Haut de page>
 

Cloud Infrastructure

 
Cloud computing - Cloud Infrastructure
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Hybrid & Multicloud Networking

La connectivité vers le Cloud est un des enjeux majeurs de tout projet Cloud. En effet, le fait de déporter, potentiellement à l’international, des systèmes ou applications qui étaient historiquement au plus près des utilisateurs, implique de disposer d’une bande passante suffisante et d’une résilience maximale pour l’accès au(x) Cloud Provider(s).

Cette problématique devient encore plus complexe en cas d’architecture hybride (Maintien d’une partie de l’infrastructure on-premise) ou d’approche multi-Cloud (Utilisation simultanée de plusieurs fournisseurs Cloud).

Fort heureusement, les concepts réseaux applicables à l’interconnexion de sites (Ex : MPLS, SD-WAN) peuvent être étendus au Cloud. Les principaux providers Cloud (Ex : Microsoft, Amazon, etc.) proposent en effet des lignes louées avec des garanties (SLA) pour l’accès à leurs services.

En complément, les solutions de SD-WAN disposent généralement de leur équivalent dans le Cloud, délivré sous forme de VM ou de service managé, afin de mutualiser les liens et de redonder les accès aux différents providers Cloud.


 

Cloud WAN Acceleration

Comme pour les infrastructures on-premise, la performance des accès réseaux et l’expérience utilisateur sont primordiaux pour le succès des projets Cloud.

Les solutions d’optimisation WAN permettent d’adresser les problématiques de latence des accès, et de compression des flux afin de limiter la bande passante entre les différents sites d’un client et les principaux services Cloud, disponibles en SaaS ou en IaaS.


 

Cloud SDN

Tous les providers Cloud s’appuient sur des frameworks SDN (Software-Defined Networking) pour offrir des services réseaux complets (Switching, routage, firewalling, load-balancing, etc.). Pour autant, ces services réseaux s’appuient toujours sur des mécanismes ou concepts dérivés d’architectures ou de standards réseaux connus.

Il faut malgré tout comprendre les spécificités de chaque Cloud provider afin d’implémenter des configurations réseaux adéquates. L’intérêt premier de ces architectures SDN repose sur la capacité d’automatisation des configurations afin d’en simplifier la gestion opérationnelle.


 

Cloud DNS

Parmi les fondamentaux du réseau, les services DNS couplés aux frameworks SDN des Cloud providers représentent à la fois un des piliers pour l’accès aux systèmes ou applications hébergés, mais également l’un des protocoles les plus exposés d’un point de vue sécuritaire.

C’est la raison pour laquelle chaque Cloud provider propose en standard des services DNS hébergés offrant une résilience maximale pour les besoins de résolution de noms, avec en outre la capacité de supporter des attaques massives sur ces services.

En complément, certains fournisseurs proposent également des services de sécurisation DNS dans le Cloud permettant de prévenir des accès à des sites malicieux.


 

Cloud ADC

L’élasticité du Cloud, soit la capacité d’ajuster la quantité de ressources à disposition suivant les sollicitations des utilisateurs, implique de pouvoir répartir la charge dynamiquement entre différents systèmes ou applications.

C’est la raison pour laquelle la plupart des Cloud providers intègrent des logiques de load-balancing du trafic nativement dans leur framework SDN. Ces règles de répartition de charge peuvent s’adapter automatiquement, à la hausse ou à la baisse, suivant le nombre d’utilisateurs connectés ou de sessions concurrentes.

Ces services s’appuient sur différentes méthodes pour garantir la persistance des sessions des utilisateurs, et supportent généralement différents algorithmes de répartition de charge suivant les besoins ou contraintes de l’application hébergée.


 

Cloud Virtual Servers

Comme pour les infrastructures on-premise, la virtualisation des serveurs est un des fondamentaux de tous les Cloud providers. Le modèle de facturation est adapté à la consommation réelle de ressources, aux spécifications des VMs en question et à la qualité de service attendue.

Pour autant, la majorité des Cloud providers du marché n’exploitent pas les mêmes hyperviseurs que ceux habituellement utilisés on-premise, ce qui implique un nécessaire transcoding des VMs, facilité par les applications de migration généralement fournies par le Cloud Provider.

Les machines virtuelles sont catégorisées suivant leurs spécifications techniques avec un nombre relativement conséquent de combinaisons possibles (Nombre de vCPU / Quantité de RAM / Type & capacités de stockage).

 

Cloud Containers

Les containers représentent une évolution majeure dans la mise à disposition d’applications aux utilisateurs. En effet, les frameworks de gestion des containers sont beaucoup plus efficients que la virtualisation en termes de consommation de ressources et de complexité opérationnelle.

La containérisation est généralement associée au modèle DevOps, et a pour objectif de transformer les applications monolithiques en un ensemble de microservices.

Les principaux providers Cloud proposent à choix les « runtimes » (Ex : Docker) permettant d’exécuter ces containers avec un modèle de consommation à la ressource, ou des frameworks complets d’orchestration (Ex : Kubernetes) portés dans le Cloud délivrés sous la forme d’un service complet et consistent (Administration des environnements containérisés).

 

Cloud Migration

Les services Cloud de migration reposent à choix sur des outils natifs fournis par le Cloud provider ou sur des solutions tierces (Ex : outils de sauvegarde ou de réplication de VMs). Leur logique commune consiste à offrir des mécanismes automatisables de conversion de format (transcoding) pour les VMs (V2V) ou même pour transposer des serveurs physiques dans le Cloud (P2V).

Comme expliqué précédemment, les formats de machines virtuelles des environnements de virtualisation on-premise sont généralement différents de ceux utilisés dans le Cloud, d’où la nécessité de les transformer à la volée (Ex : disques virtuels, paramètres de BIOS, etc.) afin de pouvoir exécuter ces workloads dans le Cloud.

Pour des architectures Cloud hybrides, ces mécanismes de migration de ressources peuvent être invoqués de manière bi-directionnelle afin d’offrir une mobilité des ressources entre une infrastructure on-premise et un environnement Cloud.

 

Cloud Block Storage

Comme pour les environnements on-premise, il est important de différentier le stockage « block » qui sera dédié aux services d’infrastructure (Ex : VMs) des services de fichiers destinés aux utilisateurs.

Les providers Cloud proposent généralement une grande variété de services de stockage (Ex : Disques mécaniques, disques Flash) suivant les besoins en capacité et en performance des ressources hébergées, et les contraintes de coût associées.

Ces services de stockage reposent systématiquement sur une architecture SDS (Software Defined Storage), et intègrent la majorité des fonctionnalités habituellement supportées par les baies on-premise (Ex : Gestion des snapshots, réplication, etc.).

 

Cloud File Storage

Les services de fichiers partagés, hébergés dans le Cloud, représentent plusieurs challenges techniques. En effet, les protocoles utilisés (Ex : SMB) n’étaient historiquement pas prévus pour une utilisation en dehors du LAN et sont très sensibles à la latence. C’est la raison pour laquelle les principaux providers Cloud proposent en option des systèmes de cache on-premise répliquant une partie des données hébergées.

De plus, un service partagé implique potentiellement la possibilité pour plusieurs utilisateurs de modifier simultanément les mêmes fichiers, d’où la nécessité d’un principe de verrouillage et de versionning des fichiers.

Ces services de fichiers sont généralement facturés sur base des volumétries de données stockées.

 

Cloud Firewalling

En matière de sécurité, la protection des environnements Cloud s’appuie sur des logiques similaires aux infrastructures on-premise avec des logiques de segmentation, voire de micro-segmentation pour la sécurisation des communications entre différents segments de réseau ou entre différentes VMs.

Les providers Cloud proposent à choix des services de firewalling natifs, ou peuvent héberger des solutions tierces. Les services natifs ont l’avantage d’une d’administration simplifiée, unifiée avec les services réseaux.

Pour autant, des solutions propriétaires peuvent offrir l’avantage d’une sécurité plus granulaire, avec des services complémentaires (Ex : Antivirus, IPS, etc.), et une harmonisation des règles de sécurité entre les firewalls périmétriques des différents sites et ceux hébergés dans le Cloud.

 

Cloud Web Security

En matière de sécurisation des accès Web dans ou depuis le Cloud, il faut distinguer deux types de cas d’utilisation, à savoir :

  • La protection des applications Web au sein des environnements Cloud
  • Le filtrage de l’accès Web des utilisateurs


Le premier scénario correspond aux logiques de reverse-proxy ou de Web Application Firewalling et s’appuie à choix sur des services natifs fournis par le provider Cloud hébergeant les applications Web, un service SaaS dédié, ou une solution propriétaire hébergée au sein de l’environnement Cloud.

Pour ce qui attrait ensuite au filtrage Web des utilisateurs, ces solutions sont généralement mises à disposition sous forme de service SaaS intégrant toutes les fonctions de sécurité attendues (Ex : Filtrage d’URL, antivirus, contrôle d’applications, etc.) et couplées à une base de réputation globale.

L’intérêt de ce type d’approche, c’est qu’il permet de délivrer le service de filtrage au plus près des utilisateurs ou des sites, et de garantir que tous les accès seront filtrés indépendamment de la localisation des clients.

 

Cloud Mail Security

Le filtrage mail (Antivirus, antispam, etc.) est un des tous premiers services d’infrastructure à avoir mis à disposition dans le Cloud en mode SaaS. S’appuyant généralement sur une base de réputation globale, ce type de service hébergé dans le Cloud fait tout son sens, même en cas de conservation d’un serveur de messagerie on-premise, puisqu’il permet de nettoyer le flux de messagerie entrant, et de supporter la charge en cas d’attaques ciblées ou distribuées.

Ces services peuvent être nativement intégrés à une messagerie hébergée dans le Cloud (Ex : Exchange Online / Office 365) ou ce service de filtrage peut être complété ou remplacé par un service tiers, afin d’augmenter le niveau de sécurité (Ex : Utilisation de plusieurs moteurs antivirus, de plusieurs niveaux de filtrage antispam).

 

Cloud Endpoint Security

En matière de sécurité end-point, la majorité des solutions du marché proposent désormais un hébergement dans le Cloud des plateformes d’administration, délivrées sous forme de services SaaS.

L’avènement récent des solutions de sécurité end-point dites « Next Gen » a permis de limiter la taille et la récurrence des mises à jour. En effet, ces solutions ne se basent plus sur un principe de signatures fixes (pattern matching), mais davantage sur des méthodes de détection heuristiques et sur de l’analyse comportementale. Ce changement a également pour conséquence une réduction de la charge sur les machines protégées, et un meilleur niveau de protection contre les menaces.

Ces services de sécurité end-point peuvent être intégrés à une offre plus globale de gestion des environnements clients, ou mises à disposition sous forme d’une solution dédiée.

 

Cloud Encryption

La confidentialité des données est un des enjeux majeurs de la transition vers le Cloud, c’est la raison pour laquelle la majorité des providers intègrent à leur offre des mécanismes de chiffrement natifs, avec une gestion intelligente des clés, afin de sécuriser ces données hébergées dans le Cloud.

En complément, certaines plateformes de gestion de parc ou de gestion des équipements mobiles (EMM) ont la capacité de piloter les stratégies de chiffrement des postes mobiles (Ex : Pilotage de BitLocker).