Les administrateurs réseau s’appuient sur des politiques de configuration pour maintenir la santé, la conformité, les performances et la sécurité du réseau. Le respect de cette configuration minimise les risques et garantit continuité des activités. Cependant, de nombreuses entreprises connaissent une « dérive de configuration ». Pour une équipe d’administration de réseau mondiale, la dérive de configuration est encore compliquée par les équipes distribuées, les fuseaux horaires et les zones géographiques.
La dérive de configuration crée des vulnérabilités importantes et est une cause fréquente de failles de sécurité et pannes. En tant que tel, la prévention est essentielle pour les équipes chargées des opérations de réseau et de sécurité.
Qu’est-ce que la dérive de configuration ?
Commençons par les bases. Qu’est-ce que la dérive de configuration et pourquoi se produit-elle ?
De nombreux administrateurs réseau utilisent une « Golden Config » ou une stratégie de configuration principale pour surveiller la conformité de la configuration réseau, l’état du réseau, les performances et la sécurité. Si cette configuration était respectée, le réseau se comporterait comme prévu et les risques de sécurité seraient minimes.
Le problème est que les réseaux sont rarement statiques et que les systèmes modernes multi-cloud hybride Le réseau d’entreprise se compose de milliers d’appareils (routeurs, pare-feu, commutateurs) et de milliards de lignes de code. Tout comme un plombier ou un électricien pourrait apporter une mise à jour à une maison pour résoudre un problème sans le noter dans un plan directeur, les ingénieurs réseau et sécurité apportent souvent des modifications ponctuelles pour résoudre des problèmes immédiats, changements rarement documentés.
La « dérive » se produit lorsque des changements progressifs entraînent une « dérive » du réseau par rapport à la configuration prescrite, introduisant ainsi des risques pour la sécurité et les performances au fil du temps. Une équipe peut mettre en œuvre des changements dont d’autres équipes ne sont pas conscientes, ce qui complique le dépannage lorsque des problèmes de réseau surviennent, et chaque mise à jour représente une opportunité d’erreur humaine qui rend le réseau non conforme.
Rester au top de la dérive de configuration
Les équipes réseau et sécurité tentent de rester au courant des dérives de configuration en effectuant régulièrement des audits de conformité et de sécurité, mais cela peut prendre des semaines, voire plus, et introduire davantage de travail manuel et davantage de possibilités d’erreur des utilisateurs. Il est presque impossible de détecter une dérive de configuration, sauf en cas d’incident de sécurité ou de panne.
La réponse, malheureusement, a généralement été d’ajouter des outils plus « utiles », mais les ingénieurs se noient sous des données qui fournissent des détails spécifiques mais manquent de contexte pour communiquer une image globale de la santé du réseau et une vue complète du comportement et de la vulnérabilité. Ils ont besoin de données actuelles et exploitables qui rationalisent la prise de décision et simplifient le reporting.
Un suivi précis des modifications peut aider à rationaliser la prévention des dérives de configuration et à réduire le bruit des données en fournissant aux ingénieurs des données spécifiques et exploitables. Les modifications du réseau peuvent être liées à des heures et à des utilisateurs spécifiques, et les administrateurs réseau peuvent suivre ces modifications et revenir aux configurations précédentes si des problèmes surviennent. Ce type d’approche augmente la visibilité globale et brise les silos entre les équipes, car chacune est habilitée à accéder aux informations réseau dont elle a besoin pour identifier et résoudre tout problème de conformité.
Améliorez la fiabilité du réseau en suivant et en vérifiant les modifications
Réseau jumeaux numériques collectez régulièrement les données d’état et de configuration de chaque appareil du réseau pour créer une copie virtuelle et précise du réseau, capable de tracer chaque chemin potentiel qu’un paquet peut emprunter. De plus, la technologie permet aux ingénieurs de créer des contrôles de vérification qui alerteront le centre d’opérations réseau en cas de modification rendant le réseau non conforme.
Ces vérifications garantissent que les modifications n’interrompent pas la connectivité ou n’entrent pas en conflit avec la stratégie réseau. Chaque collection est stockée sous forme d’instantané, qui peut être utilisé pour suivre les différences mettant en évidence les modifications apportées entre les collections. Cela fournit aux administrateurs une vue détaillée de chaque modification apportée dans un format facile à lire. En cas d’incident, il sera facile de déterminer quels changements en sont responsables et de remédier rapidement au problème.
Un dernier mot sur la maîtrise de la dérive de configuration
Une institution financière prévoyait de mettre à niveau ses pare-feu. Ils ont fermé le réseau vendredi soir et ont utilisé un jumeau numérique du réseau pour prendre un instantané documentant la connectivité et le comportement du réseau. Une fois la mise à niveau du pare-feu terminée, l’institution prend un autre instantané du jumeau numérique du réseau pour voir si la connectivité a été involontairement perturbée. Dans le passé, l’équipe réseau devait écrire et tester le logiciel manuellement, et l’équipe de vérification testait les pare-feu. La technologie des jumeaux numériques vérifie et valide automatiquement que le réseau se comporte de la même manière qu’avant la mise à niveau.
Il s’agit d’un moyen automatisé de vérifier que les mises à niveau logicielles ne rompent pas la connectivité et les politiques d’un réseau et n’empêchent pas la dérive de configuration. Il fournit également une analyse historique de la configuration du réseau qui peut être utilisée comme preuve de conformité lors d’une audit réseau.
