Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonZonage du réseau en 2023 : comment l'IA et l'automatisation changent les choses
Klaus Haller | 07 juin 2023
Le zonage du réseau est un contrôle de sécurité préventif fondamental qui réduit la surface d'attaque d'une entreprise et entrave les mouvements latéraux. Cela rend la vie des attaquants plus difficile car ils ne peuvent pas accéder directement à toutes les machines virtuelles (VM) à partir d'Internet. Et, même s'ils pénètrent dans le réseau de l'entreprise, ils ne peuvent pas passer rapidement d'une machine virtuelle à l'autre si les pare-feu et les zones restreignent la connectivité et le trafic du réseau interne. Cependant, l'essor de l'IA et de l'automatisation informatique remet en question un principe fondamental de zonage : les étapes. La différenciation entre les zones de production, de préproduction et d'intégration, de test et de développement est-elle toujours adéquate ? Quelles adaptations apportent les années 2020 ?
La zone de développement, la zone de test, la zone de préproduction et la zone de production - les méthodologies d'ingénierie agiles ont remplacé le bon vieux modèle en cascade, mais les étapes ont survécu (Figure 1). Certains départements informatiques ont trois (ou seulement deux) étapes, certains parlent d'étapes de test d'intégration ou de test unitaire. Les objectifs sont les mêmes :
Connexes : Le plus gros problème de l'IA ? Chatbots menteurs
Les organisations certifiées ISO 27001 doivent de toute façon séparer les systèmes de développement, de test et de production pour la conformité ISO (ISO 27001:2022 Annexe A 8.31).
Figure 1 : Un concept sophistiqué et classique de zonage de réseau
En relation: L'ancien conseiller technique de Biden sur ce qui manque à Washington à propos de l'IA
En pratique, les conceptions de réseau plus larges différencient les zones internes et externes (c'est-à-dire accessibles par Internet) et placent les pare-feu d'application Web et les solutions de gestion d'interface d'application (API) entre Internet et les zones externes. Les pays ou les unités commerciales sont d'autres dimensions de zonage répandues. Les mêmes concepts de zonage ou des concepts plus simples peuvent être en place dans les étapes de non-production.
C'était la configuration traditionnelle. Au cours des dernières années, l'IA et l'automatisation informatique sont entrées sous les projecteurs et ont apporté des changements.
La haute disponibilité et les cycles rapides de codage au déploiement nécessitent tous deux une automatisation dans les centres de données. De plus, l'automatisation rend les administrateurs beaucoup plus efficaces. Aujourd'hui, l'installation et la configuration d'un logiciel s'effectuent en un seul clic, alors qu'il s'agissait d'un travail à plein temps dans les années passées, où les administrateurs jonglaient avec vingt disquettes. Les serveurs de surveillance d'aujourd'hui disposent d'alarmes automatisées. Ils informent les administrateurs de manière proactive s'il y a un besoin d'interventions manuelles. De plus, les pipelines CI/CD sont standard. Cependant, ces gains d'efficacité nécessitent une modification des concepts de zonage du réseau (Figure 2).
L'impact des composants de surveillance et de déploiement et des pipelines CI/CD sur le zonage du réseau
Les solutions de surveillance vérifient la disponibilité des machines virtuelles et des composants réseau, et recherchent des événements susceptibles d'indiquer des incidents de sécurité. Au Royaume-Uni, il existe une solution de surveillance pour l'ensemble du centre de données, mais aucune pour la zone de production. En Espagne, il y en a un pour le développement et en Inde, il y en a un pour les tests. Les applications de surveillance impliquent la nécessité d'un accès entre les étapes. Vous pouvez placer les composants de surveillance dans une zone dédiée au sein de la zone de production ou entièrement séparément. Évidemment, les erreurs opérationnelles sont moins probables si ces applications sont séparées par zonage. En outre, les pare-feu doivent être ouverts de manière sélective plutôt que d'ouvrir simplement tous les pare-feu.
Les solutions de surveillance en sont un exemple ; d'autres solutions (par exemple, pour la gestion des correctifs ou l'analyse des vulnérabilités) entrent dans la même catégorie. Cependant, bien qu'il puisse être possible (mais pas nécessairement toujours judicieux) de contourner l'accès à plusieurs étapes pour de telles solutions, les pipelines CI/CD, par définition, sont à plusieurs étapes. Tout d'abord, vous déployez le code sur votre ordinateur portable local, puis sur un serveur de test, un environnement d'intégration et enfin en production. Par conséquent, la nature pure des pipelines CI/CD nécessite un accès entre les étapes. Encore une fois, si un outil doit déployer et changer de VM à toutes les étapes, les pare-feux entre les zones ne doivent pas être entièrement démolis mais uniquement ouverts de manière sélective pour cet outil.
L'IA explose l'idée de séparer les données de production des activités de développement. La formation de modèles d'IA signifie l'exécution d'algorithmes qui détectent les dépendances de milliers de variables et de millions d'ensembles de données, ce qui serait impossible à détecter manuellement. Cette formation nécessite des données réelles (bien qu'elle puisse ne pas nécessiter toutes les données sensibles telles que les noms, adresses et numéros de sécurité sociale des clients). La tâche de développement de formation de modèle doit s'exécuter sur des données de production et, par conséquent, dans une zone de production. Cependant, une (sous-)zone isolée de production d'IA et d'analytique a du sens. L'IA signifie généralement des quantités importantes de données que vous souhaitez conserver en toute sécurité et séparées de votre flux de travail normal. La figure 3 illustre cette nouvelle (sous-)zone.
Comment l'IA et les data scientists ont besoin d'adaptations dans le zonage du réseau
Les composants d'automatisation informatique et les environnements de formation IA diffèrent des charges de travail d'application "normales". Les deux nécessitent d'adapter les concepts de zonage traditionnels pour la connectivité entre les étapes. Cependant, il est crucial de faire la distinction entre les instances de production et leur ingénierie.
L'ingénierie de la plate-forme d'IA et le suivi des outils d'automatisation suivent la méthodologie d'ingénierie habituelle de l'entreprise. Les ingénieurs travaillent d'abord dans la zone de développement avant de promouvoir les changements pour tester les environnements de préproduction et de production. Sans exigences particulières, les règles classiques s'appliquent en ingénierie : connectivité uniquement à l'étape actuelle et pas de données de production pour le développement et les premiers tests. La figure 3 illustre cela en donnant à la plate-forme d'IA une boîte supplémentaire en production. Ici, les data scientists peuvent expérimenter. En revanche, la plate-forme d'IA se trouve dans les zones de développement, de test et de préproduction standard avec toutes les restrictions typiques.
Pour conclure : les concepts conventionnels de zonage et de mise en scène restent en place dans les années 2020, à quelques rares exceptions près pour les outils liés à l'automatisation informatique et la formation de modèles d'IA. Le monde des zones et des scènes ne devient pas flou. Il devient plus coloré et sophistiqué.
Plus d'informations sur les formats de texte