L'ETSI prépare la révolution du NFV (Network Functions Virtualization)

C'est un élément clé dans la bataille qui s'est engagée entre les compagnies de télécommunications et les grands groupes mondiaux, fournisseurs d’accès à Internet et de services OTT (Over The Top), comme Google, Netflix et Amazon, qui disposent de datacenters hautes performances et d’infrastructures internationales. Lancées en 2012, les technologies NFV (Network Functions Virtualization), ont ouvert sur la promesse d’une flexibilité et d’une réactivité accrues des opérations IT et donc d’une réponse adaptée face à la demande croissante générée par le développement du Cloud, de la mobilité et du Big Data. C'est ce que notait le Journal du Net en février 2014 ("NFV, la lumière au bout du tunnel pour les opérateurs télécoms ?").

Trois nouvelles spécifications sur la sécurité et la fiabilité des réseaux

Ce modèle révolutionnaire doit permettre aux fournisseurs de services de toute taille de saisir plus rapidement de nouvelles opportunités, en s’affranchissant de nombreuses contraintes financières et en facilitant le basculement des clients entre opérateurs. Mais, bémol, il ne pourra se déployer qu'avec en parallèle le développement de solides normes NFV assurant le bon fonctionnement et la sécurité des réseaux. C'est ce à quoi s'est attaché l'ETSI à Sophia Antipolis avec le Groupe de Spécification Industriel (ISG).

Dans ce domaine de la Virtualisation des Fonctions Réseau (Network Functions Virtualisation- NFV) ce groupe vient de publier 3 nouvelles spécifications traitant de la sécurité et de la fiabilité des réseaux. Ces documents fournissent des conseils quant à la mise en œuvre de l’interception légale dans un environnement NVF, étudient les critères de sécurité d’un logiciel open source pertinent pour NFV, OpenStack™ étant pris comme exemple, et décrivent aussi la manière dont les techniques de Cloud et centres de données peuvent s’adapter et atteindre ainsi le niveau de flexibilité, d’efficacité et de fiabilité nécessaires dans un contexte NFV.

Mise en œuvre de l'interception légale

Les autorités régulatrices demandent aux opérateurs d’être en mesure de leur fournir des services d’interception légale. Pour répondre à cette demande la spécification GS NFV-SEC 004 explore l’architecture et le design nécessaires à la fourniture de l’interception légale lors de déploiements NFV, s’adressant à la communauté NFV et à celle, plus large, d’interception légale.

L’obligation de fournir le service d’interception légale est indépendante du type de trafic, du format de signalisation ou de la configuration du réseau. Il est donc nécessaire que lors de la virtualisation d’une fonction réseau, celle d’interception légale soit aussi virtualisée de sorte qu’elle maintienne la flexibilité du réseau. Ce point est abordé dans la section traitant des architectures et structures d’interception légale au sein des fonctions de réseaux virtuels.

Eléments de sécurité des logiciels open source

La seconde spécification liée à la sécurité, GS NFV-SEC 002, s’applique aux éléments de sécurité des logiciels open source, OpenStackTM, un OS de cloud largement adopté, étant utilisé comme exemple. La spécification a pour objectif de couvrir l’ensemble des aspects sécuritaires du réseau et de l’information.

Le document couvre les modules OpenStack qui fournissent les services de sécurité (tels que l’authentification, l’autorisation, la protection de la confidentialité, la protection de l’intégrité et le logging) ainsi que les graphiques de leurs interdépendances et ceux qui implémentent les protocoles de cryptographie et les algorithmes.

Mike Bursell, vice-président du groupe de travail NFV sécurité affirme : "un logiciel Open Source est un élément clé pour de nombreux déploiements NFV et peut aider à atteindre nombre d’objectifs qu’ETSI NFV cherche à promouvoir, y compris celui d’accélérer le temps de commercialisation et d’améliorer l’interopérabilité. A cette fin, il est nécessaire de construire une base de données d’éléments de sécurité et d’algorithmes de cryptographie supportée par chaque codebase adéquat. Ceci permet d’indiquer comment fournir et déployer le bon logiciel et quelles sont les améliorations à apporter pour être compatible avec les exigences de sécurité de NFV."

Les applications NFV sont soumises à des régulations sur la vie privée et la sécurité, une telle base de données s’avère donc d’autant plus importante dans les domaines de gestion et d’orchestration (MANO), qui jouent un rôle critique dans la sécurité NFV.

Fiabilité des réseaux

La troisième spécification publiée par l’ISG NFV de l’ETSI, ETSI GS NFV-REL 002, porte sur la fiabilité et propose une étude de la manière dont les techniques de Cloud et centres de données peuvent être adaptées pour atteindre la flexibilité, l’efficacité et la fiabilité requises dans un environnement NFV. Ces techniques sont conçues pour gérer les états de processus de partage avec des contraintes de latence faible et de disponibilité élevée. Elles sont indépendantes des applications et peuvent s’appliquer sur un plan général, évitant que chaque VNF utilise sa propre méthode pour atteindre les mêmes objectifs.

A cette fin, le document fournit une synthèse de la manière dont de telles architectures sont déployées dans les Cloud et centres de données, il décrit les catégories des différents états et comment le scaling state peut être géré. Il décrit de même les techniques de "scale-out" pour l’instanciation de nouvelles fonctions de réseaux virtualisées présentes en un lieu unique au sein duquel des pannes ou augmentations de trafic inhabituelles ont été constatées.