Notre chroniqueur Benito Diz poursuit sa série d’articles sur les piliers d’un move-to-cloud réussi en s’intéressant à l’étape clé de la création d’un socle technique adéquat pour l’entreprise.
Faire abstraction des limitations organisationnelles et techniques du on premise
Avant de transporter les applications dans le Cloud, il faut définir à minima l’environnement réceptacle de ces dernières. Cet environnement doit se préparer avec une urbanisation prédéfinie et évolutive, permettant de mettre à disposition des applications tous les nouveaux services proposés par le Cloud.
Pour construire ce nouveau socle technique, ce datacenter virtuel, il faut commencer par faire abstraction des limitations organisationnelles, techniques (voire sécuritaires) imposées au monde « on premise » qu’il faut éviter de reproduire à l’identique dans le Cloud.
Outre la mise en place de la gouvernance de sécurité des systèmes d’information, il convient de faire évoluer la sécurité d’une approche périmétrique à une approche objet par objet. Les objets du Cloud embarquant chacun la sécurité des services qu’ils proposent.
De même, les choix d’architecture globale devront évoluer vers des considérations au cas par cas. En effet, les éléments ou objets du Cloud sont résilients par nature.
Les « services » du Cloud étant fournis objet par objet, service par service, voir appel de fonction par appel de fonction, il est primordial de définir une norme d’étiquetage (de labelling, de taggage) de chaque objet, de chaque service, de chaque fonction, afin de permettre l’identification de chacun d’entre eux. Ceci permettra de les regrouper, de cadrer le périmètre d’une application et des services support de cette dernière, mais aussi et surtout d’en évaluer le coût réel et complet.
L’importance de solutions d’interconnexion indépendantes
Le Cloud (et en particulier le Cloud public) sous-entend Internet, les services présentés doivent donc être accessibles à travers Internet. Afin d’assurer une qualité de bout en bout, il convient de dissocier présentation des services et accès aux applications. L’accès aux applications et aux services pour l’entreprise doit nécessairement se faire par une interconnexion privée et dédiée qui reliera le nouveau datacenter virtuel et l’infrastructure existante, soit par le cœur de réseau de l’entreprise chez son opérateur Télécom, soit par le datacenter « on premise ».
Chaque fournisseur de service Cloud propose ce type de service, il est cependant préférable de choisir des solutions d’interconnexion indépendantes pour préserver l’évolutivité nécessaire et permettre ultérieurement d’interconnecter éventuellement plusieurs services Cloud chez divers hyperscalers ou sur leur propre plateforme. (multi providers…).
La (re)-construction du datacenter se faisant à partir d’une page blanche, il sera judicieux de mettre à disposition des applications les services de base :
- Du type ESB/API Gateway pour reprendre la main sur tous les flux et leur traçabilité,
- Un Bastion pour contrôler l’accès aux infrastructures et procurer une traçabilité de tous les actes réalisés par les infogérants,
- Des ordonnanceurs,
- De l’automatisation,
- De l’orchestration centralisant tous les travaux et assurant l’évolution à venir vers l’intégration, le déploiement et la livraison en continu…
Les apports du Cloud tels que l’évolutivité, l’usage à la demande, les mises en place ultra rapides (pour ne pas dire instantanée dans quelques cas) et surtout les nouveaux outils d’automatisation et d’orchestration offrent de nombreuses possibilités d’optimiser les processus existants afin de rendre les équipes plus efficientes. Cela entraînera une évolution des organisations vers une informatique industrialisée et optimisée.
Supervision, accès aux applications, sauvegarde…
Les fournisseurs de services Cloud ouvrent de facto l’accès à des outils de supervision de chaque objet (d’où l’importance de taguer avec précision chaque objet). C’est pourquoi les outils de supervisions doivent évoluer pour se tourner vers les contrôles des points de fonction métier (ce qui est simplifié par la reprise en main des applications) complétés d’outils de contrôle permanent d’intrusion.
Des solutions d’accès au système d’information de l’extérieur ou de virtualisation des applications existent dans les catalogues de services des fournisseurs de Cloud. Il peut s’avérer bénéfique de repenser l’accès à ses applications en utilisant ces services généralement proposés en mode PaaS (services managés) à travers des accords avec des éditeurs tiers.
Un dernier point, et non des moindres, à prendre en compte dès le démarrage, est la sauvegarde/archivage. Des solutions de stockage hiérarchisées sont proposées sur le Cloud, il est alors opportun de repenser sa politique de sauvegarde et d’archivage afin de la migrer dès le début dans le Cloud. Un point d’attention à prendre en compte est le fait que la tarification diffère selon les modes de stockage choisis : il faut donc bien identifier l’usage du stockage des données au sein de l’organisation et choisir les bonnes classes de stockage offertes par l’opérateur Cloud. Cela évitera aussi les surprises en matière de facturation…
Bien entendu, tous les services proposés ci-dessous devront au maximum être des services natifs dans le Cloud avec des solutions en SaaS ou en PaaS, proposés par les nouveaux protagonistes du Cloud. L’évolution de solutions « on premise » vers ces solutions est souvent rentable du fait de la baisse des coûts de maintenance et/ou le passage en mode full service.
Synoptique du datacenter dans le Cloud, une architecture sous contrôle :
Les Cloud Management Platform pour simplifier la gestion d’un environnement complexe
Parvenu à ce point, l’interconnexion de multiples technologies crée potentiellement un environnement « complexe » où il est nécessaire de maintenir les objectifs d’évolutivité et de performance. Des outils de gestion existent pour répondre à cette nécessité, il s’agit des CMP (Cloud Management Platform), ils ont pour objectif d’en simplifier cette gestion.
Les CMP sont des solutions logicielles permettant de gérer de manière unifiée et centralisée diverses plateformes de Cloud : publiques, privées ou hybrides, voire des plateformes traditionnelles « on premise ». Elles apportent la couche d’abstraction nécessaire au-dessus de ces environnements distincts, avec lesquels elles s’interfacent pour les piloter. Ces CMP permettent entre autres d’automatiser, d’orchestrer du provisioning ou encore de répartir les charges et de mesurer la consommation.
Elles proposent aussi des catalogues de services, des workflows de validation, ou encore la gestion de la facturation. Ces outils apportent alors toute leur valeur ajoutée en rassemblant en un seul service une gestion transparente et standardisée de multiples technologies.
Cette phase de définition du socle technique doit prendre en compte les exigences de sécurité et prévoir des cadres (framework) de sécurité prédéfinis en fonction du niveau de classification des applications. En effet, la migration des applications dans le Cloud engendre le déplacement du barycentre des rôles et responsabilités en matière de gestion des plateformes. Pour maintenir un niveau de maîtrise en lien avec le niveau de risque que peut représenter une application, il conviendra de repositionner les mesures de sécurité. Par exemple :
- Application publique : utilisation des fonctions de sécurité standards proposées par le fournisseur Cloud sans autre sécurité additionnelle,
- Application sensible : utilisation des fonctions de sécurité avancées proposées par le fournisseur Cloud (système d’authentification, HSM du fournisseur Cloud…) et déports des fonctions de supervision de la sécurité à la main des équipes de l’entreprise,
- Application très sensible, voire critique : déploiement de fonctions de sécurité spécifiques à la main des équipes sécurité de l’entreprise (système d’authentification, HSM, Firewall, sonde d’inspection de flux…),
Nota : Lors de l’évaluation, il est rappelé que certaines applications ne partiront pas dans le Cloud, il ne faut donc pas prendre en compte leur criticité ou leur particularité pour définir les mesures de sécurité du reste du patrimoine applicatif.
Cette phase doit inclure tous les éléments précités comme la liste des données traitées, des traitements effectués, des accès… afin d’adapter toute la partie data protection (contrats avec le prestataire, information des personnes concernées, niveau de sécurité adaptée, minimisation des données, procédures à implémenter).
Dans ma prochaine chronique, nous nous intéresserons à une question qui a fait couler beaucoup d’encre ces dernières années : la réversibilité. Les réflexions sur le sujet sont au cœur de la 6e étape d’un parcours move-to-cloud efficace.