Software-Defined Networks (SDN)
Il y a de nombreuses années où les technologies de réseau définies par logiciel (SDN, SDA, SD-WAN) monopolisent l’espace des présentations dans l’environnement TIC, mais pas tant les implémentations dans le monde réel. Cependant, il semble enfin qu’ils aient atteint peu à peu un degré de maturité qui leur a permis de sortir des papiers et d’habiter les réseaux de production et les centres informatiques. Cette maturation, importante en elle-même, n’est pas venue seule, mais de la main de deux compagnons de voyage importants comme la virtualisation des fonctions réseaux (NFV) et l’engagement généralisé à l’automatisation et à l’APIfication.
Le changement que toutes ces technologies ont introduit semble profond, à tel point qu’il a même commencé à modifier la structure typique des organisations TIC. Des organisations traditionnellement caractérisées par une forte compartimentation des fonctions entre les différents groupes technologiques et, si l’on peut dire, une certaine hostilité entre eux. Ces groupes sont désormais confrontés à la nécessité d’évoluer dans leur manière traditionnelle de travailler pour exploiter toute la puissance de la technologie. Les techniciens réseau se déplacent vers des zones historiquement occupées par les techniciens système et les développeurs, ces derniers supposant que le réseau n’est pas seulement une ressource exogène au service de l’application, mais une ressource qui peut être programmée et, par conséquent, peut être un sujet actif des applications qu’ils développent.
En référence à ce mouvement de blocs organisationnels, une curieuse surprise, du moins dans notre expérience chez SATEC, a été le fait que les barrières et les murs qui les séparent ont commencé à s’effondrer du côté le moins prévisible, le réseau. Ainsi, de manière inattendue, ce sont les ingénieurs réseaux qui profitent le plus rapidement des avantages issus de leur adoption, tant au niveau technique qu’opérationnel, se lançant pour étudier et intégrer dans leur travail les différents langages déclaratifs et de programmation disponibles (Python, Ansible, YAML, YANG, etc.) pour optimiser ses tâches quotidiennes, soit dans les nouvelles implémentations, soit dans la gestion et l’administration des réseaux en production.
Après avoir fait cette introduction, et au risque de tomber dans la répétition – nous en entendons parler et en parlons depuis de nombreuses années – nous allons analyser les avantages et les changements que l’adoption des solutions SDx signifient pour une entreprise selon les trois axes suivants :
- Business: dans la mesure où ils nous permettent de répondre mieux et plus en sécurité aux besoins spécifiques des applications.
- Fonctionnement: en ce sens que la manière de déployer et surtout d’exploiter les réseaux est redéfinie et le changement qui en découle que cela implique, non seulement dans les outils mais fondamentalement dans les connaissances et l’organisation requises.
- Technologique: où nous examinerons quelles choses permettent de faire ou d’améliorer ces nouvelles technologies.
Du point de vue du Business :
L’offre dans la production et l’exploitation de nouveaux services TIC a été substantiellement transformée, permettant aux services d’être proposés aussi bien aux utilisateurs internes qu’aux clients de manière beaucoup plus diversifiée (Cloud public et / ou privé, lignes propres vs accès Internet,… ). En même temps, l’introduction de méthodologies agiles dans le développement d’applications et la prolifération des environnements DevOps nécessaires ont amélioré la production de nouvelles applications, forçant les environnements d’infrastructure à améliorer les caractéristiques qu’ils doivent offrir. C’est cette évolution qui pousse le réseau à accompagner ce changement, à commencer par les environnements Data Center, en poursuivant la gestion SDx des réseaux WAN (SD-WAN) et, plus récemment, les environnements Campus LAN (SD-Access).
La promesse des architectures définies par logiciel est de permettre au réseau d’être redéfini ou programmé afin que les applications soient exécutées de manière efficace, efficiente et sûre à tout moment. Par rapport à ces dernières (sécurité, entendu ici cybersécurité), bien qu’une solution SDN ne remplace pas les architectures de sécurité traditionnelles (pare-feu, etc.), elle les complète, offrant un avantage significatif en termes de micro-segmentation et amélioration de la sécurité, en raison de la propre limitation de l’empreinte numérique.
De nombreuses organisations se tournent vers la technologie SD-WAN basée sur l’idée de créer et d’exploiter un réseau WAN sécurisé, fiable et flexible, en utilisant un ensemble plus large de types de liaisons et en particulier grâce à l’utilisation de connexions à Internet, en tant que ligne principale ou de secours. Dans la technologie SD-WAN, les organisations voient donc la possibilité d’économies directes et également une plus grande capacité à négocier avec les opérateurs. D’autre part, et dérivé de la visibilité de l’utilisation du réseau que SD-WAN fournit à la fois au niveau du protocole et au niveau de l’application, les clients trouvent dans SD-WAN un mécanisme pour rationaliser et gérer le réseau plus efficacement, ce qui se traduit directement par la contractualisation d’un débit plus faible ou d’un type de ligne moins cher, ou indirectement par un meilleur service et donc une plus grande satisfaction des utilisateurs (employés). Cette satisfaction est au cœur de tout processus de transformation numérique.
En admettant le message (déjà rebattu, mais vrai) que l’automatisation nous permet de consacrer nos techniciens à des tâches de plus grande valeur, les libérant des tâches les plus répétitives, nous tenons à souligner que l’automatisation permet une amélioration substantielle par rapport à la conformité réglementaire, en minimisant les coûts de vérification et notamment en augmentant la traçabilité des actions réalisées, en plus de minimiser les erreurs.
Du point de vue du Fonctionnement :
La programmation dans différents langages tels que Python, Ansible ou YANG fait progressivement son chemin dans l’ensemble d’outils de travail pour les ingénieurs et techniciens de réseau. Ce n’est pas un simple changement, car il nécessite de consacrer du temps et des efforts à l’apprentissage des langages de programmation, mais surtout parce qu’il implique un changement des habitudes de travail (parfois durement apprises). Malgré cela, la puissance est telle que ce nouveau modèle est progressivement adopté. D’abord dans les tâches évidentes, les vérifications ou les changements de configuration massifs dans tous les éléments d’un réseau ; plus tard en identifiant les tâches critiques qui sont très sensibles aux erreurs, mai qui, bien définies, peuvent être exécutés par un operateur ; puis l’automatisation des tests et ainsi de suite. C’est là que la véritable révolution se produit, un changement de paradigme. Les environnements SDN, pris en charge par un orchestrateur qui centralise la prise de décisions du réseau et son interaction avec l’extérieur via des API, permettent de créer une nouvelle culture du fonctionnement et de l’administration du réseau basée fondamentalement sur l’automatisation des tâches.
Étant donné que le processus d’adoption a commencé, il n’est pas surprenant que de nouvelles figures apparaissent dans les organisations TIC telles que les responsables d’automatisation et d’orchestration, qui sont en charge de la gestion et du contrôle, mais surtout de l’institutionnalisation des processus d’optimisation et d’automatisation.
Du point de vue de la Technologie:
Dans cette dernière section, sans se concentrer sur les descriptions de la technologie SDx et sans mettre en évidence ce qu’elle implique en termes d’abstraction des infrastructures de réseau, de séparation des plans de contrôle et de retransmission, ou de prise de contrôle par d’un élément central basé sur l’analyse des flux de données échangés en temps réel, nous préférons énumérer la liste des avantages qui découlent à notre avis de son adoption :
- Modèle Zero Trust et visibilité : l’un des principaux avantages de SDN est la possibilité de définir l’ensemble des flux autorisés pour les applications, qui peut parler à qui. Cette fonctionnalité, qui ne signifie en aucun cas l’obsolescence des pare-feu (le SDN ne regarde que l’en-tête des paquets et non le payload), permet de limiter le trafic est-ouest dans les datacenters, un chemin prioritaire dans la propagation des attaques. De plus, ces nouvelles solutions ont la capacité d’offrir une télémétrie réseau détaillée qui peut servir de support dans l’analyse et la corrélation des événements de sécurité à exploiter par les outils SIEM.
- Réduction d’empreinte numérique : la centralisation du contrôle du réseau peut être considérée comme un problème ou une opportunité. Nous le verrons comme un problème dans la mesure où nous fixerons un seul objectif pour les « méchants » ainsi qu’un seul point de défaillance de conception, et nous le verrons comme une opportunité en supposant que nous pouvons consacrer tous nos efforts à renforcer un seul élément du réseau, en évitant d’agir sur tous ses éléments (répartis et plus complexes dans une architecture traditionnelle). Dans ce cas, nous voyons le verre à moitié plein, car, s’il est vrai que cet élément central est clé, sa chute n’implique pas la chute du réseau, mais seulement sa capacité de reconfiguration (ce qui n’est certainement pas peu non plus).
- Adaptation du réseau aux applications : Traditionnellement, ce sont l’architecture de réseau et les politiques de sécurité qui ont conditionné la mise en production des applications (segments de réseau multiples, considérable nombre de VLAN, infinies règles de sécurité entre eux,… ). Les nouveaux environnements SDN simplifient l’architecture du réseau et délèguent sa segmentation logique à l’orchestrateur, permettant une plus grande richesse en termes de classification du trafic (non seulement basé sur les VLAN traditionnels ou les sous-réseaux IP), sa micro-segmentation (grâce au nouveau traitement des flux dans les éléments du réseau), son routage individuel au sein du SDN (Service-Chaining) et sa politique de sécurité (basée sur des contrats exécutés au sein du SDN lui-même comme premier élément de sécurité).
- Automatisation de l’approvisionnement et de la gestion du réseau, déjà largement discuté dans ces lignes.
En résumé, tout semble indiquer que nous ne sommes pas confrontés à une évolution technologique progressive, mais que nous assistons à un changement clair dans le paradigme de l’architecture et du fonctionnement du réseau qui doit considérablement remodeler les méthodes de travail traditionnelles. De notre humble point de vue, c’est une belle opportunité qui étend le champ de compétence des ingénieurs réseaux, et les place au centre de la transformation (numérique, bien sûr).
Cet article a été publié dans l’édition de Décembre du magazine « A Nosa Rede » du Colegio Oficial de Ingenieros de Telecomunicación de Galicia. Vous pouvez télécharger le magazine via ce lien.