Partout dans le monde, les organisations transfèrent des parties, voire la totalité, de leurs charges de travail vers des clouds publics. C’est compréhensible dans la mesure où cette stratégie présente des avantages incontestables. Toutefois, un cloud public ne fonctionne pas de la même manière qu’un réseau physique local. Cela signifie que lorsque l’on migre ses données vers le cloud, on doit comprendre qu’il ne s’agit pas simplement d’une action de déplacement.
Une approche solide consisterait plutôt à se poser les quatre questions suivantes :
- Quelle est l’étendue et le calendrier de la stratégie de migration ?
- Comment gérer le manque de visibilité du réseau lors d’un déplacement sur le cloud ?
- Doit-on déployer des outils de sécurité et de surveillance en ligne ?
- Comment mesurer avec précision les performances du réseau ?
Ces éléments présentent de sérieux défis pour les entreprises qui envisagent un déploiement dans le cloud. Cependant, il existe des solutions et des processus viables qui atténuent ces considérations pour aider à rendre la migration aussi bénéfique que possible. Examinons plus en détail les quatre questions.
La stratégie et la planification de la migration sont des facteurs clés de succès
Plusieurs enquêtes montrent que de nombreux professionnels de l’informatique sont déçus de leur passage au cloud. Une enquête réalisée par Dimensional Research a notamment avancé le chiffre de 9 personnes interrogées sur 10 ayant constaté un impact négatif direct sur leurs activités en raison du manque de visibilité du trafic dans le cloud public. Cela comprend le dépannage des applications et du réseau et les problèmes de performances, ainsi que les retards dans la résolution des alertes de sécurité.
Sanjit Ganguli de Gartner Research a également réalisé un sondage auprès des participant de la conférence Gartner Data Center en décembre 2017 et a constaté que 62 % d’entre eux n’étaient pas satisfaits des données de surveillance qu’ils recevaient de leur fournisseur de cloud. De plus, 53 % déclaraient n’avoir aucune information sur ce qui se passait dans leur réseau cloud.
Il existe une idée révolue selon laquelle tout ce qui se trouve dans un réseau physique a un équivalent sur le cloud. Ce n’est pas le cas en réalité. On passe d’un environnement où l’on dispose d’un contrôle total à un environnement où le contrôle est limité. Cette situation s’apparente au passage de la propriété d’une maison à sa location. Bien que l’on vive encore dans une maison, on est désormais assujetti aux règles de quelqu’un d’autre tout en lui versant de l’argent pour ce privilège.
Une fois que l’on migre vers le cloud, la surveillance de la performance des applications devient difficile si elle n’a pas été anticipée correctement. On ne disposera pas nativement des données dont on a besoin de la part du fournisseur de services cloud. Cette perte de données doit donc être planifiée de manière à pouvoir être corrigée ou atténuée.
Le cloud n’offre pas de visibilité native
Une fois que l’on migre vers le cloud, et durant le processus de migration, on ne dispose pas d’une visibilité claire sur la couche réseau. Ces informations ne peuvent être obtenues qu’auprès du fournisseur et se présentent sous la forme de métadonnées résumées (réseau, calcul, stockage) et comprend des données de haut niveau (performances du processeur, consommation de mémoire, etc.) et certaines données de journal.
Ce que les fournisseurs de cloud et d’autres outils cloud ne fournissent pas, ce sont les données par paquets réseau. Ces données sont pourtant absolument nécessaires à l’analyse de sécurité et au dépannage grâce à l’analyse des causes profondes. Les outils de prévention des pertes de données (DLP) et la plupart des outils de gestion de la performance des applications (APM) dépendent des données par paquet pour l’analyse des problèmes. Les outils Cloud classiques fournissent des données limitées qui ne sont souvent pas fournies en temps réel, ce qui peut considérablement impacter les performances. Par exemple, les données tactiques perdent 70% de leur valeur après seulement 30 minutes.
Par ailleurs, les fournisseurs de services cloud ne fournissent pas non plus de données sur l’expérience utilisateur ni la possibilité de regarder les conversations. Plus précisément, cela signifie que l’on ne peut pas évaluer avec précision la qualité de l’expérience client par ce biais. Les données de flux fournies permettent de voir qui sont les participants mais ne contiennent rien sur les détails de la conversation.
Une solution simple à ce problème consiste à ajouter des capteurs de données de surveillance cloud (aussi appelés virtual taps). Ces capteurs peuvent répliquer des copies des paquets de données souhaités et les envoyer aux outils de dépannage, de sécurité ou de performance. Cela fournit à ces outils les données dont ils ont besoin pour exécuter leurs fonctions. L’un des facteurs clés est que les capteurs de données doivent être capables d’évoluer automatiquement en fonction des besoins. Au fur et à mesure que les instances cloud se transforment, les capteurs doivent être capable d’évoluer suffisamment.
Les outils de sécurité et de surveillance sur site ne fonctionnent pas de la même manière dans le Cloud
En raison de la nature des clouds publics, les outils en ligne ne sont pas optionnels. Les fournisseurs n’autorisent pas leurs clients à accéder à leur réseau et à leurs couches système pour déployer des outils de sécurité en ligne (par exemple des systèmes de prévention des intrusions (IPS), de prévention des pertes de données (DLP) ou un pare-feu applicatif Web (WAF)), car cela peut créer un risque pour leur réseau. Ainsi, si l’on prévoit de déployer une protection de sécurité en ligne, il faut comprendre qu’il ne s’agira pas d’une « bosse dans la configuration » comme celles auxquelles on peut être habitué pour les dispositifs sur site, comme un IPS typique.
L’absence de déploiement d’outils en ligne crée évidemment un risque pour le cloud que l’on doit traiter. Alors, comment sécuriser son environnement. Tout d’abord, il convient de déployer une architecture qui permettra d’être proactif et de garder une longueur d’avance sur les attaquants. Cela inclut des dispositifs de visibilité (comme des capteurs) qui permettent de capturer des données de sécurité et de surveillance intéressants pour l’analyse.
Une deuxième option pour atténuer les menaces serait d’utiliser une architecture hybride qui permet de conserver les outils de sécurité existants dans les locaux physiques pour inspecter les données à haut risque (ou même les données générales si l’on souhaite le faire). En fonction du plan de gestion des risques, cela peut fournir la protection dont on a besoin et minimiser le risque commercial à un niveau acceptable. Il faut toutefois noter que la plupart des fournisseurs de cloud facturent l’exportation de données. Cependant, ces coûts de bande passante peuvent être limités en ne transférant que les données pertinentes vers les outils sur site.
La mesure de la performance du cloud dépend du fournisseur
Une autre question à laquelle il est important de répondre est de savoir comment l’on compte mesurer avec précision l’impact des mauvaises performances du réseau sur la charge de travail des applications cloud ? Les problèmes de performance sont une réelle préoccupation pour les nouveaux réseaux cloud. Une fois que l’on migre vers le cloud, et durant le processus de migration, on ne dispose pas de données claires sur les performances du réseau. C’est à l’entreprise de l’implémenter si elle souhaite cette visibilité. Plus précisément, cela signifie que l’on ne peut pas dire nativement quelle est la performance des applications ni du coud lui-même. Respecte-t-il ou dépasse-t-il l’accord sur les niveaux de service (ANS) qui a été mis en place ? Le fournisseur pourra probablement le dire, mais l’entreprise ne disposera pas de données indépendantes pour une stratégie de « contrôle et d’équilibre » sur ce qu’il fournit. Au cours du processus de migration, une surveillance proactive des environnements sur site et sur le cloud sera utile. De nombreuses entreprises qui ne font que déplacer aveuglément des services et des applications sur le cloud se retrouvent rapidement confrontées à des problèmes, en particulier de performance.