Souveraineté¶
Maîtrise des données, conformité et independance avec VMware en infrastructure on-premise.
Avantage on-premise : contrôle total des données¶
Le principal atout de VMware pour la souveraineté est le déploiement on-premise. L'infrastructure physique reste sous le contrôle complet de l'organisation : serveurs, stockage, réseau et hyperviseur sont operes dans les datacenters de l'entreprise.
Cas d'usage : données sensibles (sante, defense, finance), exigences reglementaires strictes (RGPD, HDS, LPM), administration publique.
| Critère | VMware on-premise | Cloud public |
|---|---|---|
| Localisation données | Contrôle total (vos datacenters) | Regions du fournisseur |
| Accès aux données | Uniquement vos équipes | Modèle de responsabilité partagee |
| Chiffrement | Clés gérées en interne (KMS local) | Clés gérées par le fournisseur ou BYOK |
| Audit | Accès physique et logique | Logs du fournisseur |
| Dépendance | Licences logicielles uniquement | Infrastructure + logiciel + réseau |
VMware Cloud Foundation (VCF)¶
VCF est la pile logicielle intégrée de Broadcom qui regroupe les composants VMware dans une plateforme unifiee :
| Composant | Rôle |
|---|---|
| vSphere (ESXi) | Hyperviseur et gestion des VMs |
| vSAN | Stockage hyperconverge |
| NSX | Réseau et sécurité software-defined |
| Aria Suite | Opérations, Logs, Automation |
| SDDC Manager | Lifecycle management de la pile complète |
Cas d'usage : standardisation de l'infrastructure, déploiement reproductible, mise à jour coordonnée de tous les composants.
Modèle de licence Broadcom
Depuis l'acquisition par Broadcom (2023), VMware a simplifié ses offres autour de deux bundles principaux : VCF (pile complète) et vSphere Foundation (vSphere + vSAN + Aria Opérations). Les licences perpetuelles ont été remplacees par des abonnements.
Conformité et certifications¶
Référentiels applicables¶
| Référentiel | Périmètre | Impact VMware |
|---|---|---|
| RGPD | Données personnelles (UE) | Localisation, chiffrement, journalisation |
| HDS | Données de sante (France) | Hebergeur certifie, traçabilité |
| SecNumCloud | Services cloud de confiance (ANSSI, France) | Qualifie uniquement en on-premise |
| ISO 27001 | Sécurité de l'information | Politiques, audit, gestion des risques |
| LPM / II 901 | Opérateurs d'importance vitale (France) | Isolation réseau, durcissement |
Hardening vSphere¶
VMware publie des guides de durcissement (Security Configuration Guide) pour chaque version de vSphere. Les points clés :
- Désactiver les services non utilisés sur ESXi (SSH, Shell)
- Configurer le lockdown mode sur les hôtes
- Activer le chiffrement des VMs (vSphere VM Encryption via KMS)
- Utiliser des certificats signes par une CA interne
- Appliquer les profils de sécurité CIS Benchmark
Déploiements air-gapped¶
Un déploiement air-gapped est une infrastructure complètement isolee du réseau Internet. Ce type d'architecture est requis pour les environnements classifies ou hautement sensibles.
Contraintes spécifiques¶
| Aspect | Solution |
|---|---|
| Mises à jour ESXi | Dépôt local (VUM/vLCM avec baseline offline) |
| Content Library | Synchronisation manuelle (export/import) |
| Licences | Serveur de licences local ou clés offline |
| NTP | Source de temps interne (GPS, horloge atomique) |
| Certificats | CA interne, pas de validation OCSP/CRL externe |
| Monitoring | Aria Opérations en mode déconnecté |
vSphere Lifecycle Manager
En mode air-gapped, utilisez vLCM avec un dépôt offline pour gérer les images ESXi et les firmwares. Exportez les bundles depuis un poste connecte puis importez-les dans vCenter.
Comparaison : VMware on-premise vs cloud providers¶
| Critère | VMware on-premise | VMware Cloud on AWS | Azure VMware Solution | GCP VMware Engine |
|---|---|---|---|---|
| Localisation | Vos datacenters | AWS regions | Azure regions | GCP regions |
| Gestion infrastructure | Vous | AWS (hardware) | Microsoft (hardware) | Google (hardware) |
| Souveraineté données | Totale | Partielle | Partielle | Partielle |
| Conformité SecNumCloud | Eligible | Non | Non | Non |
| Coût initial | Élevé (CAPEX) | Nul (OPEX) | Nul (OPEX) | Nul (OPEX) |
| Élasticité | Limitee | Élevée | Élevée | Élevée |
Hybrid cloud
VMware HCX permet la migration et l'extension de workloads entre l'infrastructure on-premise et les clouds VMware (AWS, Azure, GCP). C'est une approche hybride qui combine souveraineté on-premise et élasticité cloud pour les workloads non-sensibles.