Dans le monde hautement distribué d’aujourd’hui, les composants matériels et logiciels de sécurité traditionnels ne suffisent plus pour protéger les ressources des datacenters. Selon Tom Gillis, vice-président senior et directeur général de la division Réseaux et sécurité avancée de VMware, cette sécurité est essentielle pour les entreprises qui évoluent vers des environnements numériques distribués. « La solution consiste à intégrer la sécurité en profondeur dans le fabric d'infrastructure et de protéger les charges de travail tout au long de leur cycle de vie », a déclaré M. Gillis lors d'une interview accordée dans le cadre de la conférence VMworld 2021, organisée en ligne du 5 au 7 septembre. Pour ce faire, VMware va intégrer des fonctions de sécurité supplémentaires à la prochaine version de son logiciel de mise en réseau NSX, notamment une meilleure détection des anomalies et des analyses. Á la base de l'architecture Virtual Cloud Networking définie par logiciel de VMware, NSX permet aux entreprises de créer et de contrôler la connectivité et la sécurité du réseau, depuis le datacenter jusqu’aux environnements multicloud en passant par le réseau WAN étendu. NSX prend tout en charge, depuis les applications natives du cloud privé ou public jusqu’aux charges de travail bare-metal exécutées sur des hyperviseurs multifournisseurs. Le logiciel prend également en charge les piles de virtualisation de réseau d'Amazon Web Services, Microsoft Azure, Google Cloud et IBM Cloud, ainsi que les principales technologies de conteneurs Kubernetes.
La sécurité déjà présente dans NSX comprend la prise en charge de la configuration du réseau, de la gestion et de la définition des politiques à travers de vastes environnements. Appelée NSX Federation, cette fonctionnalité permet aux clients de générer des zones à tolérance de pannes pour contenir les problèmes et les empêcher de se propager sur le réseau de l'entreprise. De plus, VMware NSX Advanced Threat Prevention combine NSX Distributed IDS/IPS avec le logiciel de détection des malwares et d'analyse du trafic réseau acquis avec le rachat de Lastline en 2020. « À cet ensemble de fonctions de sécurité, VMware ajoute la possibilité d'installer des capteurs logiciels ou ce que les administrateurs réseau traditionnels appelleraient des points d'accès de test (Test Access Points, TAP) dans toute l'entreprise pour renvoyer des données sur les modèles de trafic et les performances du réseau à une console de gestion », a expliqué Tom Gillis. « Les points d'accès de test de réseau traditionnels sont compliqués et lourds à gérer pour l’IT, et ce n'est pas un bon moyen de voir ce qui se passe dans un environnement virtuel », a encore déclaré M. Gillis. « Avec NSX et notre hyperviseur, nous pouvons faire cette découverte du réseau dans l'hyperviseur sans TAP et tout voir », a-t-il ajouté.
Des améliorations pour Tanzu
La technologie Tanzu Service Mesh développée par VMware va de pair avec la sécurité approfondie de NSX. « Les améliorations de Tanzu Service Mesh annoncées à VMworld permettent aux équipes de sécurité des entreprises et aux développeurs d'applications de mieux voir et comprendre à quel moment, où, et comment communiquent les API, même dans des environnements multi-clouds », a déclaré M. Gillis. VMware poursuit ainsi son effort de sécurisations des API à travers les cycles de vie des applications. « Les applications traditionnelles construites avec une approche web à trois niveaux préservent chaque élément dans une enveloppe de sécurité, et c'est tout », a aussi déclaré le vice-président senior et directeur général de la division Réseaux et sécurité avancée de VMware. « Une application basée sur des conteneurs pourrait contenir 3 000 pièces différentes, chacune avec sa propre API, et chacune peut être ciblée par des personnes qui cherchent à les exploiter. « Tanzu Service Mesh montre aux clients l’image exacte de la façon dont une application est utilisée, tous les rouages internes, et permet aux utilisateurs de repérer les anomalies afin qu'ils puissent en supprimer les mauvais éléments. Il place entre tous les flux de conteneurs une sorte d’agent de la circulation capable de comprendre le contenu et les temps de réponse. Et s'il n'aime pas ce qu'il voit, il ne le laisse pas passer ». Le maillage de services inclut le support open source Envoy, une technologie de couche applicative qui facilite la gestion des applications basées sur les microservices. « Tout cela permet de constituer un ensemble très puissant pour la gestion des applications et des API modernes », a encore déclaré M. Gillis.
Une sécurité élastique des applications à la périphérie
Autre annonce de VMware pendant la conférence VMworld : un service NSX qui permet d'ajuster l'infrastructure de mise en réseau et de sécurité à la périphérie du datacenter ou du cloud en fonction de l'évolution du trafic applicatif. Dénommé EASE (elastic application security edge), « ce service comprendra l'équilibreur de charge Load Balancer et le pare-feu distribué NSX, fournira un contrôle centralisé et prendra en charge n'importe quel environnement », a déclaré Tom Gillis. « Ce genre d'élasticité est nécessaire pour l'automatisation. C'est comme cela que fonctionne le cloud public. Il peut monter et descendre en charge », a encore expliqué M. Gillis. « La nouveauté, cette fois, c’est que nous allons prendre en charge la mise à l'échelle des services de pare-feu. Á notre connaissance, c’est une première dans le secteur et cette capacité offrira un outil de sécurité d'entreprise extrêmement puissant ».