Faire cohabiter le on-prem et le Cloud
Aujourd’hui de plus en plus d’entreprise se dirigent vers le Cloud afin de ne plus avoir à gérer l’obsolescence de leur matériel et notamment les serveurs physiques nécessaires aux hyperviseurs pour créer des machines virtuelles et autres composants d’infrastructure reposant sur la virtualisation.
Pour autant, si votre entreprise a été créé il y a quelques années – comprendre avant l’avènement du Cloud, vous avez nécessairement encore des serveurs et une infrastructure on-premises (dans votre datacenter). Et comme les changements s’effectuent difficilement en une seule fois… Vous serez d’accord pour dire qu’il paraît peu probable de pouvoir éteindre son infrastructure un soir et revenir le lendemain avec « tout dans le Cloud ». Donc, il nous faut gérer cette période de cohabitation ou de transition entre l’infrastructure on-prem et Cloud.
Dans l’exemple ci-dessous, je dispose toujours de mon infrastructure on-prem que j’ai étendu vers mon fournisseur de cloud Azure avec un VPN S2S ou un ExpressRoute. Et le point qui va m’intéresser ici c’est d’aborder la question suivante : dois-je étendre mon Active Directory (ADDS) en déployant un (ou plusieurs) Domain Controller(s) chez mon fournisseur de Cloud ?
Pour certains, la question sera vite répondue tandis que pour d’autres c’est souvent une crainte car votre Active Directory contient tous vos comptes utilisateurs, groupes, identifiants, mots de passe depuis la création de mon activité. Ai-je donc envie de répliquer toutes ces informations chez mon fournisseur de Cloud ?
Une majorité des entreprises le font. Mais du coup, ce n’est pas une réponse en soi. Voyons les différentes possibilités qui s’offrent à nous. ⬇️
Pas de DC dans le Cloud
Imaginons dans un premier temps que nous ne souhaitons pas positionner de DC dans Azure (ou n’importe quel fournisseur de Cloud).
Dans ce cas, toutes les ressources que vous allez créer dans le Cloud vont utiliser votre lien privé (VPN S2S ou ExpressRoute) afin de contacter vos Domain Controllers qui se trouvent encore dans votre infrastructure on-prem. Alors évidemment, vous allez me dire que votre réseau ou votre lien privé est optimisé et que ce n’est pas grave. Mais gardez en tête que ces allers-retours entre vos VM dans le Cloud et vos DC on-prem auront un coup sur votre facturation globale. Il pourra s’agir uniquement de trafic réseau ou bien vous serez peut-être contraint de choisir par exemple une ExpressRoute plus onéreuse à cause de ces flux.
Installation de DC dans le Cloud
Maintenant imaginons que nous étendions notre Active Directory (ADDS). Dans ce cas, vous devez avoir la bonne démarche et vous imaginer qu’il s’agit simplement d’un nouveau site Active Directory (ADDS).
Vous lui donnerez le nom que vous aurez choisi, AZURE dans mon cas (je n’ai certes pas été très créatif pour ma part) et il disposera également de son subnet qui correspondra au VNet que vous avez créé chez votre fournisseur Cloud. Ce site contiendra les DC qui seront dans Azure (et à partir du moment où vous en mettez 1, vous en ajouterez un second pour des questions de résilience).
Dans cette approche, votre datacenter Cloud est simplement un nouveau site ADDS au sein de la topologie de votre Active Directory (ADDS). Si bien que toutes les ressources que vous pourrez déployer dans Azure contacteront bien entendu d’abord ce site ADDS plutôt que de « redescendre » via votre lien privé. A partir de là, vous pourrez tout à fait connecter vos VM, PaaS… et toutes les ressources qui seraient dans le Cloud à votre Active Directory (via LDAP/LDAPS par exemple).
Pour résumer : avoir des DC dans le Cloud n’a absolument rien d’exceptionnel. Un grand nombre d’entreprises avec qui j’ai pu échanger ont déjà passé ce cap. Mais c’est en revanche tout à fait normal de se poser des questions sur ce que cela implique ! Et comme ces machines sont évidemment sensibles, on va bien entendu faire attention à leur sécurité. 😀
Comment sécuriser nos DC dans le Cloud ?
Oui à la création de DC dans Azure mais pas sans précaution ! 🛡️
En effet, car même si on peut supposer que vous avez choisi votre fournisseur de Cloud après une étude bien précise. Ce n’est pas pour autant que nous allons lui confier nos VM les plus sensibles (Domain Controller ou autre d’ailleurs). Pour ces VM, nous allons en effet mettre en place tout ce qu’il est possible de mettre en place en termes de chiffrement. Attention, la mise en place va forcément différer selon l’acteur de Cloud que vous aurez choisi. Pour ma part, vous vous en doutez je suis plus habitué au Cloud Microsoft. ☁️
Dans Azure, gardez en tête que globalement vous avez 2 types chiffrement : Microsoft Managed Key ou le Customer Managed Key. La première méthode est plus simple et plus rapide à mettre en place tandis que la seconde est (pour l’instant – car ça va s’améliorer) un peu plus complexe mais vous permet d’arriver votre clé de chiffrement qui n’est pas connu par l’acteur de Cloud.
Pour les VM qui seront donc des DC, il paraît évident qu’il est pertinent de mettre en place de chiffrement. Vous pourrez le faire directement via l’interface graphique du portail Azure au moment de la création de la VM.
En ce qui concerne, les autres acteurs de Cloud, je ne vais pas rentrer dans les détails car ce n’est pas l’objectif de l’article. Mais vous pouvez retrouver des informations sur le chiffrement de VM ici pour AWS, et là pour GCP. 🔒
Conclusion
En résumé, étendre son Active Directory dans le Cloud est quelque-chose d’absolument banal. Si vos applications et les ressources que vous utilisez dans Azure (ou votre fournisseur de Cloud) ne peuvent pas uniquement se baser sur Azure Active Directory (connection LDAP par exemple) alors vous aurez besoin de DC dans le Cloud. Et il n’y a rien de choquant à cela ! 🤓
En revanche, il semble tout à fait opportun de leur apporter une couche de sécurité supplémentaire en respectant bien les normes de sécurité Zero Trust ainsi qu’en chiffrant toutes les données qu’elles vont contenir. 🛡️
Alors oui dans le futur, nous n’aurons probablement plus besoin de l’ADDS on-prem… mais au moment où j’écris cet article, les entreprises qui existent depuis plusieurs années (comprendre avant l’apparition du Cloud) sont (en majorité) très loin d’être capables d’abandonner actuellement leur Active Director on-prem. Mais ça arrivera ! 😇
