Par Arnaud Lemaire, Manager Ingénieur systèmes, F5 Networks
Dernier terme à la mode chez les DSI, la notion de « Edge Computing » peut se traduire par « informatique périphérique ». Mais que l’on se rassure, on ne parle pas ici de l’autoroute urbaine parisienne souvent congestionnée. Au contraire, l’informatique dite « périphérique » est en pleine expansion et elle n’est pas près de rouler au pas !
Avec l’augmentation du traitement des données à la périphérie du réseau, l’on commence à voir apparaître de toutes nouvelles connexions permettant de réduire la latence, d’augmenter la bande passante et d’accélérer considérablement les temps de réponse. Et l’on parle bien ici de connexions nouvelles : des liens qui n’existaient pas jusqu’à présent entre un client et la ressource qui traite les données réclamées.
Cela, bien sûr, est une très bonne chose. Du moins, si tous les contrôles de sécurité nécessaires sont en place.
Car la décision de déployer des applications à la périphérie ne doit pas être prise à la légère, ou considérée comme une simple extension du cloud computing. C’est une erreur, par exemple, de supposer que les contrôles de sécurité traditionnels – tels les inévitables pare-feux que l’on met à toutes les sauces – sont suffisants.
La réalité de l’informatique périphérique est très différente. Dans ce modèle, l’application et ses données sont réparties sur plusieurs sites, ce qui augmente considérablement la surface d’attaque. En outre, et parce qu’ils sont beaucoup plus nombreux, les nœuds « Edge » peuvent également ne pas être déployés dans des emplacements centraux et sécurisés, qui coûtent plus cher, mais dans des lieux plus modestes. Ce qui bien sûr les rend plus vulnérables au risque d’intrusion physique.
Comme partout, il est bien entendu crucial de fournir les bons modèles de protection où que se trouvent les applications. Ce qui change ici, c’est qu’avec l’informatique périphérique l’application se trouve largement plus disséminée qu’auparavant. Il est donc impératif de lui offrir, au-delà d’un filtrage réseau de niveau 2 qui peut être généralement offert par les équipements eux-mêmes, un filtrage applicatif de niveau 7 (via un WAF, un pare-feu applicatif Web par exemple) individuel, capable d’être projeté de manière simple, automatisée et sur de « petites » applications. Ce n’est donc pas tant la technologie de filtrage elle-même qui importe ici (du moment qu’elle a fait ses preuves, bien sûr) que sa capacité à être déployée de manière simple et rapide, et d’être administrée de manière unifiée à travers un nombre important de petits déploiements.
Aller de l’avant
L’importance de développer une approche sécuritaire adaptée à ce type d’environnement ne fera évidemment que croître au fur et à mesure que des cas d’usages de l’informatique périphérique verront le jour. Mais l’on peut déjà citer quelques bons exemples.
Le secteur manufacturier, par exemple, nous donne un aperçu à la fois de la portée de cette technologie et de la sévérité du risque. Dans cette industrie, une approche automatisée et intelligente de la fabrication basée sur les données est en train de s’imposer, permettant d’obtenir des informations en temps réel pour la prise de décision rapide dans des scénarios critiques – en particulier pour ce qui concerne la robotique alimentée par l’intelligence artificielle. Dans l’un des scénarios de risque étudié, un pirate pourrait reprogrammer des algorithmes d’apprentissage machine pour prendre le contrôle de la robotique d’une usine et la détruire.
Autre exemple : les applications de réalité augmentée (RA) et de réalité virtuelle (RV) intègrent nativement de l’informatique périphérique en tirant partie de sa bande passante élevée pour offrir une grande réactivité. Cependant, si les mesures de sécurité ne sont pas à la hauteur, les pirates pourraient bientôt prendre le contrôle des écrans et transformer une expérience immersive inoubliable en un véritable cauchemar pour l’utilisateur… et le fournisseur de l’équipement.
Pourtant, bien que les risques soient nombreux, les promesses de l’informatique de pointe l’emportent haut la main. On va donc y aller… et il ne reste plus qu’à en sécuriser correctement les déploiements.
La bonne nouvelle c’est que l’informatique périphérique peut aussi simplifier la gestion de la sécurité, car elle permet de savoir plus clairement d’où proviennent les données et où elles vont, ou encore de les conserver à proximité. Dans le modèle centralisé traditionnel, tout va vers un centre de données central ou un système en nuage. Il devient alors plus difficile de surveiller et de protéger les données au fur et à mesure que les volumes augmentent. Les serveurs Edge, quant à eux, peuvent décharger les périphériques connectés de nombreuses tâches en mettant en cache des informations essentielles, à l’image d’un petit nuage privé, et les données peuvent alors être non seulement accessibles localement, mais aussi mieux contrôlées.
Cependant, pour bien sécuriser les nœuds « Edge », en plus du filtrage applicatif, il est essentiel d’investir dans l’automatisation. Dans le cas contraire, il sera impossible de garantir que des politiques de sécurité cohérentes seront déployées sur une architecture informatique aussi massivement distribuée. Par exemple, à peine une application est déployée dans un nouvel emplacement périphérique, grâce à l’automatisation les contrôles réseau et de sécurité appropriés peuvent s’appliquer automatiquement, sans risque d’oubli.
Évidemment, l’automatisation passe obligatoirement par le recours à des API (Application Programming Interface) qui deviendront de fait de plus en plus nombreuses. Ce qui implique que ces dernières soient correctement protégées – un nouveau chantier à prendre en compte !
Alors, certes, comme avec toute nouvelle approche technologique, les décideurs doivent éviter de sauter à pieds joints dans les promesses de l’informatique périphérique sans en comprendre réellement les tenants et les aboutissants et sans savoir en quoi celle-ci pourra les aider à atteindre leurs objectifs. Mais les promesses de cette nouvelle tendance technologique sont trop belles pour l’ignorer. Il faudra alors déployer les bonnes mesures de sécurité et les bons contrôles, en comprenant la nature foncièrement différente des nœuds « Edge ». Les outils et les solutions pour y parvenir sont là… il n’y a plus qu’à inventer les cas d’usages de cette nouvelle informatique ultra-décentralisée.