VDI : comment Michelin a sécurisé son infrastructure

Clément Bohic,
Linkedin
Michelin VDI

Michelin revient sur l’ultime étape de sécurisation – par microsegmentation – de son infrastructure VDI Horizon Cloud sur Azure.

NSX+, pas prêt pour le cloud public ? Chez Michelin, on le regrettait encore il y a quelques semaines, à l’heure de publier un « retex VDI ».

Ce retour d’expérience porte sur l’ultime étape de sécurisation – par microsegmentation – d’un déploiement Horizon Cloud.

L’équipe IT de Michelin était revenue, fin 2022, sur une démarche préalable : la migration d’un abonnement partagé vers un abonnement dédié*. Il s’agissait autant de renforcer la stabilité de l’environnement que de favoriser l’amélioration continue et résoudre les problèmes de SLA dans le cadre du support multipartenaire.

L’initiative a impliqué la mise en place d’un broker global. Celui-ci a unifié l’accès sur une URL, en plus de permettre la création d’image multipods et d’éviter l’implémentation d’une couche de load balancing. Au moment d’en rendre compte, Michelin se projetait sur la mise en place de multiples sous-réseaux, dans une logique de séparation des utilisateurs internes et externes à l’entreprise.

broker

Michelin utilise les NSG Azure… en attendant NSX+

La microsegmentation en est la continuation. La faire reposer sur NSX+ était une option, mais pour le motif sus-évoqué, il a été décidé de s’appuyer sur les NSG (groupes de sécurité réseau) Azure. Il en existait déjà au niveau subnet. Il s’agissait là d’en ajouter un au niveau NIC (sur les pools de ressources) sans générer de conflit.

Ce NSG « de base » allait donc traiter les requêtes sortantes en amont du subnet et les requêtes entrantes en aval. Il devait laisser passer assez de flux pour provisionner et gérer les bureaux virtuels depuis Horizon Cloud.

Certaines règles effectives au niveau sous-réseau ont été répliquées, comme le blocage du trafic est-ouest. Michelin y a ajouté, entre autres, le blocage des canaux TCP auxiliaires et de la redirection USB.

Le premier test ne fut pas concluant : la connexion n’aboutissait pas. L’activation de la journalisation Azure a permis de mettre le doigt sur quelques flux passés sous les radars, tout comme des adresses IP nécessaires à la configuration du domaine AD. Le dépannage a reposé sur l’introduction d’une règle prioritaire autorisant tout le trafic sortant du sous-réseau.

Ce système fonctionne en l’état. Cependant, pour passer à l’échelle, il faudrait automatiser configuration, déploiement et gestion des NSG. Michelin préfère miser sur NSX+, « en attendant qu’il soit prêt pour le cloud public »…

* Le procédé a induit la création de nouvelles plates-formes Horizon Cloud, à défaut d’avoir trouvé, y compris auprès de VMware, une solution de migration de l’existant.

À consulter en complément :

Programmation en binôme : l’expérience de Michelin
Les 25 ans de VMware en 25 dates clés
Cloud souverain : comment VMware l’envisage et l’orchestre
OVHcloud : un cloud privé VMware « réarchitecturé »… et plus cher

Illustration principale © VICHIZH – Adobe Stock