Télétravail oblige : les entreprises accélèrent leur transformation grâce au SDN !

Les entreprises se transforment. Les besoins évoluent. Les crises sanitaires nous imposent une accélération de cette transformation, notamment par la mise en place du télétravail.

Les infrastructures IT doivent donc s’adapter afin que l’entreprise conserve toute son efficacité opérationnelle. Cela est particulièrement critique pour le réseau car en quelques mois, une majorité des collaborateurs a changé de lieu de travail du fait de la situation actuelle.

Notre propos est ici d’expliquer pourquoi le réseau d’entreprise doit évoluer afin de s’assurer que la mobilité soudaine d’un grand nombre de collaborateurs n’impacte pas les activités métier.

Nous pouvons ici souligner l’intérêt d’une approche de type Software Defined Networking (SDN). Cette approche est un premier pas à compléter par une évolution plus complète vers ce que Cisco nomme « l’Intent-Based Networking » (IBN) ou « Réseau piloté par l’Intention ».

Faisons référence à la situation sanitaire liée au COVID pour partager un cas d’usage de SDN particulièrement intéressant.

I) Un Réseau piloté par logiciel ?

Etudions les bénéfices d’une approche SDN élargie, avec un exemple du quotidien d’une société directement tiré de la situation sanitaire liée au COVID :

L’entreprise décide un changement radical dans la façon dont les employés travaillent en basculant massivement vers le télétravail.

Une communication via visio-conférence doit se faire le jour même. Elle a pour objectif de discuter des nouvelles réglementations imposées par les gouvernements locaux dans les pays où est implantée l’entreprise.

L’équipe IT doit donc s’assurer que le flux de cette visio-conférence à destination de l’ensemble des collaborateurs sera prioritaire. Cela pendant la plage horaire prévue, au détriment de tout autre trafic réseau. La bande passante devra toutefois être garantie pour les flux de production les plus critiques. Le réseau de l’entreprise comprend :

  • De grands campus, dont certains sites industriels ne supportant que des flux critiques
  • Des sites distants dans divers pays avec des bandes passantes limitées.

La totalité du réseau doit donc être reconfigurée pour les grands campus et les sites déportés, durant les deux heures de la réunion virtuelle. Puis, il faudra revenir en fonctionnement nominal immédiatement après la fin de cette conférence.

Seule une infrastructure de type SDN est capable d’adresser une telle demande. Cette dernière se caractérise par :

  • La mise en place de la qualité de service de façon instantanée afin de prioritiser une application donnée à un instant t
  • La capacité à revenir ensuite à un état standard.

II ) Le SDN oui, mais comment ?

L’infrastructure réseau d’un environnement informatique est généralement répartie sur un ou plusieurs campus, un ou plusieurs datacenters (privés ou en Cloud) et doit connecter des sites distants. Le tout s’appuie sur des routeurs et des commutateurs dont les mécanismes de qualité de service peuvent être de nature très différente, hiérarchique ou modulaire. Il est donc impossible d’intervenir sur chacun des composants.

Une infrastructure de type Software Defined Networking est composée des trois éléments suivants :

  • L’Orchestrateur  (ou contrôleur) : le « cerveau » qui va recevoir une demande (prioritisation du flux Visio) et la transformer pour qu’elle soit comprise par le reste de l’infrastructure,
  • Le Control Plane : le « système nerveux » qui va recevoir les ordres du cerveau et assurer la transmission vers les éléments actifs,
  • Le Data Plane : les « muscles », soit les routeurs, commutateurs, points d’accès WiFi qui vont se configurer selon les ordres reçus via le Control Plane et commuter / router les données.

Dans le cas d’usage évoqué :

  1. L’administrateur va définir dans le contrôleur SDN que l’application de visioconférence est critique.
  2. Le contrôleur va donner les ordres de configuration à la totalité des éléments actifs du réseau afin de traiter ces flux de visioconférence avec la qualité de service voulue.

L’administrateur réseau ne se connectera jamais directement sur les commutateurs du réseau pour le configurer.

Il y a donc bien décorrélation entre la demande et l’action.

Cette approche est illustrée dans le schéma ci-après :

Source CISCO

III) Les raisons de l’efficacité du SDN

L’efficacité de cette approche est rendue possible grâce à 3 principes fondamentaux :

  • L’automatisation : Tous mes composants d’Infrastructure sont programmables, soit en mode « do-it-yourself » via des frameworks IaC (Infra-as-Code) comme Ansible ou Terraform, soit via le Contrôleur SDN.

Cette automatisation apporte à l’infrastructure Réseau l’agilité qui lui permet d’assurer une réactivité immédiate.

  • La visibilité et la télémétrie : Ces mêmes composants vont remonter toutes les données nécessaires à la prise de décision dans le cadre de l’automatisation ci-dessus. Tout cela se base sur des mécanismes d’IA embarqués dans les fonctions de prise de décision.
  • La sécurité : Tout composant du Système d’Information doit disposer aujourd’hui de réflexes de sécurité dans le cadre d’une approche Zero-Trust. Cette évolution pourra se faire progessivement selon le cheminement suivant :
Source CISCO

A minima, les éléments d’infrastructure mettent en œuvre de la micro-segmentation afin d’isoler les divers environnements, jusqu’à l’entité unitaire qu’est le collaborateur. Mais ils sont également à même d’implémenter des règles de Sécurité selon des directives reçues directement des outils dédiés Sécurité.

Sur ce dernier point, nous rentrons directement dans l’approche SASE (Secure Access Service Edge) selon la terminologie du Gartner avec un couplage « connectique-sécurité » sur lequel nous reviendrons prochainement.

IV ) La mobilité de mes collaborateurs  à prendre en compte

Tout cela est distribué aux vues de la mobilité des collaborateurs grâce au SDN « augmenté » : le réseau basé sur l’Intention !

L’utilisateur sur le site distant, ou même en « home office », cas de plus en plus fréquent, va transiter via son branch office local, ou directement depuis chez lui. Dans les deux cas ce sera via la WAN, pour arriver à l’application hébergée dans le datacenter.

Si cette application est localisée dans un Cloud Public soit en mode IaaS ou SaaS, cas également de plus en plus fréquent, l’accès de l’utilisateur transitera à minima par le WAN.

Le collaborateur va donc accéder à son application potentiellement via un réseau :

  • LAN sur le Campus
  • WAN
  • du Data Center

Soit 3 réseaux distincts avec chacun son orchestrateur.

Il n’existe pas, à ce jour, de contrôleur unique. Cela du fait de la multiplicité des cas d’usages qui peuvent être très différents pour chacun des réseaux.

Cette approche de Réseau basée sur l’Intention n’est possible que par une abstraction totale entre :

  • Le collaborateur
  • Sa localisation géographique
  • Le terminal qu’il utilise (smartphone, tablette, ordinateur de bureau)
  • L’application accédée et sa localisation (dans le Data Center privé ou dans un Cloud)
  • Les composants Réseau pour le transit des flux.

Le schéma ci-après résume cette évolution de l’infrastructure Réseau :

Source CISCO

Le lien entre un utilisateur et son couple VLAN / @IP, gravé historiquement dans le marbre au sein du Réseau, n’a plus court. Seule l’identité de l’utilisateur fait foi dans une approche basée sur l’Intention.

L’abstraction entre les différents composants ci-dessus permet d’attacher des règles de Sécurité et d’Expérience Utilisateur (QoS) au collaborateur indépendamment de toute localisation géographique et d’assurer de ce fait une mobilité totale.

Ainsi, l’abstraction entre le couple Utilisateur / Application et le Réseau de transport, couplée aux 3 piliers fondamentaux que sont Automatisation / Visibilité / Sécurité permettent de franchir ce pas d’un simple Réseau de type SDN vers un Réseau basé sur l’Intention.

C’est ce qui permet de passer des règles entre les différents réseaux afin d’identifier le flux d’un collaborateur vers son application.

La gestion des règles est dévolue à l’ISE, pour Identity Service Engine. ISE est le serveur RADIUS historique de Cisco. C’est également un remarquable repository de Policies.

Ainsi, où que se trouve le collaborateur, quel que soit le terminal qu’il utilise et l’application à laquelle il accède, il sera reconnu et traité par le Réseau selon ses droits.

Je partage sur:

Partager sur linkedin
LinkedIn
Partager sur twitter
Twitter
Partager sur whatsapp
WhatsApp

Articles similaires

cyllene
Actualité
Claire Mariot

Scasicomp rejoint CYLLENE.

Une alliance s’appuyant sur une synergie Métiers et un maillage territorial afin de proposer une offre complète pour les données des entreprises.

Read More »
assurance
Etude de cas
Claire Mariot

Témoignage client – VERSPIEREN

Comment un courtier en assurances comme VERSPIEREN accélère sa transition numérique en garantissant une sécurité de ses données et une continuité de services optimales ?

Read More »