Avec le récent achat de l'entreprise de réseau et de sécurité open source et cloud native Isovalent, Cisco a remis sur le devant de la scène la populaire technologie de connectivité de conteneur eBPF (extended Berkeley packet filter). Annoncée fin décembre, l’opération devrait être finalisée au troisième trimestre de l’exercice fiscal 2024, selon les prévisions de Cisco. Grâce à la technologie open source eBPF du noyau du système d'exploitation Linux, les programmes peuvent s'exécuter en toute sécurité dans un bac à sable à l'intérieur du noyau de l’OS. Elle permet aux clients d'intégrer rapidement et facilement des fonctions de sécurité, d'observabilité et de mise en réseau sans avoir à modifier le code source du noyau, à se préoccuper des superpositions de réseaux ou à effectuer d'autres tâches de programmation fastidieuses. Le développement de cette technologie open source se fait sous les auspices de la Cloud Native Computing Foundation (CNCF) avec des contributions de l'industrie et le soutien de Google, Microsoft, Red Hat, Intel et d'autres. Selon la CNCF, de nombreux développeurs de noyaux ont contribué à l'intégration de l'eBPF dans le noyau Linux, ce qui l'a rendu stable et fiable. En outre, divers autres projets ont créé des outils et des bibliothèques qui facilitent l'utilisation et la gestion de l'eBPF.
De plus, l’eBPF est à la base des logiciels open source basés sur le cloud Cilium et Tetragon d'Isovalent, dont l’usage est très répandu. Cilium utilise eBPF pour prendre en charge la mise en réseau, la sécurité et l'observabilité des charges de travail Kubernetes conteneurisées, tandis que Tetragon permet aux utilisateurs de définir des politiques de sécurité à l'aide de la technologie eBPF. « L’eBPF joue un rôle important dans l'environnement actuel d'applications distribuées, de machines virtuelles, de conteneurs et d'actifs cloud, où les administrateurs d'applications peuvent avoir peu ou pas d'aperçu de l'infrastructure sous-jacente, ce qui crée une lacune dans la visibilité et la sécurité », a déclaré Tom Gillis, vice-président senior et directeur général du Cisco Security Business Group. « L’eBPF et Cilium permettront de définir toutes sortes de fonctions de pare-feu, d'équilibrage de charge, de DNS - toutes sortes de fonctions de niveau de service d'application, le tout à partir d'un seul logiciel », a déclaré M. Gillis. « Sans eBPF, toutes ces fonctionnalités devraient être activées individuellement, ce qui prend du temps et expose potentiellement à de nombreux problèmes de sécurité et de réseau. Avec cette combinaison, il devient également possible d'analyser le trafic réseau et le comportement des conteneurs, et donc aux experts réseau de résoudre les problèmes et d'optimiser les performances », a ajouté M. Gillis.
Sécurité et équilibrage de charge pour Kubernetes
Selon un rapport d'IDC, l’eBPF, Cilium et Tetragon offrent la plus grande valeur à ceux qui exploitent des clusters Kubernetes et apportent des avantages significatifs en matière de réseau. Par exemple, en s’appuyant sur la technologie eBPF, les utilisateurs peuvent définir un chemin de données réseau performant et programmable entre les applications et les clusters. « L'eBPF permet de prendre des décisions rapides sur la manière de traiter les paquets entrants [et] peut faciliter l’application de politiques de réseau et de sécurité très diverses », a encore indiqué IDC. « La technologie offre aussi un équilibrage de la charge en temps de connexion : au lieu d'utiliser une adresse IP virtuelle, les opérateurs peuvent équilibrer la charge à la source à l'aide d'un programme chargé dans le noyau, ce qui évite la problématique de traduction d'adresse réseau (NAT) », selon IDC. « De plus, les programmes eBPF peuvent ajouter des sondes en tant que capteurs dans le noyau Linux pour obtenir des données riches en contexte, et il n'est pas nécessaire de modifier le noyau pour effectuer le traçage et le profilage », a souligné le cabinet d’études. « Les hyperscalers et les fournisseurs de cloud ont largement adopté Cilium en raison de sa visibilité inégalée sur le comportement et la communication des applications natives du cloud et de sa capacité transparente à définir la politique d'un réseau SDN défini par logiciel », a écrit M. Gillis dans un blog récent sur l'achat d'Isovalent par Cisco.
AWS, Netflix, Google, Adobe et d'autres utilisent Cilium pour prendre en charge les services de mise en réseau, de politique réseau et de visibilité réseau. « Pour faciliter la connexion des clusters Kubernetes avec l'infrastructure existante à travers les clouds hybrides, Isovalent a récemment introduit Cilium Mesh », a indiqué M. Gillis. « Quant à Tetragon, il fournit des contrôles de sécurité pour protéger les charges de travail pendant qu'elles s'exécutent en recueillant des informations détaillées sur les processus internes de l'application et sur la façon dont ils se comportent sur le réseau », a déclaré par ailleurs M. Gillis. « Cette vision globale offre la meilleure forme de protection pour les charges de travail fonctionnant sur n'importe quel cloud ». Tetragon comprend également d'importantes capacités de conformité et d'intégration avec les outils que les fournisseurs de services cloud et les entreprises utilisent pour surveiller les incidents de sécurité et y remédier.
Une intégration progressive dans Panoptica
Même si elles peuvent s'intégrer dans un certain nombre de plateformes stratégiques du fournisseur, comme Cloud Security, Full Stack Observability (FSO), Networking Cloud et d'autres, on ne sait pas encore comment Cisco utilisera les technologies d'Isovalent. Celle-ci pourrait également faire partie de l'offre Panoptica du fournisseur, qui permet aux développeurs et aux ingénieurs de fournir une sécurité cloud-native du développement d'applications à l'exécution. Panoptica offre une interface unique pour une sécurité complète des conteneurs, serverless, API, service mesh et Kubernetes, elle évolue sur plusieurs clusters avec une architecture sans agent, et elle s'intègre avec des outils CI/CD et des frameworks de langage sur plusieurs clouds. « Cilium Mesh d'Isovalent complète les solutions SDN de réseau définies par logiciel de Cisco et l’ensemble peut offrir aux clients un réseau transparent et sécurisé de la succursale au centre de données, jusqu'au cloud public, en utilisant un maillage continu », a déclaré M. Gillis. « L'accélération matérielle des fonctions de mise en réseau permettra à la plateforme eBPF, déjà performante, de rester à la pointe de l'industrie. En tirant parti de l'intelligence des menaces de Talos et de la capacité d'analyse de sécurité de plus en plus puissante de l’équipementier, Cisco et Isovalent construiront ensemble une protection de pointe pour n'importe quelle charge de travail sur n'importe quel cloud », a affirmé M. Gillis, ajoutant que Cisco continuerait à être un contributeur clé des projets open-source Cilium et Tetragon et qu'il avait l'intention de créer un conseil consultatif indépendant pour aider à orienter les contributions de Cisco afin de créer des capacités de sécurité et de mise en réseau multicloud vraiment uniques.
Commentaire