Blog ENI : Toute la veille numérique !
💥 Un livre PAPIER acheté
= La version EN LIGNE offerte pendant 1 an !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Architectures réseau d’entreprise
  3. Sécurité des réseaux de centre de données
Extrait - Architectures réseau d’entreprise Concevoir des infrastructures réseau évolutives
Extraits du livre
Architectures réseau d’entreprise Concevoir des infrastructures réseau évolutives
1 avis
Revenir à la page d'achat du livre

Sécurité des réseaux de centre de données

Principes de base

1. Routage et sécurité

Bien qu’il s’agisse principalement d’un protocole de routage utilisé pour déterminer les meilleurs chemins pour la transmission de données sur l’Internet, le BGP a des aspects liés à la sécurité qui peuvent aider avec les réseaux des centres de données.

a. Authentification des routes

L’authentification des routes BGP empêche aux nœuds non autorisés et potentiellement malveillants de participer aux échanges de routage. Ce mécanisme est efficace contre le détournement de session. La méthode principale d’authentification des routes est spécifiée dans le RFC 2385 et prévoit l’application d’un hachage MD5 aux messages BGP, calculé à l’aide d’une clé secrète partagée entre les nœuds. Lorsqu’il reçoit le paquet, l’équipement de l’autre côté utilise la clé secrète partagée pour calculer son hachage et le compare à celui inclus dans le paquet. Si les sommes correspondent, le message n’a pas été altéré et provient d’une source légitime.

b. Filtrage des routes

Le filtrage des routes dans BGP est défini par les critères que nous avons déjà rencontrés dans le chapitre Peerings privés. Ce mécanisme peut empêcher l’acceptation d’itinéraires illégitimes ou nuisibles qui pourraient conduire à un mauvais acheminement du trafic, provoquant potentiellement des pannes de réseau ou permettant des attaques d’interception du trafic.

Les route maps BGP constituent un moyen polyvalent d’appliquer diverses actions aux itinéraires, telles que la définition ou la modification d’attributs, sur la base de critères définis. Ces politiques dictent la manière dont les routes doivent être traitées en fonction de divers attributs tels que le numéro d’AS source, la longueur du préfixe ou des communautés BGP spécifiques.

c. Route dampening

Le route dampening (amortissement des routes) est un mécanisme BGP qui concerne principalement la stabilité du réseau, mais...

NFV

Dans la section précédente, nous avons vu comment il est possible de créer une infrastructure de réseau physique capable de croître jusqu’au niveau des géants technologiques mondiaux.

Traditionnellement, les experts en réseau travaillaient sur des équipements propriétaires et coûteux, qui offraient des interfaces de configuration spécifiques, sur lesquelles il était difficile d’apprendre et de se former. Ils constituaient une niche spécifique et ne s’intéressaient pas aux technologies côté serveur. De leur côté, les administrateurs système ignoraient généralement le fonctionnement des équipements qui fournissaient la connectivité à leurs systèmes, comme ils étaient occupés à étudier divers systèmes d’exploitation pour serveurs centraux et mainframes, également propriétaires.

Aujourd’hui, la base logicielle des serveurs et des équipements de réseau converge rapidement vers Linux et l’open source, de sorte que la séparation nette entre les deux figures techniques, experts réseau et système, qui existait encore il y a une vingtaine d’années n’a plus autant de sens. Cette section donne quelques informations de base sur les fonctionnalités réseau de ce système de plus en plus universel dans le secteur de l’infrastructure informatique.

1. Notions des systèmes Linux

Avant de poursuivre ce chapitre, il est nécessaire de comprendre certains concepts de mise en réseau Linux, car la NFV (Network Functions Virtualization) est profondément liée aux capacités du système d’exploitation sous-jacent.

a. Namespaces

Dans Linux, les namespaces (espaces de noms) sont des groupes de ressources réseau isolés les uns des autres. Leur objectif premier est d’isoler certains aspects du système d’exploitation, en veillant à ce que les processus au sein d’un namespace disposent de leur propre instance isolée de la ressource globale. Il s’agit essentiellement d’un groupe de processus isolés du reste du système, fonctionnant dans leur coin et souvent avec leurs propres systèmes de fichiers.

Chaque...

Multitenance

Nous allons maintenant tenter d’aborder une question qui ramène la conversation à la case de départ : comment séparer applications et services de manière sécurisée et, plus compliqué encore, comment ouvrir son infrastructure aux clients, comme les entreprises proposant des services de cloud public fiables ?

1. RBAC

Le contrôle d’accès basé sur les rôles (Role-Based Access Control, RBAC) est un mécanisme de sécurité qui limite l’accès aux ressources du réseau en fonction des groupes auxquels les utilisateurs appartiennent au sein d’une entreprise. Cette approche simplifie l’administration des autorisations sur le réseau, renforce la sécurité et améliore la conformité en garantissant que l’accès aux ressources est strictement contrôlé et aligné sur les politiques de l’organisation et les responsabilités de l’utilisateur.

La mise en œuvre d’un système RBAC implique la définition d’un ensemble de rôles correspondant à diverses fonctions au sein de l’organisation, telles que les administrateurs, les ingénieurs, le personnel de support et les utilisateurs externes. Chaque rôle se voit attribuer des autorisations spécifiques qui permettent d’effectuer des actions telles que la configuration des dispositifs du réseau, la surveillance des performances ou l’accès aux interfaces de gestion. Cette méthode rationalise le processus de gestion des droits d’accès et facilite la mise à jour des autorisations en fonction de l’évolution ou de la mobilité des personnes au sein de l’organisation.

Le RBAC est particulièrement efficace dans les environnements complexes où il est nécessaire de maintenir un contrôle strict sur les configurations du réseau, les paramètres de sécurité et l’accès aux données sensibles. Cette technique peut être intégrée à d’autres systèmes et protocoles de sécurité au sein de l’infrastructure du réseau, tels que les services d’authentification par le biais d’un annuaire...

Sécurité périphérique

1. VPN IPsec

L’IPsec est une suite de protocoles utilisés pour établir une connexion sécurisée et cryptée entre des appareils sur un réseau non sécurisé, généralement l’Internet. Dans le contexte d’un centre de données, le VPN IPsec assure une communication sécurisée et fiable entre le centre de données, les utilisateurs ou sites distants, et les partenaires externes, en maintenant la confidentialité et l’intégrité des données en transit sur le réseau public. Ce cryptage est essentiel pour protéger les données sensibles contre l’écoute et l’interception par des parties non autorisées.

a. Conception

Après avoir choisi les protocoles de cryptage, plusieurs topologies sont possibles, comme le point-à-point (dans le cas le plus diffusé, où seuls deux sites sont concernés), le hub-and-spoke (où tous les sites ont une seule connexion à un site central) et le full mesh (maillage complet). Il est important de réfléchir à la manière dont la conception du VPN peut évoluer avec l’ajout de sites ou les changements de volume de trafic.

La technique de base consiste à configurer des VPN basés sur des politiques, mais, pour supporter le routage dynamique sur le VPN et d’autres fonctionnalités avancées, l’utilisation d’interfaces de tunnels virtuels (Virtual Tunnel Interfaces, VTI) peut contribuer à l’évolutivité.

Il est tout aussi important de réfléchir à des mécanismes de haute disponibilité tels que le basculement VPN et la redondance pour minimiser les temps d’arrêt. Dans ce cas, des approches plus structurées telles que les connexions VPN doubles sur chaque site et le VPN à découverte automatique (Auto-Discovery VPN, ADVPN) peuvent améliorer la fiabilité.

Les VPN IPsec sont principalement utilisés dans deux modes. Le mode transport ne chiffre que la charge utile de chaque paquet, sans toucher à l’en-tête, ce qui convient aux communications de bout en bout entre des appareils connus. En revanche, le mode tunnel crypte à la fois la charge...