition de VMware pour 69 milliards de dollars	22/11	MT
Broadcom conclut l'acquisition de VMware pour 69 milliards de dollars après l'approbation de la Chine	22/11	RE
Les PDG "boomerang" des grandes entreprises	22/11	RE
Broadcom Inc. (NasdaqGS:AVGO) a finalisé l'acquisition de VMware, Inc. (NYSE:VMW) auprès de Michael S. Dell, Dodge & Cox, Silver Lake Management, L.L.C., Silver Lake Partners V DE (AIV), L.P., SL SPV-2, L.P. et d'autres.	22/11	CI
Broadcom et VMware reçoivent l'approbation finale des autorités de régulation pour leur fusion ; l'opération devrait être finalisée d'ici mercredi	21/11	MT
Broadcom prévoit de conclure mercredi l'acquisition de VMWare pour 69 milliards de dollars	21/11	RE
L'autorité chinoise de régulation des marchés approuve sous conditions l'opération Broadcom-VMware	21/11	RE
L'AUTORITÉ CHINOISE DE RÉGULATION DES MARCHÉS A DONNÉ SON ACCORD CONDITIONNEL À L'ACQUISITION...	21/11	RE
Orange Business et VMware, Inc. Transforment le SD-WAN flexible pour simplifier l'expérience client grâce à la numérisation et à l'automatisation	08/11	CI
IBM : collaboration avec VMware dans l'IA générative	07/11	CF
NetApp lance une offre de cloud hybride pour les petites et moyennes entreprises	07/11	MT
IGEL annonce l'intégration de l'authentification IGEL OS 12 avec VMware Identity Services pour VMware Workspace One	07/11	CI
VMware, Inc. annonce une collaboration avec Intel pour débloquer l'IA privée partout	07/11	CI
VMware, Inc. Accélère l'innovation basée sur les données avec de nouvelles fonctionnalités de services de données avancés pour VMware Cloud Foundation	07/11	CI
VMware, Inc. et Google Cloud annoncent une solution de base de données compatible avec PostgreSQL pour les applications d'IA traditionnelles et génératives sur VMware Cloud Foundation	07/11	CI
VMware étend les capacités de la plateforme Tanzu pour créer des applications pour l'économie générative de l'IA	07/11	CI
VMware fait progresser la modernisation de l'informatique avec des capacités d'automatisation améliorées et de nouvelles intégrations de sécurité	07/11	CI
Broadcom et VMware annoncent que la fusion devrait être finalisée "bientôt".	30/10/23	MT
Broadcom prévoit de conclure l'accord de 69 milliards de dollars avec VMware avant la date limite de novembre	30/10/23	RE
La FTC sud-coréenne approuve sous conditions le rachat de VMware par Broadcom	23/10/23	MT
La FTC sud-coréenne approuve sous conditions le rachat de VMware par Broadcom	23/10/23	MT

Graphique VMware, Inc.

Durée

Période

Plus de graphiques

Profil Société

VMware LLC, anciennement VMware, Inc. est un fournisseur de services multi-cloud pour toutes les applications, qui permet le numérique avec le contrôle de l'entreprise. Son portefeuille multi-cloud, qui couvre la modernisation des applications, la gestion du cloud, l'infrastructure cloud, la mise en réseau, la sécurité et les espaces de travail en tout lieu, constitue une base numérique sur laquelle les clients peuvent construire, exécuter, gérer, connecter et protéger leurs charges de travail. Les produits de la société dans son portefeuille de modernisation des applications comprennent Tanzu Application Platform, Tanzu Operations Platform, Tanzu Application Service, Tanzu Observability, Tanzu Community Edition et Tanzu Labs. Ses produits de gestion du cloud aident les clients à gérer des environnements multi-cloud exécutant une gamme de charges de travail, y compris des machines virtuelles et des conteneurs. Ses solutions d'infrastructure en nuage comprennent des produits et des services d'infrastructure qui permettent aux clients d'exécuter des applications d'entreprise avec une infrastructure et un modèle d'exploitation allant des centres de données sur site au nuage et à la périphérie.

Secteur

Logiciels

Plus d'informations sur la société

Secteur Système d'exploitation

	Varia. 1 janv.	Capi.
ZSCALER, INC.	-24,41 %	25,92 Md
MONDAY.COM LTD.	-4,73 %	9,06 Md
WALKME LTD.	-27,09 %	735 M
TRAFFIC CONTROL TECHNOLOGY CO., LTD.	+13,49 %	511 M
XPERI INC.	-13,16 %	429 M
INSYDE SOFTWARE CORP.	-14,07 %	281 M
ZHENGZHOU TIAMAES TECHNOLOGY CO.,LTD	-33,89 %	200 M
HANGZHOU HOPECHART IOT TECHNOLOGY CO.,LTD	-49,41 %	172 M
KOREA INFORMATION CERTIFICATE AUTHORITY, INC.	-11,74 %	141 M

Système d'exploitation