Dans la famille VMware, le réseau et la sécurité sont intimement liés et ce mariage a évolué aux fils des années et des acquisitions (Velocloud pour le SD-WAN, Nyansa pour l’analytique réseau...). Au final en mai 2018, le spécialiste de la virtualisation a regroupé cet ensemble au sein de Virtual Cloud Network (VCN) et revendique aujourd’hui à date 15 000 clients.
Au cœur de ce dispositif, le service NSX-T s’occupe de l’automatisation des fonctions de sécurité, « mais il y a encore des zones où la distribution de ces fonctions se fait manuellement comme par exemple la mise en place de règles dans les firewall », explique Pierre Ardichvili, directeur sécurité et réseau chez VMware France. Pour renforcer cette automatisation et aussi la visibilité de bout en bout, VMware annonce NSX-T 3.0 comprenant plusieurs fonctionnalités allant dans ce sens.
Du DPI pour les applications et une console de gestion unique
Sur la partie visibilité, la dernière itération de NSX-T s’occupe de la micro-segmentation des applications, « afin de réduire la surface d’exposition et éviter les attaques latérales ». Dans ce cadre, VMware lance plusieurs services, le Software Defined Firewall, NSX Intelligence (moteur de recommandations) et des IPS/IDS distribués. « Avec eux, l’entreprise a la capacité à voir les flux et inspecter plus en profondeur le trafic autorisé », précise Ghaleb Zekri, senior architecte SDDC chez VMware France. Il donne l’exemple, « de l’analyse des communications entre deux VM via le protocole SMB utilisé par NotPetya et Wannacry. On va pouvoir inspecter chaque paquet, pour avoir une surveillance continue et faire des recommandations de sécurité ». Il ajoute que cette technique de DPI (deep packet inspection) « ne s’adresse pas uniquement aux environnements virtuels, mais fonctionne dans le cloud et sur le bare metal ».
Autre fonction mise en avant dans NSX-T 3.0, NSX Federation (un terme cher à EMC à l’époque). Il s’agit d’une console de management du réseau et de la sécurité. « C’est un point unique de gestion qui unifie le déploiement des règles de sécurité au sein des datacenters et évite par exemple les erreurs de configuration », déclare Pierre Ardichvili. Mais il voit un autre atout pour NSX Federation, « une aide dans la mise en place d’une politique de PRA, en se focalisant sur les workloads et non sur des adresses IP. Avec un management centralisé, on peut installer des tags dans les VM ou les conteneurs pour leur appliquer des règles de sécurité constantes. En cas de problème, les workloads pourront être rétablis avec leurs attributs de sécurité ». Surtout qu’aujourd’hui, les applications sont étendues avec plusieurs types d’environnement (virtualisé, conteneur et bare metal).
Le SD-WAN s’invite dans Azure Edge Zones
Sur la partie SD-WAN, VMware annonce une meilleure intégration avec Azure et plus particulièrement avec Edge Zones, une extension de l’infrastructure cloud au plus près de certains clients comme les opérateurs télécoms dans le cadre du déploiement de la 5G. VMware apporte « du zero touch provisioning lors du déploiement d’Azure Edge Zones, la partie SD-WAN s’installe automatiquement », glisse le directeur sécurité et réseau de VMware France.
Enfin dernier étage des annonces, vRealize Network Insight bascule en mode 5.2 pour apporter une plus grande visibilité « à trois populations : infrastructures, sécurité et réseau », indique Arnaud Gauge, manager de l’ingénierie système NSX. Chacun peut avoir une « vision globale et unifiée des différentes fonctionnalités ». Intégrant du machine learning, vRealize Network Insight apporte une meilleure compréhension des applications, « la fonction Discovery est utile pour déplacer plus facilement les applications notamment dans le cloud », précise l'expert. Le service est capable de récupérer et d'analyser les meilleurs chemins réseaux sur AWS via VMware Cloud on AWS, mais aussi par des remontées d'informations issues de Velocloud pour la partie SD-WAN. « Cela donne une visibilité de bout en bout sur les applications, leur sécurité et les ressources réseaux », conclut Arnaud Gauge.
VMware indique que NSX-T 3.0 est disponible immédiatement et que vRealize Insight Networks 5.2 sera accessible à partir du 1er mai 2020.
Commentaire