Bonjour à tous !

Le VMworld 2018 a été particulièrement important pour moi cette année. Il a confirmé définitivement un certain nombre d’orientations et nécessités de transformation nous concernant. Après avoir travaillé ces dernières années à consolider et industrialiser nos environnements de virtualisation avec les technologies vSphere et plus récemment VSAN/VxRail, notre service de cloud privé et notre activité d’hébergement IAAS autour de vCloud Director, il était en effet temps que VMware NSX devienne, au même titre que les précédents choix technologiques, notre nouveau cheval de bataille. Certes, cela fait déjà 3/4 ans que nous disposons d’instances NSX, mais jusqu’à présent elles sont cantonnées à des usages très précis et limités.

Il faut savoir que l’IT du milieu hospitalier est aujourd’hui face à deux challenges majeurs : la constitution des Groupements Hospitaliers de Territoire (aka GHT) annonçant mécaniquement le regroupement – à terme – de la majorité des ressources informatiques sur des sites de production centraux ainsi que la nécessaire accélération dans l’adoption du “tout numérique” pour retrouver des marges de manœuvre en matière d’attractivité et de productivité (et accessoirement de résistance au privé… nous sommes désormais en concurrence quasi frontale, qu’on le veuille ou non, que ce soit souhaitable/légitime ou non… mais c’est un autre débat).

L’informatique fait nécessairement partie de l’équation du ROI global de l’institution (même si certains décideurs n’en sont pas encore convaincus, en 2018, misère …) pour soulager autant que faire se peut les services de soins des tâches “non médicales” … et Dieu sait qu’ils en ont besoin en ce moment. Pour pouvoir accompagner cette transformation, qui a déjà débuté il y a longtemps en fait, les services informatiques n’ont d’autre choix que suivre et même la plupart du temps anticiper les évolution technologiques (c’est un point de vue que je partage avec moi-même, en tout cas ^^), pour rester “en avance” des besoins et ne surtout pas courir après, tout supportant la courbe de croissance des applications existantes (+15/20% en moyenne par an !)

NSX fait désormais partie intégrante de cette stratégie, de notre point de vue, et malgré les contraintes budgétaires très fortes, nous devons absolument l’intégrer à notre production principale à moyen terme.

Voici pourquoi.

La première raison est avant tout technologique et conceptuelle : J’en ai déjà longuement parlé et vous connaissez sans doute tous le discours : VMware NSX est au réseau ce que VMware ESX/ESXi a été avec les serveurs physiques, un moyen de simplifier, automatiser et consolider les différents environnements autour d’un noyau unique, générique et évolutif rapidement. Le Software Defined Network est donc de toutes façons une évidente nécessité, comme l’a progressivement été la virtualisation du “compute”.

Deuxièmement, nous nous sommes protégés pendant des années, via des solutions pare-feu, antivrus, IDS etc., des attaques extérieures, considérant (au départ à juste titre), que notre LAN (avant même le WIFI), était un espace de confiance, par opposition aux réseaux Internet et publics plus généralement. Or, depuis un moment déjà, ce principe ne tient plus. Ceci conduit mécaniquement à envisager sérieusement de protéger le datacenter du LAN (en plus de sécuriser le LAN lui même avec des solutions NAC). Malheureusement pour nous, la solution de placer un firewall classique en tête de pont des accès DC se révèle potentiellement ruineuse, les flux réseaux LAN->DC n’ayant strictement rien à voir avec les flux Internet/Public->DC : beaucoup plus de volume, beaucoup plus de flux non maîtrisés où non cartographiés historiquement. C’est là que la micro-segmentation de NSX (et des SDN en général) entre en jeu et permet, de manière granulaire, de définir la politique d’accès et de sécurité de chaque workload, chaque application, chaque VM, tout en maintenant une approche centralisée dans la gestion de ces règles.

Troisièmement, l’arrivée des GHT nous appelle à faire preuve de beaucoup de réactivité et de souplesse en matière d’interconnexion et d’adaptation des réseaux existants, malgré la pression politique “d’aller vite”. En effet, nous sommes souvent confrontés à des demandes réclamant un ROI très rapide, alors que le socle définitif n’est même pas encore décidé, ni a forcieri en place. Là encore, les fonctions micro-segmentation, d’isolation réseau, d’extension de domaines de VLAN du datacenter à des site distants, les fonctions SD-WAN et les Edge Firewall, peuvent énormément nous aider dans la réponse rapide à ces enjeux.

Enfin, il est également grand temps que nos nombreuses applications (environ 250 chez nous) puissent être mieux maîtrisées au niveau réseau pour éviter des phénomènes Est-Ouest d’effets domino ou même soulager les grands pare-feux périmétriques Nord-Sud en déportant le filtrage générique vers des fonctions SDN distribuées. On envisage également d’utiliser des fonctions avancées de virtual patching ou de protection contre les failles applicatives classiques (SQL Injection, par exemple) directement sur les VMs concernées, afin de circonscrire au maximum les tentatives d’attaques de haut niveau. Bref, NSX va nous aider à parfaire encore plus nos systèmes de protection actuels.

Pour toutes ces raisons, notre choix est désormais clair, étant équipés des technologies VMware sur l’ensemble de nos environnements de production, l’année 2019 sera celle de NSX-T.

Alors, pourquoi NSX-T et pas NSX-V me direz-vous ? Et bien… cela fera partie d’un prochain article, pardi ! #TeaseTonBillet :)

Un dernier petit mot relatif à une actualité brûlante : VMUG France organise à Nantes, le 31 Janvier 2019 prochain, une matinée dédiée à NSX justement. Je ne peux que vous inviter à d’ores et déjà réserver le créneau, je vous publierai un petit billet dès que tout sera en place (lieu, intervenants, programme détaillé), mais sachez que vous aurez droit à des experts du domaine chez VMware à qui vous pourrez poser toutes vos questions !