Juniper Networks engage les entreprises à automatiser leurs réseaux

Ne plus se contenter de pousser des équipements réseau physiques

Commercialement, Juniper Networks poussera, au niveau monde, ses intégrateurs dès le 1er janvier 2018 à travailler sur le design de réseaux automatisés, plutôt qu’à simplement vendre les routeurs et firewall de la marque. Thomas Desrues estime que des grandes entreprises (opérateurs, banques) auront concrétisé l’automatisation de leur réseau dès la mi-2018.

Techniquement, la plateforme de réseau virtuel de Juniper, Contrail, arrive ces jours-ci dans une nouvelle version dont les deux principales caractéristiques sont l’intégration des outils d’AppFormix (racheté par Juniper l’année dernière) et le déploiement sur une base OpenStack de Red Hat. L’intérêt de l’OpenStack de Red Hat est qu’il est livré avec un système de boîtiers réseaux virtuels, dont des NFV avec le support du protocole BGP d’interconnexions de datacenters ; ce logiciel est la clé pour faire sortir le réseau virtuel de son datacenter d’origine. La plateforme AppFormix permet quant à elle de surveiller le trafic d’un SI multi-tiers et d’automatiser l’application de règles particulières à chaque événement (cyberattaque, extension vers un autre Cloud...).

À terme, il est question de connecter Contrail à une multitude de services tiers, là pour déployer en quelques minutes le SD-WAN d’un opérateur par simple téléchargement d’une image virtuelle, ou, là, pour enrichir les firewalls de Juniper avec des moteurs en ligne d’analyse des malwares.

Contrail existe depuis quatre ans chez Juniper et se décline en une version Open Source, OpenContrail, que l’on peut rencontrer dans certains déploiements d’OpenStack. La plateforme fournit un contrôleur SDN (Software Defined Network), des routeurs virtuels, un moteur d’analyse du trafic ainsi qu’une batterie d’API pour piloter toutes ses règles depuis des applications tierces qui, elles, se chargent des automatisations. Jusqu’à présent, Contrail était déployé sur une base OpenStack Ubuntu et il servait surtout à découper le réseau physique d’un site en plusieurs réseaux virtuels.

L’hébergeur Castle IT automatise pour simplifier l’orchestration des règles

Yoann Thomas, directeur technique de l’hébergeur Castle IT, que le MagIT a rencontré lors de l’événement parisien de Juniper Networks, n’a pas encore déployé la nouvelle version de Contrail qui permet d’étendre les règles réseau au-delà du firewall. Mais il a suffisamment creusé les possibilités des technologies Juniper pour donner une idée des bénéfices d’un réseau automatisé dans le cadre de ressources virtuelles exécutées en Cloud.

« Nos clients sont essentiellement des infogéreurs qui stockent chez nous les VM de leurs clients et leur dédient des routeurs virtuels sur lesquels ils configurent le NAT, le firewall et bientôt le VPN MPLS. Ces infogéreurs nous choisissent car nous leur offrons une console d’orchestration simple, utilisable avec peu de connaissances techniques. C’est une application graphique où tout est automatisé, que nous avons nous-mêmes développée en Java et qui envoie des règles en XML au matériel réseau via les API REST de Juniper. Sans ces API, il aurait fallu passer par du Netconf et des scripts Python pour configurer manuellement les réseaux virtuels, et rien n’aurait été simple pour personne », raconte-t-il.

Yoann Thomas explique que plus les manipulations sont complexes, plus il faut mobiliser du personnel sur la gestion du réseau et plus le risque est élevé de se retrouver avec un réseau sensible aux erreurs et aux attaques. Le Cloud hybride démultipliant la complexité, Juniper Networks assure à ses clients qu’il serait suicidaire d’y aller sans automatisation.

L’entreprise Securitas sensible à l’argument d’une meilleure sécurité

En France, Juniper Networks joue plus particulièrement sur la corde sensible de la sécurité des SI en avançant que les firewalls posés à leurs extrémités ne suffisent plus à les protéger. « Notre stratégie va au-delà du SDN, nous parlons de SDSN (Software Defined Secured Network). Cela consiste à dire que la sécurité périmétrique a ses limites et qu’une couche d’intelligence logicielle sur tous les équipements du réseau, quelle que soit leur marque, est plus efficace. D’autant plus si cette couche est connectée à des bases de données en Cloud qui répertorient les attaques », précise Thomas Desrues, en indiquant que ses clients français équipés de matériels estampillés SDSN ont capté l’offensive WannaCry en 90 secondes.

LeMagIT a pu rencontrer lors de l’événement parisien au moins un client auprès duquel ce discours a fait mouche. « Nous sommes sensibles au fait d’avoir des équipements alignés sur la subtilité des menaces. Nous nous contentions jusqu’ici, comme tout le monde, de déployer des firewalls et des antivirus. Mais avec l’ouverture vers des applications en Cloud et, maintenant, des salariés qui travaillent depuis chez eux sur des PC que nous ne pouvons pas sécuriser, nous étions arrivés à la limite du modèle », témoigne ainsi Olivier Soulabaille, le DSI de Securitas France, présent à l’événement parisien et qui vient justement de déployer des équipements Juniper Networks de dernière génération.

« Mon équipe de 5 personnes doit maintenir l’informatique de 800 sites en France. Quand nous subissons une attaque, toute l’équipe est en deux secondes entièrement mobilisée sur le moyen de la résoudre et nous ne pouvons plus rien faire d’autre. Il est donc important à ce moment-là d’avoir de l’aide et de l’optimisation. En l’occurrence, l’équipement Juniper va bloquer automatiquement les bons ports sur tous les sites, sans que nous ayons besoin d’intervenir sur chacun d’eux. Mais avant ça, toutes les pièces attachées dans les e-mails sont automatiquement scannées par un service en ligne avant d’être délivrées à nos utilisateurs ; ce qui limite les possibilités d’offensive et nous libère donc du temps pour accompagner les métiers sur des tâches plus essentielles pour eux », raconte-t-il.

Olivier Soulabaille émet cependant un bémol : « La limite de ce déploiement et que, aujourd’hui, pour tout automatiser, il faut encore avoir du Juniper partout », lance-t-il. Un fait que Thomas Desrues ne conteste pas : « Nous en sommes à la version 2.0 du SDSN. D’ici au milieu de l’année prochaine, nous aurons une version 3.0 compatible avec plus de technologies tierces. Nous parlerons à ce moment-là d’accélération du WAN », répond-il.

Une stratégie qui ne portera ses fruits que dans deux ans

Pour Olivier Soulabaille, être en avance sur la question des réseaux automatisés façon SDSN était une question d’image : « notre métier est la sécurité physique. Il en allait de notre crédibilité de montrer que nous sachions prendre des mesures pour assurer aussi notre propre sécurité », dit-il. Mais selon une étude d’IDC récemment commandée par Juniper Networks, il faudra attendre encore deux ans avant que les entreprises ne s’intéressent sérieusement à la question d’automatiser leurs réseaux, alors qu’elles passent déjà au Cloud hybride.  

« Pour l’instant, les entreprises se focalisent sur l’automatisation du déploiement en Cloud des serveurs, du stockage et de la sauvegarde puisque ceux sont eux qui ont été virtualisés en premier et cela restera le cas jusqu’en 2020. De fait, les efforts d’automatisation du réseau existent surtout aujourd’hui dans le monde des télécoms et celui des producteurs d’énergie, où 60% des acteurs ont déjà automatisé des parts importantes de leur réseau à des fins de sécurisation et d’optimisation d’infrastructures critiques. Une raison en particulier qui les a incités à prendre les devants est l’émergence d’objets connectés dans leurs offres de service », commente Chris Barnard, en charge des secteurs télécoms et réseau en Europe pour IDC.

Le repositionnement stratégique de Juniper autour de l’automatisation des réseaux s’inscrit dans le cadre d’une fin d’année aux résultats financiers décevants. Juniper Networks a atteint 1,26 milliard de CA pour le troisième trimestre de l’exercice en cours, alors que les estimations les plus basses étaient de 1,32 milliard de dollars. Il est à noter que le concurrent Cisco est dans la même situation : il a vu les ventes de ses switches et routeurs physiques chuter de 9% ce trimestre et pense, lui aussi, que l’interconnexion automatique des Clouds est un possible relai de croissance.

Juniper Networks estime que son CA devrait être d’environ 1,23 milliard de dollars au quatrième trimestre de son exercice, avant de redécoller doucement l’année prochaine, grâce au réseau virtuel.