L’état des lieux

FedICT est un service public Trans-Gouvernemental Belge qui a pour mission de fournir des services IT pour différentes administrations de son pays. FedICT a une infrastructure commune pour une vingtaine d’applications, avec un système de protection commun. Cette infrastructure est organisée en silos virtuels par application avec pour chaque silo sa propre protection, qui tourne sur une infrastructure commune. Au niveau sécurité on trouve la plus part des outils classiques : Firewall, IPS, IDS, Load Balancer, WAF, contrôle d’accès… Pour chaque application déployée, FedICT vérifie la conformité à la politique de sécurité. Ainsi, les administrations doivent respecter un cahier des charges drastiques. Pour 2013, FedICT s’est fixé pour objectif de mettre en place un cloud Hybrid Public-Privé. Ainsi, FedICT a décidé d’utiliser des serveurs dans le Cloud Public pour des applications non critiques. Dans ce modèle FedICT va garantir la conformité de ce Cloud.

Le projet

Plusieurs services seront proposés par FedICT. Le premier service est le Server Set qui va permettre de fournir de la haute disponibilité à l’aide de clusters, une distribution de charge sur 2 data centers différents, une gestion des VM. 

Dans ce nouveau modèle de fonctionnement, toute la responsabilité va être reportée du FedICT aux équipes qui développent les applications. Toutefois, FedICT dans son Cloud va rajouter une couche de sécurité avec des protections contre les malware, les DDoS, de l’IDS, IPS, un WAF, de la gestion des identités (SAML, OpenID), du contrôle d’accès, un reverse proxy... Un service de stockage va être aussi proposé avec du FCoE, iSCSI... Bien sûr, un service de back-up sera proposé. Un service de gestion des clés de chiffrement va être aussi inclus avec des terminaisons SSL, des signatures de message… Le 6ème service sera la base de données les clients pourront acheter des services virtuels de base de données.

Les conséquences de cette infrastructure de Cloud

Un réseau Data Center Cloud est beaucoup plus complexe qu’un réseau classique. Par contre, il est possible d’utiliser la virtualisation sur l’ensemble des applications. Au niveau de la sécurité, Jan Colpaert conseille de segmenter les infrastructures de façon plus flexible. Il est nécessaire d’isoler les réseaux avec de nouveau mécanisme comme VXLAN et NVGRE pour créer des tunnels L2 à travers un réseau IP classique. Dans ce schéma la bande passante minimum devient 10 Gbps. Il a souligné l’importance de créer des ilots étanches entre les clients.

Une couche d’abstraction va faciliter la migration vers le cloud public vers la cloud privé. Avec ce nouveau cloud, il va falloir passer dans une configuration distribuer pour les firewalls et les load balancer afin d’éviter les temps de latence. Bien sûr, il a recommandé de bien vérifier les termes contractuels, mais aussi de pouvoir inspecter les procédures de sécurité du fournisseur de service, ce qui reste le plus difficile. Pour les équipes applicatives, cette nouvelle architecture est plus facile à gérer, car elles peuvent déployer plus rapidement des applications, mais elles doivent renforcer la sécurité des applications, et surtout maintenir correctement l’application durant tout son cycle de vie.