Gestion des appliances de sécurité dans un PRA
Comment avoir un niveau de sécurité équivalent entre le site nominal et le site de secours ?
Pour permettre à nos clients d’obtenir d’une sécurité au niveau de celle présente dans leur infrastructure avant PRA, Nuabee cherche à fournir des solutions de pare-feu à ses clients dans l’environnement de secours OpenStack.
Les contraintes
Le premier sujet est évidemment que l’on ne peut installer une appliance physique dans un Cloud public.
Et dans un contexte d’appliance virtuelle, le sujet à résoudre consiste à faire fonctionner des appliances virtuelles conçues pour un hyperviseur (Hyper-V, VMWare, …) dans un Cloud OpenStack qui est destiné à faire fonctionner des machines virtuelles d’un autre type (KVM en général).
Dans un modèle Cloud public OpenStack,
- Le fournisseur Cloud propose des images standard des principaux appliances de sécurité du marché mais ne fournit pas de solution pour migrer une image système d’un Client vers sa plate-forme Cloud.
- Mais l’éditeur non plus ne propose pas de solution pour convertir la configuration d’origine (soit appliance physique, soit appliance virtuelle) vers une configuration Cloud
Les solutions possibles au travers des images d’appliance de sécurité
Il existe 4 méthodes principales de déploiement des appliances de sécurité dans le Cloud :
- les images Standard du Cloud : ce sont des appliances de sécurité maintenues par le fournisseur Cloud et disponibles dans leur console ou marketplace
- les images Nuabee : ce sont des appliances de sécurité gérées par Nuabee et disponibles dans notre console de PRA
- les appliances compatibles OpenStack : ce sont des appliances virtuelles potentiellement compatibles avec OpenStack car elles décrites comme telles par leur éditeur
- les images autres : ce sont des appliances virtuelles avec un statut inconnu
Le fonctionnement avec des images Cloud
Dans le contexte d’une image compatible avec le Cloud OpenStack, le principe est
- De déployer l’appliance en partant de l’image fournie
- De paramétrer l’appliance dans un modèle de Cloud
- De transformer l’appliance en image et de sauvegarder cette image
- A chaque test de PRA, de tester le fonctionnement de l’appliance et de la mettre à jour
La gestion des licences dans le Cloud
Le sujet de la portabilité des licences des appliances de sécurité entre une infrastructure nominale et un environnement de secours dans le cloud est toujours en discussion.
Suivant les éditeurs d’appliance de sécurité, les modalités d’utilisation d’une appliance virtuelle quand on possède une appliance sur site (physique ou virtuelle) sont très variées et nécessitent souvent le rachat de licences spécifiques.