TLDR : Lorsqu'il s'agit de surveiller une infrastructure, il arrive un moment dans le marketing des solutions où les affirmations doivent être mises à l'épreuve, quand il faut appeler un chat un chat. La capacité de traitement est l'un de ces chiffres que nos concurrents utilisent et qui nous fait lever les yeux au ciel chez NANOCorp. 10/50/100 Gbits/seconde ne signifient rien si vous ne regardez pas derrière le marketing bullsh*@! La seule question que vous devez poser est combien de paquets/sessions par seconde la solution peut réellement gérer !
Alors... qu'est-ce que la bande passante réseau, au juste ?
Au fond, la bande passante réseau est la vitesse maximale à laquelle les données filent à travers votre réseau, mesurée en bits par seconde (bps). Ça semble simple, non ? Mais attendez... la saga ne s'arrête pas là, ou même ne commence pas là. Pour vraiment comprendre la bande passante, nous devons plonger dans son rôle et ses limitations, surtout lorsque nous parlons d'utilisation quotidienne d'Internet et, vous l'avez deviné, de cybersécurité 😉
Les vraies métriques pour dimensionner vos solutions
Parlons de chiffres et de ce qu’il faut vraiment regarder. Chez NANO Corp.,voici les métriques que nous prenons en compte lorsque nous dimensionnons unesolution pour nos clients :
- Paquets Par Seconde (PPS) : Dans des environnements avec un volume élevé de petits paquets, comme le trafic DNS ou IoT, le PPS est une mesure plus pertinente de la charge réseau que la bande passante. Un appareil de sécurité pourrait supporter (comprendre : supporter du point de vue marketing) 10 Gbps mais aura du mal avec un taux élevé de PPS, conduisant à des paquets perdus et à des failles de sécurité potentielles. Vous n'avez pas à chercher plus loin que les solutions rebrandées basées sur Suricata (regard appuyé en direction de notre concurrence française ici, montre-moi ta PPS et je te montre la mienne 😆, serieusement on le fait à la fin de l’article) ou des noms connus comme Extrahop (qui ne vont pas au-delà de 1 million de paquets par seconde pour des réseaux 10Gbit/s).
- Connexions Par Seconde (CPS) : Critique pour les applications nécessitant de fréquentes nouvelles connexions, comme trouvé dans des environnements dynamiques avec des établissements de session fréquents, tels que les sites de centres de données de banque en ligne pendant les événements de vente, la capacité CPS devient critique. Une solution de sécurité pourrait annoncer un débit de bande passante adéquat, mais flancher si elle ne peut pas suivre le taux élevé de nouvelles connexions. Un problème qui est prévalent avec presque toutes les solutions de sécurité réseau.
- Connexions Concurrentes : Cette métrique indique le nombre de sessions actives qu'un appareil de sécurité peut gérer simultanément. Les dispositifs de sécurité doivent gérer les connexions actuelles tout en accueillant de nouvelles, nécessitant un équilibre entre la capacité CPS et la capacité à soutenir un nombre élevé de connexions concurrentes. Cette capacité est cruciale car une menace potentielle essayant de saturer les solutions de sécurité réseau pendant les pics d'utilisation (comme les DDoS), pour cacher leur empreinte.
- Besoins en débit : Au-delà de la bande passante, considérez le volume de données réel que votre réseau gère, en tenant compte du trafic Nord-Sud et Est-Ouest.
Et c'est la seule façon de pouvoir réellement comparer les solutions.
Envie de plonger un peu plus profond ? Lisez la suite :
Quelques fausses croyances…
Le Mythe du Trafic Nord-Sud vs Est-Ouest
Comme vu précédemment, les solutions de sécurité sont trop souvent dimensionnées sur la base du trafic Nord-Sud, qui est essentiellement les données entrant et sortant de votre réseau. C'est une métrique critique, certes, mais ce n'est que la moitié de l'histoire. Car le trafic Est-Ouest —les données se déplaçant latéralement à l'intérieur de votre réseau, est souvent un nid pour les cybermenaces se cachant inaperçues. Ignorer le traficEst-Ouest, c'est comme verrouiller votre porte d'entrée mais laisser la porte arrière grande ouverte.
Par exemple, considérez une entreprise avec une bande passante Nord-Sud de 10 Gbps mais avec un traficEst-Ouest interne atteignant 40 Gbps en raison d'un échange de données inter-départemental élevé, d'un accès aux services cloud et d'applications internes. Dimensionner les solutions de sécurité uniquement sur la base de la bande passante externe ignore la grande majorité du trafic interne, laissant potentiellement des vulnérabilités critiques non adressées.
Se Fier Uniquement à la Bande Passante : Une Stratégie Erronée
Et se concentrer uniquement sur la bande passante conduira les clients à négliger d'autres métriques essentielles telles que les paquets par seconde(PPS), les connexions par seconde (CPS) ou les sessions par seconde, et les connexions concurrentes. Par exemple, un pare-feu peut être évalué pour un débit de 10 Gbps mais ne gérer que 500 000 CPS et 1 million de connexions concurrentes. Si votre réseau connaît des pics de 1 million de CPS pendant les opérations commerciales, ce décalage peut conduire à des connexions perdues et à une sécurité compromise, malgré la capacité de bande passante semblant suffisante.
Si vous avez lu nos articles sur la concurrence rebrandant des IPS/IDS Suricata ou Zeek et appelant cela un NDR, vous comprendrez que ces métriques sont cruciales. Surtout lorsque les solutions réseau commencent à perdre des paquets, ce qui bousille la détection de connexion et provoque des alertes de faux positifs en cascade.
Ajoutez à cela le besoin de rétention des données de connexion pour la détection par apprentissage automatique, le dimensionnement prend tout un sens différent que 'juste la bande passante'. Pour les solutions basées sur Suricata, stocker les logs finit par être lourd en ressources. Surtout que les logs peuvent prendre jusqu'à 500octets chacun pour juste une connexion. Cela aura un impact dramatique sur la rétention pour les clients avec beaucoup d'appareils qui parlent toute la journée. Un problème
Connais ton réseau et tu te connaitras toi-même
Comprendre la nature du trafic de votre réseau est crucial. Par exemple, un volume élevé de petits paquets (par ex., communications d'appareils IoT) peut être plus difficile à traiter qu'un volume inférieur de gros paquets (par ex.,streaming vidéo). Un réseau principalement gérant de petits paquets a besoin des solutions de sécurité optimisées pour un traitement PPS élevé, pas seulement un débit de bande passante brut.
Il est clair qu'un focus unique sur la bande passante est insuffisant pour dimensionner des solutions de sécurité réseau robustes. Les utilisateurs et les clients devraient s'éloigner des métriques simplistes utilisées par les IDS/IPSet commencer à reconnaître que nous vivons à une époque où l'apprentissage automatique est devenu primordial et où les analystes ne veulent pas trop de détections de faux positifs qui consomment du temps qu'ils n'ont pas.
En gros, lorsque les fournisseurs de solutions de sécurité vous donnent une bande passante de 10Gbit/s ou 40Gbit/s, ce que vous devez vraiment leur demander est : "c'est bien, maintenant dites-moi combien de paquets, sessions ou transactions par seconde nous parlons réellement ?"
…et leur impact sur la cybersécurité
Maintenant, pivotons vers la cybersécurité, où l'importance de la bande passante est souvent sous-estimée. Dans notre expérience, se concentrer trop sur la bande passante peut distraire des vrais problèmes de cybersécurité en jeu. Surtout lorsque les fournisseurs dimensionnent leur solution uniquement sur les connexions Nord-Sud des clients.Quelque chose qui rappelle un IDS/IPS traditionnel. Où le but est d'arrêter une menace avant qu'elle n'entre dans le réseau.
Plonger dans les détails de comment les IDS/IPS peuvent manquer leur cible dans le paysage IT lourd en cryptage d'aujourd'hui est une histoire pour un autre jour.Au lieu de cela, mettons en lumière comment le dimensionnement d'un NDR(Détection et Réponse Réseau) emprunte aux principes des IDS/IPS mais passe à la vitesse supérieure. Parce qu'un NDR ne se contente pas de surveiller le trafic Nord-Sud ; il scrute le mouvement Est-Ouest et analyse les données pour l'apprentissage automatique — des sujets que nous déballerons plus tard.
Dans ce cadre, la bande passante donne une métrique globale générale, mais trompeuse. C'est pourquoi, lorsque nous parlons de protéger votre réseau, le dimensionnement ne peut pas juste limiter son champ d'application à " la bande passante" et espérer le meilleur. Il nécessite une approche plus nuancée, regardant au-delà de la largeur de l'autoroute pour savoir comment nous protégeons chaque rampe d'accès, sortie et point vulnérable le long du chemin.
Alors... que propose exactement NANO Corp. ?
Eh bien, lorsque nous parlons de bande passante, chez NANO Corp., nous entendons "full line rate". Imaginez : "Mode DDoS chaotique complet". Ce n'est pas quelque chose dont vous 'pourriez' avoir besoin, mais attendez jusqu'à ce que vous ayez un pirate qui utilise DDoS pour inonder toutes vos solutions de sécurité et se cacher inaperçu dans le trafic.
Pour répondre à ce défi, nous offrons une manière simple pour les utilisateurs et les clients de dimensionner leurs solutions de la bonne manière :
- Les sondes sont gratuites et les plus économes sur le marché ⇒ cela nécessite 32 cœurs et 64 Go de RAM pour une bande passante réseau de 100Gbit/s (14.000.000 CPS / 148.500.000 PPS) - la solution est, en fait, très évolutive vous pouvez la construire avec des abaques spécifiant combien de paquets/connexions par seconde vous voulez gérer, et ensuite déduire combien de cœurs de CPU / RAM vous avez besoin.
- NANO Corp. c'est du sans marketing bullsh&@! : vous obtenez ce pour quoi vous dimensionnez. Vous pouvez avoir plusieurs VLANs, couches MPLS, VxLAN, etc… contrairement aux concurrents, nous ne cachons pas les contre-performances dans nos petits caractères (👀 certains fournisseurs qui ne disent pas vraiment qu'ils ne peuvent pas gérer un trafic significatif derrière VLAN/VxLAN). Nos performances sont toujours données pour le pire scénario, ainsi vous pouvez être certain que vous ne manquerez de rien.