SDSI 2018-2022 : SDDC, convergence IP et ultra mobilité

Ca y est, nous sommes à la croisée des chemins. Depuis 5 ans, nous déroulons notre schéma directeur datacenter 2012-2017. Dans l’ensemble, nous avions bien anticipé en 2011, lors du précédent, les transformations de l’IT (l’avènement du Full-Flash, notamment). Il est temps maintenant de refaire l’exercice – difficile – de se projeter sur les 5 prochaines années. Elles seront cruciales pour nous car elles devront préparer et accompagner notre institution aux bouleversements annoncés : l’Hôpital Numérique, 80% d’ambulatoire (hospitalisation sur une journée) et le déménagement dans de nouveaux locaux à partir de 2025. Imaginez le cauchemar logistique du transfert d’environ 3000 lits et 12000 personnes si l’informatique ne suit pas …

Après les premières réflexions il y a quelques mois (voir ici), il est désormais temps de prendre les bonnes directions, autant du coté des accès utilisateurs que du coté datacenter ou du réseau.

Réseau : consolidation, convergence IP, sécurisation, micro-segmentation

Sans réseau, pas d’informatique. Cela parait une évidence, mais ça va mieux en le rappelant, surtout aux maîtrises d’ouvrage et aux directions. Effectivement, on oublie souvent que le réseau d’une entreprise est l’épine dorsale de toute fonction informatisée, qu’il soit LAN, WAN, filaire ou sans fil (on l’oublie parce qu’il marche bien, en général ^^). De plus, un réseau IP aujourd’hui doit être particulièrement intelligent et sécurisé si on souhaite lui faire porter d’autres services que de la donnée traditionnelle. Si l’on prend l’exemple de la ToIP, il faut prendre en compte le fait que certaines procédures dégradées, en cas de problème applicatif quelconque, reposent encore en grande partie sur de la communication papier et téléphonique : comment faire pour maintenir ce service universel, ou à défaut, quels autres moyens de communication employer ?).

D’autre part, même si la visio institutionnelle existe depuis longtemps chez nous, on voit aussi se développer la visio personnelle (Skype, stations visio-ready) et les conférences web, en parallèle du tchat. Ces nouveaux médias de communication sont d’ailleurs les meilleurs alliés du télé-travail, qui va indéniablement se démocratiser dans les années qui viennent.

Ensuite, si le Wifi a toujours été considéré et perçu, par définition, comme un réseau très exposé aux attaques et intrusions extérieures, ce n’était pas le cas du LAN (au grand dam des informaticiens, très souvent). Sauf qu’avec l’arrivée tonitruante des malwares de type crypto-lockers, la donne est en train de changer. Les worms ne datent pas d’hier, c’est vrai et certains se souviennent avec douleur de Magister-B ou Comficker ; il n’empêche, la criminalisation des virus (chiffrement et demande de rançon) a fait plus évoluer les mentalités en 1 an que les DDoS ou les perte de données ponctuelles en plus de 10. C’est une opportunité pour nous d’appuyer encore plus sur l’impérieuse nécessité de sécuriser le réseau filaire au moins tout autant que le réseau Wifi et obtenir le financement d’un NAC global.

Si l’on rajoute à cela une montée très régulière des débits applicatifs (vidéosurveillance, imagerie médicale, génétique, flux vidéo HD/4k), il devient obligatoire de grandement faire évoluer notre réseau, autant du coté du datacenter (protection des serveurs) que du coté capillaire vers les accès client.

Notre SDSI a donc trois grand axes de développement pour notre réseau :
– La mise en place de la micro-segmentation grâce à la mise en place d’un SDN (VMware NSX)
– La généralisation du NAC sur le réseau filaire
– La montée en débit de toutes nos liaisons (passage de 10 à 40 GBit/s)
– La généralisation de la ToIP et plus généralement, l’ensemble des modes de communication inter-personnels sur un réseau mutualisé Voix/Données/Images
– Consolidation physique du réseau, augmentation de la redondance et de la tolérance à tout type de panne (physique ET logique)

Stockage et “compute” : en avant toute vers l’hyper convergé

Cloud privé et Hyper-convergé ! Voici les maîtres mots de notre orientation pour les prochaines années en ce qui concerne la puissance de calcul. De ce point de vue, je ne vous referai pas l’article complet d’autant que j’en parle beaucoup au fil de mes divers publications sur vBlog.io, cependant, il me parait important de mettre en avant certains points qui nous ont conduit à choisir la voie de l’hyper-convergé.

Il est vrai d’ailleurs que ma position à pas mal évoluée par rapport à mes premières réflexions (notamment autour des use-cases) sur le sujet, tout comme le marché du HCI d’ailleurs. Les solutions on énormément gagné en maturité et donc en souplesse en l’espace de 2/3 ans. Désormais, plus rien ne s’oppose à une adoption massive du HCI pour les productions généralistes avec volumétries moyennes, consommation de compute moyenne. Il faut rester vigilent sur les usages spécifiques ayant des pré-requis “déséquilibrés” (peu de compute et énormément de stockage, ou l’inverse), mais globalement, le HCI semble être la solution idéale pour le “tout venant”.

Coté stockage, d’ailleurs, la vision simple, voire simpliste, d’un pool unique auto-géré disposant des fonctions de tolérance aux pannes locales et de PRA/PCA est particulièrement élégante dans une optique de provisionnement automatique et de cloud privé : le SLA est appliqué de manière granulaire, à la VM ou au conteneur, son respect étant délégué au système SDS sous-jacent. Plus de SAN design, plus de placement spécifique en fonction du niveau de service, on gère la capacité et la contention globalement, sans rentrer dans le détail par application.

Coté compute, on travaille déjà depuis longtemps dans un mode granulaire avec les outils VMware mis à notre disposition depuis pas mal d’années (DRS, priorisation, réservations etc.) et le passage au HCI sera totalement transparent.

Par exception, pour les workloads déséquilibrés, nous auront toujours la possibilité de créer des clusters HCI spécifiques ou utiliser notre Entreprise NAS Isilon pour le stockage en volume. Nous conserverons également un environnement legacy (Host/SAN/Baie) pour les applications impossibles à migrer vers du full virtuel aujourd’hui ou travaillant sur des technologies non x86 (AIX par exemple).

Au final, voici les grands chantiers que nous avons prévu :
– Construction d’un nouveau HCI en stretched cluster pour le tout-venant (environ 1000 VMs aujourd’hui)
– Entretien de notre environnement legacy (renouvellement des switchs FC, renouvellement de notre VPlex)
– Mise en place progressive d’un IT Store pour le provisionnement et la gestion automatique du cycle de vie de nos environnements virtuels
– Montée en puissance de notre Isilon

Accès clients : ultra-mobilité, télé-travail, transparence

Un des plus gros challenge de ces prochaines années pour nous sera de proposer des solutions d’accès client à notre SI les plus ergonomiques, transparentes et sécurisées possibles.

C’est particulièrement le cas pour l’ultra-mobilité – tablettes et smartphones – dont l’usage est encore limité chez nous à la messagerie, le tchat et quelques applicatifs full-web. Toute la difficulté consiste en pratique à pouvoir séparer l’activité professionnelle de l’usage personnel au sein de ce type de terminal. Même si nous proposons aujourd’hui des terminaux managés et achetés par l’institution, il est possible que ce ne soit plus le cas à l’avenir, d’autant que certains utilisateurs emploient déjà des smartphones personnels. Dans ces conditions, il est impossible d’imposer à l’utilisateur des contraintes fortes dans l’usage de son propre terminal, contrairement à celui mis à disposition. La solution logique consiste donc à déployer un environnement applicatif complet à partir d’un portail captif unique (VMware Workspace One par exemple). Cela autorise du même coup à chiffrer automatiquement les données présentes localement sur le smartphone ou la tablette, fut-il personnel.

Par ailleurs, nous travaillons déjà à généraliser la fonction de télé-travail sur poste PC managé. La encore, la publication d’un environnement de travail en mode portail est une piste importante (via des technologies Citrix, Microsoft ou VMware), même si le tunneling et le client-serveur peut encore présenter un confort accru pour l’utilisateur (Direct-Access, VPN classique IPSec). Le choix à terme du type de solution dépendra en partie des débits et des possibilités offertes par les opérateurs de transit sur lesquels les machines sont connectées (4G, 5G, Fibre).

Eu égard aux données – très sensibles – que nos utilisateurs manipulent, il est obligatoire de coupler ces solutions à un moteur d’authentification à N-facteurs (N étant supérieur à 1, bien sûr ^^). C’est déjà le cas aujourd’hui pour la plupart des accès externes, mais la complexité de gestion des habilitations et les contraintes applicatives qu’il induit rendent sa généralisation difficile pour le moment. Malgré tout, cela fait partie de nos “sujets imposés” et nous devront à terme trouver un moyen d’étendre son usage à l’ensemble des ressources mises à dispositions depuis l’extérieur. Cela passera sans doute par l’adoption de technologies complémentaires et de facteurs d’authentification supplémentaires à ceux que nous employons aujourd’hui.

Enfin, l’IoT existe déjà dans certains domaines chez nous (pacemakers connectés, glucomètres etc.) et ces équipements devront être à terme gérés de la même manière que l’ultra-mobilité aujourd’hui. La aussi, il nous faudra adapter nos solutions pour prendre en charge ces nouveaux type de matériels autonomes, notamment en matière de sécurité.

Coté accès client, nous avons donc beaucoup de travail :
– Mise en place d’un portail professionel permettant d’accéder aux principales applications institutionnelles en ultra-mobilité (développement sur notre socle Airwatch)
– Extension/Généralisation de la solution de télé-travail existantes
– Développer les méthodes d’authentification N-facteurs pour les adapter aux contraintes applicatives (développement de la biométrie, pourquoi pas)
– Mettre en place des solutions de chiffrement des postes mobiles et ultra-mobiles
– Améliorer la traçabilité jusqu’au datacenter (flux réseau user-aware)
– Mettre en place des outils de gestion dédiés pour l’IoT “Santé”

Et comme si cela ne suffisait pas …

Vous l’imaginez sans peine, ce n’est là qu’une partie de nos chantiers d’infrastructure et il y beaucoup d’autres sujets qu’il faudra traiter durant les 5 prochaines années. Ceci étant, les grandes directions sont prises : SDDC pour le datacenter, portail sécurisé unifié pour tous les accès clients, consolidation de notre réseau, convergence IP.

Démarrer la discussion sur le forum vBlog.io