VDI étant synonyme de gains significatifs en termes de sécurité, d’efficacité énergétique et de transport des données, il s’affirme comme une technologie majeure pour les services IT ayant de gros besoins en performances. En apparence, il semble que l’intérêt suscité par VDI décline mais, pour un certain nombre d’analystes, la proposition a de beaux jours devant elle.

Renuke Mendis – Principal Technical Marketing Engineer, Extreme Networks.

Depuis toujours, les data centers ont été conçus pour des environnements physiques spécifiques. Il n’y a donc rien de surprenant à ce que les entreprises utilisent les outils et les schémas d’hier pour résoudre les problèmes d’aujourd’hui, notamment lorsqu’elles cherchent à virtualiser leur architecture de calcul. Pourtant, ces outils ne sont pas forcément adaptés à la virtualisation, surtout en matière de réseau. VDI, en revanche, s’affirme comme une brique technologique cruciale pour les nouveaux centres de données. On peut donc parier qu’il sera de plus en plus présent dans les infrastructures IT exigeantes. D’autant que les contraintes techniques que demande sa mise en place sont assez légères, notamment si l’on met en perspective les améliorations significatives qu’il peut apporter en matière de gestion réseau, de sécurité et d’efficacité énergétique.

D’après l’étude The Cloud-Based Virtual Desktop Infrastructure Market 2012-2017 publiée en septembre 2012 par VisionGain, on s’attend à ce que le marché du VDI se développe à un taux de croissance annuel moyen (CAGR) de 14,77 % jusqu’en 2015. Les grandes entreprises y sont en effet très sensibles en raison des économies que l’utilisation de stations de travail virtuelles promet en matière de support utilisateur, de gestion de parc et de consommation électrique.

Côté conformité aux normes de sécurité, VDI offre également une certaine assurance de continuité d’activité et de récupération de données. Mais pour cela, il requiert un contrôle strict de l’identification. La gestion des identités est en effet un aspect essentiel de la sécurité des réseaux puisque les utilisateurs peuvent, grâce à lui, se connecter au serveur de n’importe où et à partir de n’importe quel type de matériel. Des stratégies d’accès plus granulaires doivent ainsi être envisagées, fondées sur les fonctions des utilisateurs dans l’organisation, le type d’appareil et le lieu d’utilisation. Ce faisant, il revient au réseau de gérer la bande passante et les communications convergentes, et d’implémenter les différentes stratégies de sécurisation des couches indépendamment de l’équipement ou de l’application utilisés. Les réseaux anciens, incapables de gérer ces données, sont donc exclus de fait. Enfin, avant de passer au VDI, les gestionnaires de centres de données doivent anticiper ses répercussions sur les performances réseau de l’entreprise dans la perspective de réduction de coûts de fonctionnement et d’énergie.

Le VDI augmente l’efficacité énergétique

Si VDI doit son succès à l’explosion des tablettes et des smartphones, ce sont ses bénéfices architecturaux induits qui permettent de réduire la consommation électrique : les ressources étant centralisées et les débits au niveau des ports nettement augmentés, les données peuvent transiter en Ethernet jusqu’à 10 Gigabit/s (GbE) grâce à des switches de type châssis qui facilitent la concentration du trafic. Par ailleurs, toute la puissance du réseau est concentrée sur une seule couche noyau et non plus répartie sur plusieurs niveaux comme avec les systèmes GbE distribués, ce qui permet d’obtenir la bande passante nécessaire pour toutes les connexions. VDI est donc globalement plus puissant, plus facile à gérer, tout en étant d’une redoutable efficacité et particulièrement économe.

Comment faire converger la voix, la vidéo et les données ?

Une fois les questions de centralisation et de bande passante résolues, les services IT sont typiquement confrontés au problème de la convergence des médias : comment transporter de la voix, de la vidéo et des données en même temps ? La voix et la vidéo, en particulier, exigent un niveau d’intelligence et une gestion avancée de la qualité de service (QoS). Tout comme les réseaux traditionnels, VDI a besoin de gérer différents niveaux de priorité pour que les utilisateurs puissent bénéficier de flux continus sans accrocs. Les applications critiques telles que la téléphonie IP, l’e-learning, le multimédia… ne peuvent donc fonctionner que lorsque le réseau est réputé homogène et suffisamment dimensionné.

Comment sécuriser les déploiements VDI ?

Dans les réseaux VDI, les dispositifs de sécurité intégrés aux systèmes d’exploitation traditionnels disparaissent, ce qui rend d’autant plus nécessaires les processus d’identification, les règles de sécurité et la surveillance du trafic. Traditionnellement, les organisations s’appuient sur des dispositifs de sécurité classiques tels que différents niveaux d’identification, des systèmes Single Sign-On (SSO) et des répertoires LDAP. Pour celles qui passent au VDI, la sécurité, y compris en ce qui concerne l’identité, est simplifiée, centralisée et gérée par le réseau plutôt que par un système d’exploitation. Cette sécurité est assurée par un nouveau modèle – appelé “Identity-Aware Networking” (IAN) – que Jon Oltsik, Principal Analyst of Enterprise Strategy Group chez Extreme Networks, présente comme “une architecture réseau fondée sur les stratégies qui comprend et agit selon l’identité et la localisation des utilisateurs et des équipements.”

Avec l’IAN, le réseau rassemble les informations à partir de sources multiples, les intègre et permet aux services IT de les utiliser pour bâtir et renforcer les politiques d’accès. La richesse de ces données (utilisateur, équipement, localisation) se traduit pour les administrateurs en des stratégies d’accès réseau extrêmement granuleuses pouvant être fondées sur tout ou partie de ces informations ou d’autres données. Un directeur financier pourra par exemple avoir accès aux résultats trimestriels de son entreprise depuis son PC portable sur le réseau local ou à partir d’un ordinateur connecté par VPN depuis son domicile, mais pas depuis un autre appareil ou via un autre réseau. Un sous-traitant pourra accéder aux plans d’un projet d’ingénierie uniquement pendant les heures de travail, etc. Dans tous ces cas, l’identité de l’utilisateur et la localisation de l’appareil à partir duquel il accède au réseau sont des éléments fondamentaux pour la sécurité. L’IAN s’assure en premier lieu que l’utilisateur se connecte à partir d’un réseau fiable, vérifiant au passage si la connexion a lieu par câble ou par Wifi. En outre, en fonction de la localisation du terminal, par exemple à l’intérieur d’un même bâtiment ou entre deux bâtiments d’un même campus, les politiques d’accès au réseau peuvent changer. En plus de l’identité de la personne, l’IAN vérifie également quel équipement se connecte. Ce contrôle est important car les équipements susceptibles d’être utilisés (ordinateurs portables, tablettes ou smartphones, par exemple) ont des caractéristiques de sécurité et de performances différentes. Tout comme un sous-traitant peut voir son accès bridé pendant certaines heures, un ordinateur portable peut être géré de façon distincte par rapport au PC d’un employé qui se connecte à distance et répond aux critères de sécurité les plus élevés.

L’identification basée sur le réseau est associée à diverses informations telles que l’adresse IP, l’adresse MAC, les tags VLan et les sous-réseaux, qui peuvent tous jouer un rôle important dans l’identification de l’appareil – ce qui revient à dire que la sécurité au niveau de la couche réseau prend le dessus. Ces procédures d’identification vérifient un certain nombre de paramètres tels que le nombre d’entrées (identification et fonction utilisateur), les caractéristiques et les capacités du terminal, et la localisation de l’utilisateur ou de l’équipement. Dans la plupart des déploiements réseau, les administrateurs font leur maximum pour répondre aux besoins spécifiques de chaque utilisateur, en fonction des appareils mobiles qu’il peut être amené à utiliser. Des stratégies d’accès plus granulaires, dépendantes des fonctions des utilisateurs, du type d’équipement et de la localisation sont donc indispensables au niveau même du réseau – ce que VDI autorise. Une fois ces procédures implémentées, le réseau n’a plus qu’à dimensionner la bande passante, activer le niveau de sécurité requis, et gérer correctement les communications convergentes.

Bien que la virtualisation ait été initiée par un mouvement global de consolidation des serveurs, les technologies réseaux actuelles entraînent la virtualisation bien au-delà des serveurs ; elles deviennent le moyen idéal de centraliser l’infrastructure IT elle-même. L’évolution démarre au niveau des PC et des équipements sans fil de nouvelle génération qui prolifèrent dans toutes les organisations. Dans un monde globalement connecté, toute organisation a besoin d’un réseau permettant à tout utilisateur de consommer des applications et des services en toute sécurité, où qu’il se trouve et quel que soit le terminal utilisé. Pour ce faire, elles doivent pouvoir utiliser les profils utilisateurs dès la connexion et récupérer dynamiquement les données de localisation. Ce qui, dans un contexte où le respect de réglementations complexes devient la norme, permet aux services informatiques de consacrer moins de temps à la gestion des niveaux de sécurité et donc de se consacrer à d’autres tâches…

Le VDI exige une approche identitaire et un réseau plus informé. Mais dès lors que les gestionnaires de centres de données prendront conscience des avantages induits par de tels réseaux – réduction des coûts d’utilisation, économies d’énergie, identification fine des utilisateurs et des équipements, facilité d’utilisation… – sa progression sera inéluctable.