Sécurité : Comment maximiser les performances du cloud tout en préservant la sécurité des données

Les organisations se tournent vers les infrastructures de cloud public pour faire des affaires plus rapidement avec un plus grand nombre de clients. Avec l’augmentation du trafic, cependant, vient le besoin d’une plus grande capacité d’inspection qui pourrait potentiellement ralentir les choses au nom de la sécurité des données. Parce que la performance est une exigence de base pour la concurrence sur le marché numérique, la sécurité ne peut pas être un goulot d’étranglement.

Mais comment pouvez-vous faire évoluer les performances de sécurité pour répondre aux exigences de performance croissantes des environnements de cloud computing d’aujourd’hui ? Vous pensez peut-être que votre solution de sécurité n’a pas d’importance lorsqu’elle fonctionne sur des infrastructures en nuage identiques, mais c’est le cas. Voici ce que vous devez garder à l’esprit pour maximiser les performances dans le cloud tout en préservant la sécurité de vos données.

Il existe deux options pour résoudre le problème de la performance élastique : Scaling Out et Scaling up.

Scaling Out

« scaling out » fait référence à l’augmentation de la performance en ajustant le nombre d’instances séparées d’une solution. La mise à l’échelle permet à un utilisateur de déployer automatiquement plus de capacité de pare-feu en fonction de l’évolution de la charge de trafic. Les charges de trafic peuvent changer radicalement et l’infrastructure en nuage peut s’adapter dynamiquement, ce qui explique pourquoi les environnements en nuage sont si idéaux. Certaines organisations qui font beaucoup d’activités saisonnières ou événementielles mettront même temporairement leurs applications et services dans un environnement en nuage afin de répondre à des pics de demande inhabituellement élevés mais temporaires, et les retourneront ensuite sur leurs serveurs habituels. La sécurité doit pouvoir s’adapter de manière transparente à ces changements.

La capacité de mise à l’échelle n’est pas seulement une question de performance, mais aussi le prix de la performance. Il est essentiel de comparer les performances des solutions avant de les intégrer à votre infrastructure de cloud computing. Déployer des solutions plus performantes signifie que vous n’avez pas besoin d’acheter des instances de pare-feu supplémentaires sur le marché aussi souvent qu’avec une solution plus lente.

C’est essentiel pour gérer les dépenses tout en répondant aux exigences de capacité, surtout lorsqu’il s’agit de trafic très variable.

Scaling up

« scaling up » fait référence à l’augmentation des performances en ajustant la taille d’une seule instance du matériel virtuel. L’une des considérations les plus importantes pour déterminer la taille d’une VM dont vous avez besoin, afin d’exécuter efficacement votre solution de sécurité, est la performance par cœur. Si vous avez besoin d’une grande VM CPU multi-coeurs, combien de débit obtenez-vous réellement pour chaque coeur pour lequel vous payez ?

L’examen attentif de la mise à l’échelle de la capacité est un exemple parfait de ce qui peut sembler identique en surface – c’est-à-dire que tous les fournisseurs peuvent exécuter leurs solutions sur la même machine virtuelle – mais peuvent être très différents dans leur application pratique. La vérité est que les architectures utilisées par les différents fournisseurs peuvent varier considérablement. Par exemple, de nombreux fournisseurs consacrent un noyau entier à la gestion, ce qui signifie que lorsque vous achetez un système à deux noyaux pour exécuter leur service, seulement la moitié de ces ressources sont disponibles pour le traitement du trafic et des données. C’est vraiment un problème architectural. Un autre exemple est celui d’un fournisseur qui fixe une seule session (IKE SA) à un seul noyau plutôt que de pouvoir répartir le trafic IPSec sur plusieurs cœurs. Cette approche de conception architecturale se traduit également par des rendements décroissants pour chaque noyau supplémentaire au-delà d’un.

Les solutions de sécurité dans le Cloud ne sont pas toutes égales

Lorsque vous choisissez un fournisseur de sécurité pour votre environnement cloud ou multi-cloud, le plus délicat est de vous assurer que vous comparez des pommes à des pommes. En plus d’une solution capable de fonctionner de manière transparente dans différents environnements de cloud computing, vous devez également être en mesure d’évaluer les vraies performances. Heureusement, les CSP (Cloud Service Providers) ont des programmes d’évaluation où n’importe qui peut effectuer des tests de performance contre n’importe quel environnement que vous pouvez créer dans ou vers leurs nuages publics. Avoir cette fondation comme guide vous fera économiser du temps et de l’argent.

Il est facile de supposer qu’il n’y a pas d’avantage de performance entre les fournisseurs lorsque vous migrez vers le cloud, puisque tout fonctionne sur le même matériel. Mais la performance est le résultat de bien plus que le matériel sur lequel un réseau fonctionne. La performance dépend également d’un certain nombre de techniques d’ingénierie efficaces axées sur l’optimisation, la parallélisation et le déchargement du matériel.

Optimisation : Optimisation complète de la pile, pas seulement l’optimisation du matériel. Certains ont fait valoir que les fournisseurs de matériel perdent leur avantage de performance dans un environnement en nuage. Mais la vérité est que les ingénieurs doivent optimiser considérablement le logiciel pour qu’il atteigne les performances nécessaires dans une puce. Ce genre d’optimisation sur l’ensemble de la pile est quelque chose que de nombreux fournisseurs de logiciels ne font jamais. Cependant, un logiciel optimisé peut différencier de manière significative un fournisseur d’un autre dans le Cloud parce qu’il peut affecter directement les performances.

Parallélisme : Les systèmes d’exploitation de sécurité chargés dans un environnement en nuage doivent être en mesure d’exploiter toute une gamme de ressources, y compris les VM multi-core, pour atteindre les performances nécessaires. Pour maximiser les performances potentielles, les ingénieurs utilisent une technique connue sous le nom de parallélisation. Fondamentalement, tous les ordinateurs préfèrent une architecture parallèle construite autour de facteurs de deux (2, 4, 8, 16, 32). Cela permet une efficacité maximale, et c’est une raison importante pour laquelle un fournisseur est en mesure d’obtenir de meilleures performances qu’un autre dans le même environnement de cloud computing.

Cependant, en raison des limitations de l’architecture logicielle, de nombreux fournisseurs doivent consacrer 1 sur 4 de tous les cœurs disponibles pour contrôler la gestion des avions. Ce qui signifie que dans une solution à 8 cœurs, vos données ne sont traitées que sur six cœurs. Cela rompt avec le modèle de parallélisme et peut avoir un impact sérieux sur l’efficacité et la performance.

Ce type de limitation architecturale signifie simplement qu’il y a moins de noyaux disponibles pour l’inspection et le traitement. Si vous avez besoin (et payez pour) une solution VM 8 cœurs pour votre solution de pare-feu cloud, mais que vous n’avez que six cœurs disponibles pour l’inspection des données, vous avez sérieusement affecté votre capacité à distribuer et traiter efficacement ces données. C’est pourquoi vous devez vous assurer que votre solution peut mettre en parallèle les performances de tous les CPU ou ressources disponibles.

Déchargement du matériel : Tous les traitements ne peuvent pas être traités par les VM auxquelles ils sont affectés. Pour les flux de données à large bande passante, la Virtualisation Single Root I/O Virtualisation (SR-IOV) permet une mise en réseau accélérée. SR-IOV contourne le traitement des paquets du noyau de l’hyperviseur, l’interface para-virtuelle (legacy), et utilise l’interface de la fonction virtuelle (VF), mappant ainsi la vNIC de la VM invitée directement à la NIC physique. bien que cette option soit disponible pour tous les fournisseurs, la possibilité de tirer profit de cette fonction, en particulier lorsqu’elle est combinée avec l’optimisation et l’efficacité de la mise en parallèle, peut avoir un impact significatif sur la performance et la fonction de la solution d’un fournisseur particulier.

Conclusion

La performance est une considération critique lors de la sélection d’une solution de sécurité basée sur le cloud. Choisir des solutions de sécurité évolutives et performantes permet aux entreprises de répondre aux exigences de performance croissantes des environnements de cloud computing d’aujourd’hui. De plus, des solutions plus performantes sont également plus rentables. Mais toutes les solutions de sécurité en nuage ne sont pas construites de la même façon. Une analyse attentive vous permettra de choisir la solution qui répond le mieux aux exigences de votre organisation en matière de performance et de budget.

 

Sécurité : Comment maximiser les performances du cloud tout en préservant la sécurité des données
Notez cet article
Georges Herry

Après mes études d'ingénieur j'ai rapidement intégré une grande banque Française. J'y ai gravis les échelons jusqu'à devenir responsable Informatique dans cette même banque durant 5 ans. Aujourd'hui je suis Responsable Innovation au sein d'une Mutuelle Européenne. Véritable mordu d'innovation, j'ai décidé de créer le magazine en ligne Info Tech News afin de partager les dernières pépites que je découvre.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *