Dilip Pillaipakkamnatt, Vice-président Service Provider Business chez Infoblox, spécialiste du contrôle du réseau, explique les étapes à respecter lorsqu’une entreprise entreprend la migration de l’infrastructure du système de noms de domaines (DNS) vers un modèle NFV.
Il est désormais évident que la virtualisation des fonctions réseau (NFV) offre des avantages majeurs aux opérateurs : non seulement elle participe à la réduction des coûts opérationnels et la manutention dans le déploiement de nouveau matériel mais elle accélère aussi le lancement de nouveaux services réseau. En dehors de cette flexibilité, cependant, les entreprises doivent prendre en compte plusieurs aspects importants, notamment lorsqu’il s’agit de faire migrer l’infrastructure du système de noms de domaines (DNS) vers un modèle NFV.
La sécurité au cœur de la migration du DNS
Cette migration n’est pas évidente à appréhender, surtout en termes de sécurité. Face à un nombre grandissant de fonctions réseaux gérées de façon logicielle, ce changement doit s’accompagner d’une refonte de la protection traditionnelle. Voici quelques points qui soulignent la nécessité d’une approche intelligente de la sécurité en mode NFV.
- Les firewalls et les systèmes anti-intrusion classiques ne sont pas conçus pour protéger le DNS, en particulier dans l’environnement NFV. La souplesse même de configuration qu’apportent les logiciels par rapport à une architecture traditionnelle accroît également les risques d’erreurs de configuration des fonctions réseau. Cela ouvre de nouveaux angles d’attaque, quand bien même d’autres aspects du modèle NFV renforcent la protection, tels que la visibilité centralisée et la sécurité au niveau des machines virtuelles. Même lorsque la sécurité n’est pas compromise, les problèmes de configuration peuvent avoir un effet boule de neige pouvant dégrader l’ensemble des fonctionnalités du réseau, donnant faussement l’impression d’un problème de sécurité.
- Des attaques, notamment de type DDoS passant par le DNS, peuvent rapidement saturer les ressources réseau en générant un trop grand nombre de demandes de résolution pour que le système DNS puisse les traiter, aboutissant à la paralysie du réseau en raison de l’impossibilité de répondre aux requêtes légitimes. D’autres attaques falsifient des adresses IP valides afin d’aiguiller l’émetteur de la requête vers des sites Web malveillants ou se servent d’un tunnel pour attaquer des machines virtuelles spécifiques, en cryptant et dérobant des informations via des canaux qui ne sont habituellement pas analysés par les logiciels de sécurité classiques.
- Les machines virtuelles (VM) permettent de centraliser le contrôle des ressources réseau et d’accélérer le déploiement de ressources à la demande. Cependant, à l’instar de leurs homologues physiques, les VM sont vulnérables à l’infection par un malware. Une fois une machine infectée, si elle n’est pas rapidement mise en quarantaine, l’infection peut se propager aux autres machines sur l’ensemble du réseau et en perturber le fonctionnement de l’intérieur. La surveillance d’un environnement virtualisé nécessite un jeu d’outils différents de ceux employés traditionnellement pour assurer la sécurité des réseaux.
Mise en place d’un réseau flexible et transparent
Dans la mesure où les problèmes de sécurité liés au DNS requièrent un regain d’attention de la part des opérateurs qui adoptent le NFV, ces derniers doivent veiller à ce que leur environnement de sécurité réponde à ces exigences :
- La sécurité du NFV doit être intégrée dans l’architecture DNS et non greffée sur celle-ci. Un degré accru d’intégration grâce à la mise en œuvre d’une protection spécifique pour le DNS contribue à réduire au minimum les failles dans la couverture risquant d’être laissées par des solutions ajoutées après coup et facilement exploitées par des attaques.
- Pour limiter l’impact d’une attaque lorsqu’elle se produit et la contrer le plus rapidement possible, le réseau virtualisé doit pouvoir adapter le plus rapidement possible ses ressources en activant de nouvelles machines sans qu’une intervention humaine soit nécessaire. L’ajout automatique de capacité pendant la maîtrise de l’attaque évite l’interruption des services, et donc des pertes de chiffre d’affaires et de productivité.
- Face à des dangers tels que les vulnérabilités « zero day », la sécurité en mode NFV doit pouvoir détecter des menaces jusque-là inconnues par une analyse continue du comportement du réseau, tout en défendant ce dernier contre les menaces bien identifiées tels que les kits prêts à l’emploi pour un type précis d’attaque.
- Une stratégie de sécurisation du DNS pour le NFV doit englober une analyse et un suivi des ressources aussi bien internes qu’externes. Si de nombreuses menaces peuvent venir de l’extérieur à l’exemple des attaques DDoS, les malwares implantés sur des VM existantes sont tout aussi dangereux. L’infrastructure virtualisée nécessite une capacité de suivi des machines virtuelles déployées, d’analyse de leurs adresses IP et de surveillance de la totalité du trafic en vue de détecter en temps réel les comportements suspects sur les VM. En outre, il doit être possible de mettre en quarantaine les VM contaminées afin de prévenir une propagation de l’infection.
- Les problèmes de configuration pouvant conduire à des problèmes de sécurité et de performances, la sécurisation de l’environnement NFV doit prévoir des outils de découverte du réseau et d’automatisation afin de déterminer quelles fonctions réseau sont correctement configurées et d’identifier les problèmes potentiels.
Avec chaque nouvelle génération technologique, la planification du réseau a eu à gérer les risques tout en recueillant les bénéfices, et le NFV est simplement l’étape suivante vers la création des réseaux hautement dynamiques et automatisés de demain. Lorsque les opérateurs prennent en compte la sécurité de façon proactive et dès la mise en œuvre et non a posteriori, il en résulte un réseau flexible et transparent qui répond aux besoins immédiats et futurs tout en assurant la protection de précieuses ressources.
