Activation et sécurisation du calcul omniprésent du cloud intelligent à périphérie intelligente

Publié le 5 novembre, 2019

Corporate Vice President, Azure Networking

Des entreprises adoptent le cloud pour gérer leurs charges de travail stratégiques. Le nombre d’appareils connectés localement et hors site ainsi que les données qu’ils génèrent ne cessent d’augmenter, nécessitant de nouvelles architectures de périmètre réseau d’entreprise. C’est ce que nous appelons la périphérie intelligente, où le calcul est au plus proche des sources de données et des utilisateurs afin de réduire le temps de latence. Le cloud intelligent, avec son énorme puissance de calcul, sa capacité de stockage et la diversité de ses services, travaille de concert avec la périphérie intelligente en utilisant des modèles de programmation similaires pour permettre des scénarios innovants et l’omniprésence du calcul. La mise en réseau est la pierre angulaire de l’intégration du cloud intelligent avec la périphérie intelligente.

Le rôle de la mise en réseau Azure est de fournir le réseau le plus sécurisé, fiable et performant possible pour vos charges de travail. Ce réseau est livré et géré à partir du cloud intelligent à la périphérie intelligente. Nous continuons d’innover pour que vos services puissent se connecter et s’étendre au cloud et à la périphérie, être protégés, bénéficier de performances optimales et exercer une surveillance pointilleuse.

Réseau global Microsoft

Microsoft exploite l’un des plus grands réseaux WAN du monde, qui sert tous les services cloud Microsoft, à savoir Azure, Dynamics 365, Microsoft 365, LinkedIn, Xbox et Bing. Ce WAN connecte tous les centres de données Microsoft exécutant nos services cloud entre eux, ainsi qu’à nos clients et partenaires via des sites périphériques. Ces sites périphériques sont répartis de manière stratégique dans le monde entier. C’est là que nous échangeons du trafic Internet avec des fournisseurs de services Internet et du trafic par connexion privée avec des partenaires ExpressRoute. Nous utilisons également les services Azure Front Door et Azure Content Delivery Network sur nos sites périphériques pour améliorer et accélérer l’expérience de nos propres services, tels que Microsoft 365. Pour assurer une couverture mondiale, le réseau WAN compte plus de 130 000 km de fibres optiques sous-marines, terrestres et métropolitaines. Il est entièrement géré par Microsoft à l’aide de technologies SDN (Software-Defined Networking) internes afin d’offrir une expérience réseau optimale. Des leaders du secteur, tels que Thousand Eyes, ont fait état des performances de notre réseau mondial. Selon une étude réalisée en 2018, il s’agit du réseau le plus robuste et le plus cohérent. Un principe fondamental pour offrir une expérience unique consiste à placer le trafic sur le réseau Microsoft aussi près que possible du client et à le conserver sur le réseau de Microsoft le plus longtemps possible. Tout le trafic entre les services Microsoft et les centres de données reste dans le réseau de Microsoft sans transiter par Internet.

Image illustrant les principaux piliers des réseaux Azure.

Figure 1. Principaux piliers des réseaux Azure

Connecter et étendre

Pour une expérience Internet optimale, les données doivent entrer dans le réseau Microsoft et en sortir aussi près que possible de vous ou de vos utilisateurs. En plus des 160 sites périphériques disponibles aujourd’hui, nous avons un plan agressif visant à en augmenter le nombre. Pour en savoir plus, consultez notre blog sur l’expansion des sites périphériques. Nous augmentons également le nombre de sites ExpressRoute afin d’offrir une plus grande flexibilité pour la connexion privée à vos charges de travail Azure.

Quelle que soit l’entreprise, l’accès aux données et la capacité d’ingestion de ces données sont aujourd’hui cruciaux dans un environnement composé d’applications distribuées. De nombreuses entreprises doivent pouvoir fonctionner dans des conditions difficiles et imprévisibles. Par exemple, dans les secteurs de l’agriculture, de l’énergie, du transport ou encore de l’extraction minière, les entreprises opèrent souvent dans des lieux isolés doté d’une connectivité réseau médiocre. ExpressRoute pour satellites est désormais généralement. Il permet d’accéder aux services cloud de Microsoft à l’aide d’une connexion par satellite. À mesure qu’augmente la disponibilité des constellations de satellites, les nouvelles architectures de solutions offrent des performances d’accès à Microsoft de plus en plus qualitatives et abordables.

La norme de chiffrement MACsec pour les connexions point à point, est désormais prise en charge sur ExpressRoute Direct en préversion. Les clients ExpressRoute Direct peuvent garantir la confidentialité et à l’intégrité des données sur les connexions physiques aux routeurs ExpressRoute et ainsi répondre aux exigences de sécurité et de conformité. Les clients possèdent et gèrent entièrement le cycle de vie des clés MACsec avec Azure Key Vault.

Nous avons investi dans des technologies optiques afin de réduire drastiquement le coût des réseaux métropolitains. Nous vous faisons profiter de ces économies avec un nouveau type de circuit ExpressRoute appelé ExpressRoute Local, disponible via nos partenaires ExpressRoute. Si vous sélectionnez un site ExpressRoute proche de nos centres de données et n’accédez qu’aux données de ces centres, les coût de sortie sont inclus dans le prix du circuit ExpressRoute Local. Vous pouvez utiliser ExpressRoute Standard pour vous connecter aux régions de la même zone géographique, et ExpressRoute Premium pour accéder n’importe où dans le monde.

Le nouveau service de peering pour le cloud Microsoft, actuellement en préversion, offre une connectivité Internet de qualité professionnelle pour accéder à Azure, à Dynamics 365 et à Microsoft 365, grâce à des partenariats conclus avec des fournisseurs d’accès et d’échange Internet. Le service de peering fournit également une télémétrie de latence Internet, une surveillance des itinéraires et un dispositif d’alerte contre les détournements, les fuites et autres erreurs de configuration du protocole de passerelle frontière.

Logos de peering – Mise à jour 2 – MR

Figure 2. Partenaires de lancement prenant en charge le nouveau service de peering

Nous avons amélioré notre service VPN pour prendre en charge jusqu’à 10 Gbits/s de bande passante chiffrée agrégée, IKEv1 sur toutes nos références (SKU) de passerelles VPN, et la capture de paquets pour faciliter la résolution des problèmes de configuration. Nous avons également amélioré notre service VPN point à site pour prendre en charge Azure Active Directory et l’authentification multifacteur. Nous mettons également à votre disposition un client OpenVPN que vous pouvez télécharger et exécuter pour accéder à votre réseau virtuel en tout lieu.

Azure Virtual WAN regroupe nos services de connectivité Azure dans une seule interface opérationnelle avec des partenaires SD-WAN de premier plan. Azure Virtual WAN permet de mettre en place une architecture de réseau de transit globale en fournissant une connectivité omniprésente entre des ensembles distribués à l’échelle mondiale de réseaux virtuels, sites, applications et utilisateurs. Parmi les améliorations importantes figurent la préversion de la connectivité hub à hub et de la connectivité universelle. Les utilisateurs de WAN virtuel peuvent interconnecter plusieurs hubs pour obtenir une connectivité à maille pleine afin de simplifier leur architecture réseau. De plus, ExpressRoute et la connectivité point à site sont désormais généralement disponibles avec un WAN virtuel.

Image présentant une vue d’ensemble de la topologie complète d’Azure Virtual WAN sur des sites de clients et des clients se connectant à Azure.

Figure 3. Vue d’ensemble de la topologie complète d’Azure Virtual WAN sur des sites de clients et des clients se connectant à Azure

Nous avons travaillé en étroite collaboration avec les leaders du secteur pour étendre la prise en charge écosystémique du WAN virtuel. Aujourd’hui, nous annonçons que Cisco et Microsoft s’associent pour moderniser le réseau pour le cloud. Cisco, l’un de nos plus importants partenaires stratégiques mondiaux, collabore avec Microsoft pour intégrer la technologie SD-WAN de Cisco avec Azure Virtual WAN et Office 365 afin de permettre une connectivité transparente, distribuée et optimale des succursales à Azure et Office 365.

En outre, d’autres partenaires, dont Cloudgenix, Fortinet, Nokia-Nuage et Silver Peak, ont finalisé leurs intégrations avec le WAN virtuel qui sont immédiatement disponibles.

IPv6

Le réseau virtuel à double pile (IPv4 + IPv6) sera généralement disponible plus tard ce mois-ci. En première dans le cloud, Azure permettra aux clients d’apporter leur propre espace privé IPv6 dans le réseau virtuel, évitant ainsi tout besoin de modification du routage. Le protocole IPv6 permet aux clients de compenser l’épuisement du protocole IPv4, de se conformer aux exigences réglementaires et d’étendre leurs applications basées sur Azure aux marchés en pleine croissance des appareils mobiles et de l’IoT.

Image présentant un diagramme architectural d’un routage de réseau virtuel Azure avec IPv6 entre des machines virtuelles, un sous-réseau et un équilibreur de charge.

Figure 4. Diagramme architectural d’un routage de réseau virtuel Azure avec IPv6 entre des machines virtuelles, un sous-réseau et un équilibreur de charge

Protection

Mise en réseau Confiance Zéro

Les applications cloud et la main-d’œuvre mobile ont redéfini le périmètre de sécurité. Le nouveau périmètre n’est pas défini par la localisation physique de l’organisation. Il s’étend désormais à tous les points d’accès hébergeant ou stockant des ressources et services de l’entreprise, ou y accédant.

Au lieu de croire que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr, le modèle Confiance Zéro suppose l’existence d’une violation et vérifie chaque demande comme si elle provenait d’un réseau non contrôlé. Quelle que soit l’origine de la demande ou la ressource à laquelle elle accède, le principe de la Confiance Zéro est de « ne jamais faire confiance, toujours vérifier ».

Les services Azure Networking fournissent des contrôles essentiels pour améliorer la visibilité et empêcher des acteurs malveillants de se déplacer latéralement au sein du réseau. Les réseaux doivent être segmentés, avec une micro-segmentation définie par logiciel plus approfondie. Par ailleurs, une protection en temps réel contre les menaces, un chiffrement de bout en bout, une surveillance et des analyses doivent être utilisés.

Azure Private Link étendu à toutes les régions Azure

Azure Private Link introduit les services Azure dans votre réseau virtuel privé. Les services Azure pris en charge, tels que Stockage Azure, Azure SQL Database et Azure Synapse Analytics, peuvent être utilisés via une adresse IP privée. Ainsi, les listes de contrôle d’accès (ACL) ne sont pas accessibles sur l’Internet public. Le trafic transitant par Azure Private Link reste toujours dans le réseau principal de Microsoft et n’accède jamais à l’Internet public. Les ressources de plateforme en tant que service (PaaS, platform-as-a-service) sont également accessibles en privé à partir d’un site local via un peering privé VPN ou ExpressRoute, préservant ainsi la simplicité des ACL. À compter d’aujourd’hui, Azure Private Link sera disponible dans toutes les régions publiques Azure.

Image présentant un diagramme architectural de déploiement intersite de Private Link.

Figure 5. Diagramme architectural de déploiement intersite de Private Link

Grâce à Azure Private Link, Azure est le premier cloud à fournir une gouvernance et une conformité des données en implémentant une protection intégrée contre l’exfiltration de données. Cela nous rapproche de notre objectif de réseau Confiance Zéro où des acteurs malveillants au sein du réseau approuvé ne peuvent pas exfiltrer de données vers des comptes non sécurisés, parce que des instances PaaS individuelles sont mappées en tant que points de terminaison privés plutôt que des front-ends de service. Azure Private Link permet également aux fournisseurs de logiciels en tant que service (SaaS, software-as-a-service) dans Azure d’étendre la même fonctionnalité à leurs clients. Snowflake fait partie des utilisateurs précoces du programme, avec davantage de services de partenaires à suivre.

Azure Firewall Manager est un nouveau service de gestion de la sécurité qui fournit une stratégie de sécurité centralisée et assure la gestion des itinéraires pour les périmètres de sécurité basés sur le cloud. Azure est actuellement le seul fournisseur de cloud à offrir une gouvernance du trafic, un contrôle du routage et une sécurité intégrée tierce via le Pare-feu Azure Firewall et Firewall Manager. Des administrateurs généraux peuvent créer de manière centralisée une architecture Hub and Spoke et associer des stratégies de sécurité ou de routage à un tel hub, appelé hub virtuel sécurisé.

Diagramme d’Azure Firewall Manager déployé dans des hubs Virtual WAN sécurisés.

Figure 6. Diagramme d’Azure Firewall Manager déployé dans des hubs Virtual WAN sécurisés

Avec des partenaires de sécurité de confiance, vous pouvez utiliser vos offres SECaaS (sécurité en tant que service) tierces bien connues pour protéger l’accès Internet de vos utilisateurs. Nous sommes très heureux d’annoncer notre partenariat avec ZScaler, Iboss et Checkpoint (prochainement) en tant que partenaires de sécurité de confiance.

Disponibilité générale du filtrage basé sur la veille des cybermenaces (Threat Intelligence) du Pare-feu Azure

Grâce au filtrage basé sur la cyberveille, le pare-feu Azure peut désormais être configuré pour signaler et refuser en temps quasi réel le trafic échangé avec des adresses IP et domaines malveillants connus. Ces adresses IP et domaines sont fournis par le flux de renseignements de Microsoft Threat Intelligence.

Nous avons également étendu notre pare-feu d’applications web (WAF) avec trois nouvelles fonctionnalités : la protection de bot WAF, stratégies par site (WAF) et le géofiltrage. L’ensemble de règles de protection de bot géré par Azure dans Azure Front Door détecte différentes catégories de bots et permet aux clients de définir des actions en conséquence. Les clients peuvent bloquer des bots malveillants à la périphérie du réseau, permettant ainsi aux bons bots d’atteindre les backends d’application, et de journaliser ou rediriger des bots inconnus vers un autre site. L’ensemble de règles de protection de bot géré par Azure est également proposé en préversion sur la référence (SKU) Azure Application Gateway v2. Une stratégie WAF par site avec Application Gateway permet aux clients de spécifier des stratégies WAF pour différentes applications web hébergées sur une même Application Gateway. Cela permet d’affiner la stratégie de sécurité et évite de devoir créer des déploiements supplémentaires par site. Azure Application Gateway introduit des filtres géographiques avec des règles personnalisées existantes en préversion sur la référence (SKU) v2. Cette fonctionnalité vous permet d’étendre des règles personnalisées basées sur une adresse IP/plage d’adresses IP existantes pour inclure également les pays en tant que critères de correspondance et prendre les mesures appropriées. Cela vous permet de limiter le trafic en provenance d’un pays donné ou de n’autoriser que le trafic en provenance d’un ensemble de pays.

Nous avons récemment annoncé la disponibilité générale d’Azure Bastion. Le service Azure Bastion est fourni directement dans votre réseau virtuel, ce qui permet un accès fluide au bureau à distance (RDP, Remote Desktop Protoco) et au Secure Shell (SSH) pour toutes les machines virtuelles du réseau sans nécessité de disposer d’une adresse IP publique. L’intégration homogène et la simplicité de configuration des listes de contrôle d’accès (ACL) dans vos sous-réseaux éliminent une partie du travail de gestion continue ultérieure.

Diagramme présentant l’architecture Azure Bastion, montrant l’accès SSL aux ressources de réseau virtuel via le portail Azure.

Figure 7. Architecture Azure Bastion montrant l’accès SSL aux ressources de réseau virtuel via le portail Azure

Fournir

Nous annonçons également aujourd’hui une nouvelle fonctionnalité, le Moteur de règles Content Delivery Network, grâce auquel Azure Content Delivery Network peut permettre aux clients de personnaliser le mode de traitement des demandes http. Le Moteur de règles met en place des conditions de correspondance très puissantes, telles que la détection d’appareil, le protocole HTTP et les valeurs d’en-tête, et déclenche des actions appropriées. Le fait que toutes les règles http s’exécutent au niveau de nos sites périphériques près des utilisateurs finaux offre des avantages significatifs en termes de performances par rapport aux règles en vigueur chez les clients.

Le contrôleur d’entrée Application Gateway permet d’utiliser Azure Application Gateway en guise d’entrée pour un service Azure Kubernetes Service (AKS). Le contrôleur d’entrée fonctionne en tant que pod dans le cluster AKS. Il utilise des ressources d’entrée Kubernetes qu’il convertit en une configuration Azure Application Gateway permettant à la passerelle d’équilibrer la charge du trafic en la répartissant entre des pods Kubernetes. L’utilisation du contrôleur d’entrée Application Gateway permet aux clients d’exposer un seul point de terminaison accessible via Internet pour communiquer avec leurs clusters AKS. Application Gateway interagit directement avec les pods en utilisant des adresses privées, ce qui élimine la nécessité d’une DNAT supplémentaire exposée par Kube Proxy, et offre un routage de trafic plus efficace et performant vers les pods. Le contrôleur d’entrée Application Gateway prend en charge toutes les fonctionnalités d’Application Gateway, dont des fonctionnalités WAF pour sécuriser l’accès au cluster AKS.

Diagramme présentant le contrôleur d’entrée Application Gateway par rapport à AKS.

Figure 8. Contrôleur d’entrée Application Gateway expliqué par rapport à AKS

Azure Key Vault est un service managé de plateforme destiné à préserver les clés de chiffrement et autres secrets utilisés par les applications et services cloud. Azure Application Gateway v2 prend désormais en charge l’intégration directe des certificats TLS stockés dans Key Vault pour ses écouteurs compatibles HTTPS. Cela permet d’améliorer la sécurité des certificats TLS grâce à une séparation claire entre les processus de gestion des certificats d’Application Gateway et des applications web. Application Gateway interroge le coffre de clés (Key Vault) toutes les quelques heures à la recherche d’une version plus récente du certificat TLS (Transport Layer Security), permettant ainsi le renouvellement automatique des certificats.

Surveiller

Azure Internet Analyzer est un nouveau service de mesure côté client désormais disponible en préversion. Internet Analyzer permet d’effectuer le Testing A/B des infrastructures de réseau et de leur impact sur l’expérience de performance de vos clients. Que vous procédiez à la migration d’applications et de contenu d’un site local vers Azure ou à l’évaluation d’un nouveau service Azure, Internet Analyzer vous permet de tirer des enseignements des données de vos utilisateurs et de l’analytique approfondie de Microsoft pour mieux comprendre et optimiser votre architecture réseau avec Azure avant d’opérer la migration. Azure Internet Analyzer est conçu pour traiter des aspects liés aux performances pour la migration vers le cloud, le déploiement vers de nouvelles régions Azure ou le test de nouvelles plateformes d’application et de distribution de contenu dans Azure, telles que Azure Front Door et Azure Content Delivery Network.

Le service Azure Monitor pour réseau est désormais disponible en préversion. Le service Azure Monitor pour réseau permet aux clients de surveiller les métriques clés et l’intégrité de leurs ressources réseau, de détecter des problèmes et d’obtenir de l’aide pour la résolution des problèmes. Il est activé par défaut et ne nécessite aucune configuration personnalisée. Qu’il s’agisse de surveiller et dépanner le cloud ou des réseaux hybrides, le service Azure Monitor pour réseau vous aide à configurer des alertes, à obtenir des diagnostics spécifiques de certaines ressources et à visualiser la structure et les dépendances fonctionnelles entre les ressources.

Capture d’écran présentant les métriques et diagnostics d’Azure Monitor et d’Application Gateway.

Figure 9. Capture d’écran d’Azure Monitor pour réseau présentant les métriques et diagnostics d’Application Gateway

Calcul multi-accès à la périphérie (MEC, Multi-access Edge Computing) en préversion

Le calcul multi-accès à la périphérie offre aux développeurs d’applications des capacités de cloud computing dans les locaux du client. Cet environnement se caractérise par une latence très faible et une bande passante élevée, ainsi que par un accès en temps réel à des réseaux radio tels que Private LTE et 5G. En intégrant les capacités du MEC avec Azure, nous offrirons un continuum de capacités de calcul et de réseau allant du cloud intelligent à la périphérie. De nouveaux scénarios critiques et immersifs, tels que l’usine intelligente et la réalité mixte, nécessitent une connectivité fiable à faible latence et bande passante élevée, associée à du calcul local.

Image d’une ébauche de concept de calcul multi-accès et en périphérie de réseau avec Azure.

Figure 10. Ébauche de concept de calcul multi-accès et en périphérie de réseau avec Azure

Pour répondre à ces besoins, nous introduisons une préversion technologique du calcul en périphérie multi-accès basé sur Azure Stack Edge déployé dans les locaux du client pour une latence optimale. Les principales caractéristiques du MEC sont les suivantes :

  • Permet aux développeurs d’utiliser les outils de CI/CD pour DevOps de GitHub et Azure pour créer et exécuter des applications basées sur des conteneurs dans les locaux du client. Avec un modèle de programmation cohérent, il est facile de développer des applications dans Azure, puis de les déplacer vers Azure Stack Edge.
  • Intégration de la technologie sans fil, incluant LTE, CBRS basé sur le LTE et les futures technologies 5G. Dans le cadre de notre plateforme MEC, nous avons collaboré avec des innovateurs technologiques pour fournir des fonctions de réseau virtuel mobile (Evolved Packet Core), l’intégration d’appareils, la gestion de cartes SIM et des réseaux d’accès radio.
  • Le MEC est géré depuis Azure. Les images de fonction de réseau virtuel organisé (VNF, curated virtual network function) sont téléchargées à partir d’Azure pour simplifier le déploiement et l’exécution d’un réseau mobile privé. La plateforme prend également en charge la gestion du cycle de vie des VNF, dont l’application de correctifs, la configuration et la surveillance.
  • Écosystème de partenaires comprenant des fournisseurs de services managés pour déployer des solutions de bout en bout dans votre réseau.

Si vous êtes intéressé intéressés par la préversion technique précoce ainsi que des options avec intégration de MEC, veuillez contacter MEC-Networking@microsoft.com.

Image présentant une vue d’ensemble de l’écosystème de partenaires de calcul multi-accès à la périphérie (MEC, Multi-access Edge Computing).

Figure 11. Vue d’ensemble de l’écosystème de partenaires de calcul multi-accès à la périphérie (MEC, Multi-access Edge Computing)

À venir

Nous nous engageons pleinement à vous aider à vous connecter à Azure en protégeant vos charges de travail, en offrant une expérience de mise en réseau exceptionnelle, et en assurant une surveillance étendue afin de simplifier votre déploiement et d’alléger vos coûts opérationnels, tout en vous aidant à mieux assister vos clients. Dans le cadre de Microsoft Ignite, nous fournirons plus de détails sur nos annonces. Pour en savoir plus, regardez nos sessions techniques. Nous continuerons à fournir des services de mise en réseau innovants et des conseils pour vous aider à exploiter au mieux les avantages du cloud. Nous sommes impatients de découvrir les nouveaux scénarios rendus possibles par nos services de mise en réseau. Comme toujours, nous attendons vos commentaires.


Azure. Inventez en ayant un but.