Aujourd’hui, les entreprises s’éloignent de plus en plus des plates-formes de virtualisation traditionnelles au profit de solutions plus modernes pour créer des applications cloud natives. La transition vers des architectures cloud natives ainsi que l’adoption et le déploiement de conteneurs et de microservices sont en cours depuis des années. Des avantages tels qu’une résilience améliorée, une évolutivité, une extensibilité, une agilité et la capacité de répondre à de nombreuses limitations inhérentes aux piles de virtualisation traditionnelles ont motivé cette transition. Aujourd’hui, ce changement s’est accéléré.
La hausse des coûts de licence et les limites des anciennes plates-formes de virtualisation (par exemple, les systèmes existants non optimisés pour les applications cloud natives modernes) accélèrent ce changement. L’acquisition de VMware par Broadcom est un exemple de catalyseur récent, incitant de nombreux clients à explorer des alternatives de virtualisation plus cloud natives et plus rentables.
Il est important de noter que Kubernetes peut désormais gérer diverses charges de travail telles que les conteneurs, les machines virtuelles (VM) et le bare metal dans des environnements sur site et de cloud public. Mais la segmentation de réseau traditionnelle conçue pour les anciens environnements de virtualisation ne peut pas être étendue à Kubernetes telle quelle ; il est conçu pour les environnements de machines virtuelles statiques et mal équipé pour l’ère de Kubernetes, des architectures basées sur des conteneurs et des environnements multi-cloud et hybrides.
La segmentation est essentielle pour maintenir la conformité et améliorer la sécurité dans les environnements avec une infrastructure physique partagée. En isolant les locataires, la segmentation réduit le risque d’accès non autorisé et garantit la protection des données sensibles, aidant ainsi les organisations à répondre aux exigences réglementaires et à sécuriser leurs opérations.
Ici, nous explorerons les problèmes liés aux segmentation du réseau et expliquez comment surmonter les défis en utilisant la microsegmentation universelle.
Approches héritées et défis liés aux solutions de segmentation actuelles
Alors que de nombreuses organisations modernisent leurs environnements de virtualisation, elles adoptent Kubernetes comme orchestrateur complet pour gérer les charges de travail de leurs applications sur site et dans le cloud public. Les plates-formes de virtualisation modernes doivent prendre en charge différents types de charges de travail, telles que les machines virtuelles, les conteneurs et les systèmes nus, avec Kubernetes pour les déploiements sur site et dans le cloud public.
Aujourd’hui, les nouveaux environnements cloud natifs ont rendu obsolètes les approches et solutions de segmentation actuelles. Traditionnellement, les entreprises segmentent leurs environnements virtualisés en créant des réseaux virtuels et des zones de sécurité distincts en fonction des fonctions, par exemple les environnements de production, de développement et de test. Ils y parviennent en mettant en œuvre des VLAN et des commutateurs logiques pour la segmentation du réseau et en appliquant des politiques strictes de contrôle d’accès pour isoler et protéger les données et applications sensibles. Les solutions actuelles de segmentation de réseau telles que NSX sont efficaces pour les environnements de machines virtuelles traditionnels, mais leur architecture et leur conception sont incapables de gérer la nature dynamique des environnements Kubernetes, qui dissocient l’infrastructure des locataires et ont une approche réseau plate et ouverte. Les charges de travail Kubernetes étant très dynamiques, les pods sont fréquemment créés et détruits. Les solutions traditionnelles de segmentation de réseau ne peuvent tout simplement pas suivre l’évolution rapide des configurations et des politiques réseau.
Besoin croissant d’une microsegmentation unifiée
La microsegmentation universelle est essentielle pour l’observabilité, la sécurité et les performances des charges de travail dans les nouveaux environnements de virtualisation sur site et dans le cloud public.
Avec cela, les solutions de segmentation devraient inclure :
Prise en charge de différents types de charges de travail : Environnement unique : si les entreprises migrent l’intégralité de leurs machines virtuelles vers une nouvelle plate-forme de virtualisation telle que KubeVirt, la solution de segmentation doit être équipée pour prendre en charge à la fois les machines virtuelles et les conteneurs dans les environnements sur site et de cloud public et gérer le réseau plat créé avec Kubernetes. Il devrait créer des zones d’isolation des charges de travail et de sécurité pour toutes ces charges de travail en tant que cadre politique unique.
Prise en charge de différents types d’environnements de virtualisation : Environnement hybride : en fonction de l’empreinte des VM de l’organisation et des exigences de déploiement d’applications réparties sur site et dans le cloud public, les équipes réseau et plateforme peuvent être en mesure de migrer un ensemble partiel de VM vers une nouvelle plateforme de virtualisation qui prend en charge à la fois les VM et conteneurs.
Une considération supplémentaire : les organisations peuvent conserver quelques machines virtuelles dans l’environnement de virtualisation existant pour des raisons de conformité, de sécurité ou commerciales. Dans un tel scénario, une solution de microsegmentation doit fonctionner non seulement sur les plateformes de virtualisation modernes mais également sur les plateformes existantes telles que vSphere. Il devrait être capable d’effectuer une microsegmentation pour les charges de travail (VM, conteneurs, bare metal) dans les environnements sur site et dans le cloud public.
Surmonter les défis grâce à l’adoption de solutions stratégiques
Organisations migrant des plates-formes de virtualisation existantes vers des plates-formes modernes solutions de virtualisation devrait donner la priorité à l’adoption d’un moteur de politique réseau robuste, dynamique et hautes performances pour effectuer la segmentation entre les déploiements sur site et dans le cloud public et les différentes charges de travail des machines virtuelles, des conteneurs et du bare metal.
Lorsqu’ils recherchent une solution répondant aux besoins de leur organisation, les décideurs informatiques doivent rechercher les fonctionnalités et avantages suivants pour gérer différentes charges de travail :
Modèle de sécurité unifié : offre un modèle de sécurité cohérent dans différents environnements. Un modèle de sécurité unifié simplifie également la création et l’application de politiques réseau sur différents types d’infrastructure.
Application dynamique des politiques : permet d’appliquer dynamiquement les politiques réseau à mesure que les charges de travail sont déplacées, créées ou terminées, garantissant ainsi que les politiques réseau sont toujours à jour sans intervention manuelle.
Politiques granulaires : permet la création de politiques précises pour des charges de travail particulières dans un environnement hybride, offrant ainsi un contrôle précis sur le trafic autorisé et refusé.
Visibilité : aide les administrateurs à éliminer les incertitudes. Visibilité sur les flux de trafic des charges de travail pour créer une carte complète qui aide les administrateurs à éliminer les incertitudes liées à la compréhension des dépendances des charges de travail et des lacunes en matière de sécurité et de conformité.
IDS/IPS distribués : protège contre les menaces basées sur le réseau. Les décideurs doivent rechercher un IDS/IPS centré sur la charge de travail qui protège contre les menaces basées sur le réseau en ingérant différents flux de menaces disponibles par défaut et des sources personnalisées pour identifier la source de l’activité malveillante en cas de violation.
Avec une solution de segmentation unique, les utilisateurs peuvent également réduire les frais liés à la gestion de plusieurs solutions de segmentation.
Relever les défis hérités avec des solutions modernes
La nécessité de gérer efficacement diverses charges de travail et le désir de réduire les coûts de licence ont accéléré la migration des entreprises des plates-formes de virtualisation existantes vers des solutions de virtualisation modernes.
Désormais, les solutions actuelles de segmentation de réseau pour les environnements de virtualisation traditionnels sont inadaptées à la nature dynamique de Kubernetes. Une nouvelle solution de segmentation doit prendre en charge à la fois les machines virtuelles et les conteneurs dans des environnements uniques et hybrides répartis sur site et dans le cloud public. Les entreprises peuvent répondre à ces besoins – en garantissant une segmentation transparente et efficace pour leurs environnements de virtualisation en évolution – en adoptant des solutions dotées de capacités de microsegmentation robustes pour parvenir à une microsegmentation universelle.