Fonctionner en VPN : Comment Microsoft permet à ses collaborateurs d’être connectés à distance

CYBERSÉCURITÉ
Temps de lecture : 10 minutes

Cet article est une traduction de l’article anglais publié sur le site microsoft.com

Ludo HAUDUC
Corporate Vice-Président de l’ingénierie de la plate-forme de base au sein de l’entité Core Services Engineering and Operations (CSEO) de Microsoft

Ludo Hauduc et son équipe gèrent le réseau et le réseau privé virtuel (VPN) que les 151 000 collaborateurs de l’entreprise utilisent pour travailler à distance pendant la crise du COVID-19.

Une réponse rapide grâce au réseau privé virtuel (VPN) et aux applications cloud

Lorsque Microsoft a commencé de se préparer pour permettre à ses collaborateurs de travailler à distance en réponse à la crise du COVID-19, c’était à Ludo Hauduc, Corporate Vice-Président de l’ingénierie de la plate-forme de base au sein de l’entité Core Services Engineering and Operations (CSEO) de Microsoft, et à son équipe pour s’assurer que le réseau interne de l’entreprise tiendrait le coup.

Ils étaient prudemment optimistes : l’équipe venait de reconstruire l’ensemble du réseau, et notamment le réseau privé virtuel (VPN). Ce réseau prend en charge l’accès à des serveurs internes clés avec des données protégées, des informations sur le personnel et d’autres actifs essentiels qui doivent être protégés.

« Notre réseau a très bien tenu le coup depuis que nous avons demandé à nos collaborateurs de travailler à distance », explique M. Hauduc. « Jusqu’à présent, nous avons constaté une très bonne performance de la part de notre réseau et de notre VPN, en particulier. »

Cours accéléré sur la gestion de votre sécurité

La façon dont vous gérez la sécurité de vos données et de vos appareils est une priorité absolue dans un contexte de cybermenace en constante évolution.

Télécharger

Ceci a été rendu possible grâce à une décision antérieure que l’équipe avait prise afin de réduire la charge de travail que l’entreprise pousse à travers ses canaux VPN. L’équipe a ainsi mis en œuvre le « Split Tunneling » dans la plupart de ses sites dans le monde entier, ce qui représente la plus grande partie de la charge de travail mobile de l’entreprise vers l’Internet.

Le Split Tunneling est devenu possible parce que Microsoft est à près de 100 % dans le Cloud, ce qui permet à ses collaborateurs distants d’accéder à des applications de base et à des expériences sur Internet via Microsoft Azure et Office 365. Avant que l’entreprise ne migre vers le Cloud, tout aurait dû être acheminé via le VPN.

« Cela nous aide vraiment que la majeure partie de notre charge de travail mobile – et notamment le trafic vers des applications Office 365 et Azure qui représentent un volume important et sensible à la qualité des performances – soit acheminée directement sur Internet », explique M. Hauduc.

Rétrospectivement, l’adoption du Split Tunneling a été une décision cruciale. « Cela permet à nos collaborateurs de maintenir leur niveau normal de productivité, même s’ils travaillent tous à distance », dit-il.

Il a cité en exemple la façon dont les collaborateurs utilisent maintenant Microsoft Teams.

« Nos collaborateurs ont considérablement augmenté leur utilisation de la voix et de la vidéoconférence sur Teams », dit-il. « Nous avons été en mesure de supporter cette augmentation massive de l’utilisation par les équipes sans problèmes majeurs parce le trafic est acheminé directement sur l’Internet, préservant ainsi notre capacité VPN juste pour les connexions nécessaires entre les utilisateurs et nos ressources internes. »

Lire aussi   Nos conseils pratiques pour bien utiliser Microsoft Teams

Du 100% VPN à gérer en Chine

Toutefois, il y a eu des défis à relever, défis qui ont commencé lorsque les collaborateurs de l’entreprise en Chine a commencé à travailler à domicile. « Contrairement à notre siège social et à ce qui se passe dans d’autres lieux du monde entier, lorsque nos collaborateurs en Chine travaillent à distance, tout ce qu’ils font passe exclusivement par notre tuyau VPN », explique M. Hauduc.

Cela a signifié que 100 % de la charge de travail des collaborateurs à Shanghai et à Beijing s’est mis à passer brusquement par des passerelles VPN déjà très sollicitées.

« Ce fut pratiquement un phénomène survenant du jour au lendemain », dit Hauduc. « Nous sommes passés soudainement à une utilisation de 85 à 95 % de notre bande passante réseau et notre capacité VPN. »

Déjà chargé avant le début de la propagation du COVID-19, le VPN devenait rapidement un goulot d’étranglement en Chine.

« Nous avons commencé à nous poser beaucoup de questions », dit Hauduc. « Pouvons-nous gérer le nombre prévu de sessions VPN simultanées ? Comment la bande passante tient-elle le coup pour les collaborateurs ? Comment est leur expérience ? Est-ce qu’ils y arrivent tous ? »

 

Une action rapide était nécessaire.

 

« Nous disposions de données pour répondre à toutes les questions, mais ce que nous n’avions pas, c’était un seul panneau de contrôle depuis lequel nous pouvions rapidement tout examiner pour voir ce qui se passait au sein de l’infrastructure de l’entreprise », explique M. Hauduc. « Et les dirigeants de l’entreprise essayaient de trouver comment réagir à la crise, ils avaient besoin de données de notre part, et ils en avaient besoin rapidement. »

La réponse a été d’identifier les données les plus importantes et de les regrouper dans un tableau de bord Microsoft Power BI, que la société utilise maintenant pour suivre tous ses systèmes VPN alors que la situation COVID-19 continue d’évoluer.

En ce qui concerne les bureaux de Shanghai et de Beijing, l’équipe de Ludovic Hauduc a travaillé avec les fournisseurs d’accès Internet locaux afin d’augmenter la capacité VPN de 50 % afin de pouvoir disposer d’assez de marge de manœuvre pour gérer l’augmentation de l’utilisation en toute sécurité.

« C’était une décision budgétaire », dit M. Hauduc. Tout ce qu’ils avaient à faire était de signer des contrats, aucun nouveau matériel n’était nécessaire. « Une fois que nous sommes convenus que c’était la bonne chose à faire, nous avons pu éliminer ce goulot d’étranglement en moins d’une journée. »

 

Lire aussi : 

Les investissements dans l’infrastructure VPN portent leurs fruits

Lorsque qu’il a été annoncé que tout le monde, sauf quelques-uns des collaborateurs et des fournisseurs de Microsoft, travailleraient à distance, Ludovic Hauduc était confiant dans le fait que son infrastructure VPN soutiendrait cette montée soudaine de la demande.

Il y a trois ans, il n’aurait pas été aussi confiant.

« Nous étions dans une situation difficile il y a quelques années » explique Ludovic Hauduc. « Nous avions des raisons multiples et complexes pour lesquelles l’expérience VPN de bout en bout de nos collaborateurs n’était pas très bonne ; le VPN était constitué d’une pile logicielle compliquée qui présentait de multiples points de défaillance potentiels. »

L’équipe a rencontré des problèmes du côté de Windows, il y avait aussi des défis avec le réseau, et la société utilisait plusieurs clients VPN différents simultanément, ce qui contribuait à créer de la confusion et de la complexité pour les collaborateurs. L’équipe de Ludovic Hauduc a donc travaillé en étroite collaboration avec l’équipe Windows, et grâce à un partenariat et un engagement direct, a contribué ainsi à améliorer considérablement la stabilité du client VPN natif de Windows.

« Nous avions un taux de réussite de connexion dans la fourchette de 60 à 65 %, ce qui est très faible », explique M. Hauduc. « Cela signifiait qu’un tiers des gens se heurtaient à un problème chaque fois qu’ils essayaient de travailler à distance. »

 

Une correction était donc nécessaire.

 

« Nous savions que cela pourrait devenir un problème si nous étions confrontés à une situation où nous avions besoin que nos collaborateurs travaillent à distance », dit M. Hauduc. « Nous avons donc investi massivement dans le renforcement de notre service VPN en mettant l’accent sur l’expérience utilisateur et en nous associant étroitement avec des équipes internes. »

L’équipe a travaillé à remplacer son infrastructure VPN depuis zéro, explique Steve Means, un ingénieur de service senior au sein de l’équipe CSEO qui gère le VPN pour l’entreprise.

« Nous avons construit le nouveau système afin qu’il puisse soutenir plus de 200 000 sessions simultanées », explique M. Means. « Dans une situation extrême, nous pourrions soutenir autant de personnes sur le VPN en même temps. »

Microsoft compte 151 000 collaborateurs et un important contingent de fournisseurs qui travaillent sur le réseau de l’entreprise. Ils ne travaillent pas tous en même temps, mais l’objectif était de couvrir le pire des scénarios et de mettre la solution à l’épreuve de l’avenir.

« Partout dans le monde, nous avons normalement environ 55 000 collaborateurs qui se connectent par l’intermédiaire de VPN un jour donné », explique M. Means. « Avec tout le monde travaillant à distance, cela a grimpé jusqu’à 128 000 collaborateurs et fournisseurs par jour, dont environ 45 000 par jour à notre siège social à Redmond. »

Auparavant, les collaborateurs utilisaient un grand nombre de passerelles pour accéder au réseau interne de l’entreprise, mais bon nombre de ces passerelles fournissaient une mauvaise connectivité.

Gestion de la sécurité de Microsoft 365

Découvrez les différentes fonctions et solutions qui peuvent aider les entreprises à obtenir la visibilité, le contrôle et les conseils dont elles ont besoin pour gérer leur sécurité.

En savoir plus

« Nous avons consolidé les passerelles vers les centres de données et les différents lieux avec une bande passante fiable et abondante », explique M. Means. « Cela a réduit le nombre de sites de passerelle, mais a augmenté la fiabilité globale et ceci nous a permis de gérer plus de connexions plus simultanées. »

La conception hybride que l’équipe a mis en place utilise Microsoft Azure Traffic Manager pour géolocaliser les utilisateurs de VPN. « Cela nous a permis de les transférer à la Gateway la plus proche et de répondre aux demandes de passage à l’échelle », dit-il. « Nous avons utilisé Azure Active Directory (AAD) pour authentifier nos utilisateurs et valider l’état de leur terminal avant de les autoriser à utiliser le VPN. »

L’équipe a également commencé à utiliser des serveurs qui peuvent gérer 30 000 ou 60 000 utilisateurs chacun, beaucoup plus que les anciens serveurs, qui ne pouvaient gérer 750 à 2 000 utilisateurs. « Théoriquement, nous pourrions maintenant gérer 500 000 connexions VPN simultanées dans le monde entier », explique M. Means.

Ludovic Hauduc indique que l’amélioration du service VPN de l’entreprise a été substantielle, à tel point que les collaborateurs ont oublié ce qui se déroulait en coulisses quand ils travaillaient à distance.

Bien qu’elle ait eu à travailler plus dur que jamais auparavant, l’infrastructure VPN de l’entreprise est performante à un niveau élevé. « Il n’y a pas eu d’incidents majeurs depuis le début de la crise », explique M. Hauduc.

Fait important, le VPN permet aux collaborateurs de faire leur travail.

« Aujourd’hui, alors même que nous demandons à presque tous nos collaborateurs de travailler à distance, notre taux de réussite est de 92 % », affirme M. Hauduc. « C’est l’un des taux les plus élevés que nous ayons jamais enregistrés ; la seule raison pour laquelle il n’est pas à 99 pour cent, c’est parce que ce nombre comprend également les redémarrages lors de l’installation de patch, les déconnexions du Wi-Fi, et les problèmes liés au réseau domestique ou au fournisseur de services Internet. »

Lire aussi   Nos conseils pour télétravailler en confinement

Une productivité très élevée malgré le confinement

« Nous mesurons la productivité des collaborateurs et la productivité de nos ingénieurs logiciels en particulier », explique M. Hauduc. « Nous examinons le nombre de pull requests, les commits journaliers et d’autres indicateurs : jusqu’à présent, nous n’avons pas vu de baisse mesurable de la productivité. Notre objectif a été de protéger, de connecter et de rendre productifs tous nos collaborateurs dans le monde pendant cette crise ».

Ludovic Hauduc précise que cette situation a constitué une très bonne opportunité pour son équipe d’apprendre.

« Une des choses que nous apprenons, c’est que les données sont essentielles », dit-il. « Il y a tellement de choses que nous pouvons mesurer : trouver les bonnes choses à mesurer pour que nous puissions prendre les mesures appropriées est vraiment essentiel. »

L’approche centrée sur les données de l’équipe en matière de VPN et de réseau lui a également permis d’effectuer des investissements intelligents, comme le fait de provisionner de la capacité supplémentaire uniquement en fonction du besoin. Elle aide également l’équipe à réagir rapidement en cas de besoin, ce qui s’est produit récemment lorsque l’Italie a resserré ses restrictions de travail à distance.

« Nous avons doublé notre capacité à Londres, car c’est là que nous dirigeons la connexion VPN pour nos collaborateurs en Italie », explique M. Hauduc. « Le fait de disposer de bonnes données nous permet de prendre rapidement des mesures proactives en cas de besoin et de rester à l’avant-plan de la crise au fur et à mesure qu’elle se déroule. »

Consultez les offres de cybersécurité de Microsoft !

Découvrez les solutions Microsoft pour évaluer intelligemment les risques en matière de conformité, gouverner et protéger les données sensibles, et remplir efficacement les obligations réglementaires.

En savoir plus

L’équipe a aussi prévu récemment la survenue potentielle d’un goulot d’étranglement à son siège social à Redmond dans l’Etat de Washington, où le nombre de sessions simultanées que le VPN avait besoin de supporter se rapprochait dangereusement du maximum des capacités. L’entreprise a répondu à cette préoccupation en ajoutant une autre passerelle VPN. Le prochain test sera en Inde, où les recommandations de travail à domicile sont maintenant mises en œuvre.

« Cela nous a amenés à réfléchir à nos efforts de préparation dans l’ensemble », dit M. Hauduc. « Nous avons profité de cette occasion pour améliorer notre façon de faire les choses. »

L’équipe s’attend à continuer d’apprendre au fur et à mesure que la réponse du COVID-19 se déroule.

Selon M. Hauduc, l’une des choses les plus édifiantes à propos de la réponse à cette crise est que tous les collaborateurs qui travaillent à renforcer l’infrastructure VPN de l’entreprise ont pu travailler eux-mêmes à domicile.

« Nous voulons que tout le monde soit aussi en sécurité que possible », dit-il.

Lire aussi   Cybersécurité et coronavirus

Conseils pour faire évoluer votre VPN dans votre entreprise

Pour les entreprises et les organisations qui cherchent à optimiser et à mettre à l’échelle leurs capacités VPN, certaines des meilleures pratiques présentées ci-dessus et recommandées par Microsoft sont les suivantes :

  • Économisez la charge sur votre infrastructure VPN en utilisant un Split Tunnel VPN, envoyez le trafic réseau directement à l’Internet pour les services SaaS « connus » et bien définis comme Teams et les autres services Office 365, ou de manière optimale, en envoyant tout le trafic non-Corporate vers l’Internet si vos règles de sécurité le permettent.
  • Collectez les données de connexion utilisateur et de trafic dans un emplacement central pour votre infrastructure VPN, utilisez des services de visualisation modernes, comme Power BI pour identifier les points chauds avant qu’ils ne se produisent et planifiez la croissance.
  • Si possible, utilisez un mécanisme d’authentification dynamique et évolutif, comme Azure Active Directory pour éviter les difficultés que présentent les certificats et améliorer la sécurité grâce à l’authentification multifacteur (MFA) si votre client VPN est compatible avec l’Active Directory comme le client Azure OpenVPN.
  • Répartissez géographiquement vos sites VPN pour leur faire correspondre les principales populations d’utilisateurs, utilisez une solution d’équilibrage de charge géographique comme Azure Traffic Manager pour diriger les utilisateurs vers le site VPN le plus proche et répartir le trafic entre vos sites VPN.

Enfin, et c’est probablement le plus important, connaissez les limites de votre infrastructure de connexion VPN et sachez comment la mettre à l’échelle en cas de besoin. Des éléments importants comme la bande passante totale possible, le nombre de connexions utilisateurs simultanées maximum par terminal détermineront quand vous aurez besoin d’ajouter plus de dispositifs VPN.

Si vos dispositifs sont constitués par du matériel physique, le fait de disposer d’un stock d’approvisionnement supplémentaire sous la main ou d’une source rapide d’approvisionnement sera critique. Pour les solutions Cloud, savoir à l’avance comment et quand évoluer fera la différence.

Azure offre une passerelle VPN hautement évolutive, ainsi que les dispositifs virtuels VPN et SD-WAN réseau les plus courants au sein de la Place de marché Azure.

 

Pour retrouver tous nos contenus liés au COVID-19, rendez-vous sur notre Hub https://experiences.microsoft.fr/nos-actions-covid19/

 

Pour plus d’informations (en anglais) sur ces pratiques et d’autres pratiques d’optimisation du réseau Azure et Office, vous pouvez consulter avec profit :

 

Voici également des ressources supplémentaires (en anglais) pour en savoir plus sur la façon dont Microsoft applique d’autres meilleures pratiques en matière de réseau :

close popup close popup

Inscrivez-vous à notre newsletter mensuelle

Le Best-Of de nos articles tous les mois

Je m'inscris