Cisco veut fondre le réseau dans la sécurité et le doper au Silicon One

Unifier l’administration de la sécurité et du réseau

Vendue au sein du package commercial Security Service Edge, la console d’administration en ligne Cisco Secure Access ne servait initialement qu’à définir les règles d’accès des succursales aux applications en ligne, en interaction avec la base en ligne Cisco Security Cloud.

À présent, Cisco Secure Access ouvre aussi automatiquement les interfaces SaaS de Cisco Catalyst SD-WAN, quand l’administrateur veut configurer ses différents liens vers des ressources en ligne, et de ThousandEyes quand il souhaite observer les goulets d’étranglement au niveau des liens, des services applicatifs et des appareils clients qui y accèdent. Ces deux dernières interfaces fonctionnent avec la base en ligne Cisco Networking Cloud.

Cisco a par ailleurs à cœur de rendre Secure Access indispensable en le dotant de trois fonctions dites d’intelligence artificielle. Il s’agit d’abord d’un chatbot baptisé AI Assistant qui permet de demander la création de règles d’accès en langage courant. On trouve ensuite un moteur d’analyse qui détermine à la volée si les données envoyées en cloud public exposent l’entreprise à des risques réglementaires. Et un troisième module qui, lui, décèle dans les e-mails entrants et sortants les intentions malveillantes.

Ces trois modules existaient depuis la fin de l’année dernière, au niveau de l’activité réseau d’un data center, dans la console d’administration Firewall Management Center & Defense Orchestrator, déjà censée réunir en une seule interface la gestion du réseau et la sécurité des accès.

En ce qui concerne Cloud Monitoring for Catalyst Wireless, il s’agit ni plus ni moins que de la console d’administration des bornes Wifi Meraki pour points de vente, qui prend désormais en charge les bornes Wifi Catalyst pour campus et même les switches Catalyst auxquelles sont reliées ces bornes. Parmi ces switches, on note d’ailleurs l’arrivée d’un nouveau modèle, le Catalyst 9300-M, capable de router une bande passante globale de 480 Gbit/s avec 24 ou 48 ports Ethernet cuivre en 1, ou 2,5 ou 5 Gbit/s côté bureaux, et 8 ports fibre en 10 ou 40 Gbit/s côté cœur de réseau.    

Au-delà des règles d’accès et de la surveillance du trafic réseau, la console se dote aussi de modules d’intelligence artificielle, cette fois-ci plus applicatifs. Il existe par exemple un module qui reconnaît les uniformes des personnes filmées par les caméras de vidéosurveillance, de sorte à détecter une intrusion sur un lieu sensible.

Mais si toutes ces annonces étaient attendues, la surprise est surtout venue d’un regain de marketing autour des puces d’accélération Ethernet Silicon One. Cisco les avait créées pour continuer à vendre des produits aux hébergeurs de cloud, lesquels préfèrent construire eux-mêmes leurs switches et leurs routeurs plutôt qu’acheter des équipements sur étagères. Puis, il n’en a plus du tout parlé lorsque la pandémie de Covid-19 lui avait fermé les accès aux usines asiatiques de semiconducteurs.

Interview de Michael Beasly, CTO réseau de Cisco

Pour y voir un peu plus clair sur le positionnement stratégique de Cisco concernant les réseaux, LeMagIT est allé à la rencontre de Michael Beasly (en photo ci-dessus), le directeur technique de Cisco responsable de la conception des produits réseau. Interview.

« Il s’agit de permettre aux entreprises qui achètent un firewall sur un site d’intégrer dynamiquement les règles de ce dernier à l’ensemble du réseau auquel accède l’entreprise. »

LeMagIT : Tout d’abord, pourquoi est-il important de conjuguer vos plateformes de sécurité et d’administration réseau ?

Michael Beasly : Parce que nous considérons que ce sera un élément différenciant sur le marché. Nous sommes les seuls à offrir autant de fonctions dans les deux domaines.

Nous avions commencé par intégrer des offres SASE, qui mettaient des fonctions de sécurisation des accès dans nos solutions de SD-WAN Meraki et Catalyst. C’est la base. Désormais, il s’agit de permettre aux entreprises qui achètent un firewall sur un site d’intégrer dynamiquement les règles de ce dernier à l’ensemble du réseau auquel accède l’entreprise, c’est-à-dire de ses succursales distantes jusqu’à ses services en cloud public.

C’est important, car conjuguer des règles de routage et de sécurité est si complexe que les administrateurs veulent les définir une bonne fois pour toutes et ne plus y toucher. Mais un réseau est dynamique. À un moment donné, vous allez utiliser un CRM en SaaS qui devra venir chercher des données dans votre data center.

Déployer des connexions avec des accès privilégiés éphémères pour ce genre de services est particulièrement difficile. Notre approche est de faire automatiquement circuler vos règles aux bons endroits du réseau.

LeMagIT : Mais, dans ce cas, pourquoi ne pas proposer une console unique ? Entre Secure Access, Cloud Monitoring for Catalyst Wireless, Cisco Meraki, DNA Center ou encore FSO avec Thousand Eyes et consort, votre catalogue est complexe.

Michael Beasly : C’est vrai, notre catalogue de produits peut paraître compliqué. Mais il reflète les usages particuliers de nos différents utilisateurs. Tout réunir sous une seule console est bien notre but, car nous sommes persuadés que c’est la clé pour simplifier la gestion des réseaux. Mais cela nous demande beaucoup de travail en amont pour être certain que cette simplification ne se fait pas au détriment des cas d’usage.

LeMagIT : Vous reparlez enfin des puces Silicon One. Avez-vous toujours l’objectif de les vendre aux hyperscalers ?

Michael Beasly : Non, ce n’est plus notre objectif principal. Le fait est que nous n’avons pas une présence suffisamment importante chez les hyperscalers, lesquels achètent des composants chez plusieurs fournisseurs pour fabriquer eux-mêmes leurs équipements réseau, ou les font fabriquer d’après leur design par un tiers.

La première problématique des hyperscalers est de standardiser leurs réseaux sur le système Open source SONiC. Mettre au point ce système, en tant que plus gros contributeur de code derrière Microsoft, est notre priorité vis-à-vis des hyperscalers.

Concernant Silicon One, nous nous en servons pour fabriquer des équipements Ethernet qui battent tous les records de bande passante et d’économie d’énergie. Comparativement aux tout derniers équipements réseau de nos concurrents, les nôtres à base de Silicon One consomment 25 à 30 % d’énergie en moins.

Ces performances nous ont permis de remporter de beaux contrats, notamment avec Deutsche Telekom qui a remplacé les équipements télécoms de tous ses points de présence à Francfort par des switches Catalyst à base de Silicon One. Cela a réduit leur consommation d’énergie de 85 % tout en doublant leur bande passante.

Nous visons aussi la vente de switches et de routeurs à base de Silicon One aux entreprises qui opèrent de grands data centers où la bande passante est critique.

LeMagIT : Qui sont ces entreprises qui auraient besoin de puces Silicon One pour accélérer le réseau de leur datacenter ?

« Pour entraîner des modèles, vous avez besoin de GPUs. Aujourd’hui, soit vous achetez un GPU Nvidia à 40 000 $, soit vous louez sa puissance de calcul en cloud public et cela vous coûte 400 000 $ sur l’année, tout compris. »

Michael Beasly : Ce sont notamment toutes les entreprises qui se lancent dans l’entraînement de modèles d’IA. En fait, l’IA a rebattu les cartes en ce qui concerne la répartition de l’informatique entre un datacenter sur site et une informatique payable à l’usage en cloud public.

Pour entraîner des modèles, vous avez besoin de GPUs. Aujourd’hui, soit vous achetez un GPU Nvidia à 40 000 dollars, soit vous louez sa puissance de calcul en cloud public et cela vous coûte 400 000 dollars sur l’année, tout compris. Sachant cela, les entreprises ont très vite compris l’intérêt de redéployer des data centers pour leurs traitements d’IA.

Donc, il y a de nouveau un marché pour des infrastructures à haut débit en data center. Et nous sommes les mieux placés pour les fournir, ne serait-ce que par la quantité inégalée de nos partenaires intégrateurs pour installer de telles infrastructures.

LeMagIT : Votre infrastructure réseau est basée sur les équipements Ethernet. Nvidia privilégie les réseaux Infiniband, une technologie concurrente, pour soutenir ses GPUs. N’y a-t-il pas un problème ?

Michael Beasly : Non, il n’y a pas de problème. Il est vrai que Nvidia a racheté Mellanox pour développer ses propres infrastructures réseau Infiniband. Mais ma conviction profonde est que Nvidia n’accorde en ce moment pas beaucoup d’importance à Infiniband au regard des ventes de GPUs, qui, elles, sont sa véritable activité.

La réalité est que les entreprises ne sont prêtes qu’à investir dans des solutions éprouvées par le marché et dans des infrastructures standardisées. En la matière, le réseau Ethernet – dont Cisco est l’un des plus fervents développeurs avec Broadcom et d’autres – est désormais le plus mature, le plus optimisé pour répondre aux besoins de bande passante du Machine Learning. Nous avons du contrôle avancé de la qualité de service, nous avons l’agrégation de fonctions de décodage au sein des équipements réseau qui – d’autant plus avec Silicon One – soulagent les processeurs et les GPU des serveurs.

Nvidia voit qu’il y a déjà eu et qu’il y a encore beaucoup d’investissements de la part des fournisseurs dans les réseaux Ethernet. Et Nvidia n’a probablement pas envie d’investir autant dans Infiniband. Il faut savoir que Nvidia s’active à proposer des GPUs toujours plus puissants, car, à l’horizon, pointe la concurrence de GPUs AMD, Intel ou autre.

Pour Nvidia, il est économiquement plus intéressant de s’adosser à quelqu’un comme Cisco qui, grâce aux puces Silicon One, peut faire bénéficier ses GPUs de toute la puissance d’Ethernet. Avec notre infrastructure Ethernet, les GPU sont occupés 90 % du temps lors d’un calcul. Sans, ils ne sont utilisés que 30 % du temps que dure un entraînement.

LeMagIT : Avez-vous l’intention de vendre ces puces Silicon One à d’autres fabricants d’infrastructure ? À Nvidia pour ses serveurs DGX, par exemple ?

Michael Beasly : Il est trop tôt pour en parler. Nous avons des discussions avec des fabricants d’équipements. Mais cela représente pour l’instant une toute petite part dans les opportunités commerciales à venir.

Quant à Nvidia, nous sommes ouverts à l’idée de leur revendre nos puces. Mais je doute que cela arrive : Nvidia est d’abord un fabricant de puces et nous sommes d’abord un fabricant d’équipements. L’ordre des choses est que ce sont les fabricants de puces qui vendent aux fabricants d’équipements, pas l’inverse. Ainsi, nous allons lancer des nouveaux serveurs UCS qui seront équipés de puces Nvidia. Et qui seront meilleurs que tous ceux actuellement sur le marché, car ils bénéficieront des mêmes optimisations que nos switches à base de Silicon One en termes de bande passante et d’économie d’énergie.

LeMagIT : Comment analysez-vous le rachat récent de votre concurrent Juniper par HPE ?

Michael Beasly : Je comprends que Juniper ait eu besoin de ce rapprochement. Vous savez, il est très difficile de rester un acteur indépendant quand vous ne faites que du réseau. Ce sont des investissements énormes en R&D, qui se comptent en milliards de dollars par exemple pour lancer la production d’un ASIC comme le Silicon One. Nous, notre activité va au-delà du réseau.

Ce n’est pas la première fois que Juniper a cherché à se rapprocher d’un constructeur d’infrastructure. Cette fois, ils ont trouvé quelqu’un. Je pense qu’il leur était nécessaire de s’adosser à une entité qui a un gros portefeuille. De nos jours, le marché des technologies est réservé aux entreprises les plus grandes.

pull