in

Sécurisation d’un SD-WAN – Six fonctions critiques – Par Eric Heddeland, Barracuda Networks

Si vous avez une organisation multisite disséminée dans tout le pays ou à travers le monde, il y a de bonnes chances que vous connectez ces sites ensemble via des liens MPLS. C’est probablement le cas depuis des années, voire des décennies, mais c’est une architecture qui est en train de devenir désuète, en grande partie à cause de l’adoption de technologies basées sur le cloud. Lorsque vos applications migrent vers le cloud, votre infrastructure WAN devient de moins en moins optimale en termes de rapport coût/performance.

Qu’est-ce qui a changé ? Beaucoup de choses en fait, mais un élément sort du lot – vos utilisateurs, vos données et vos applications sont de plus en plus dispersées – dans toutes les directions. Vos utilisateurs travaillent maintenant de n’importe où (à la maison, dans les aéroports et les cafés), et ils accèdent et consomment des données de n’importe où sur une grande variété de terminaux.

Avant cette dispersion, la mise en œuvre des contrôles de sécurité était relativement simple dans la mesure où tous vos actifs étaient rassemblés au sein d’un périmètre bien défini. Ceci vous permettait de déployer de manière centralisée une variété de technologies de sécurité pour protéger les utilisateurs de tout ce que l’Internet a à offrir – le bon et le mauvais. Les sites distants étaient intégrés dans ce périmètre car tout le trafic était routé via des liens MPLS au travers d’un firewall centralisé qui assurait la régulation et fournissait les politiques de sécurité.

La dispersion pose un certain nombre de défis

Le périmètre du réseau se dissout au fur et à mesure que les applications et les utilisateurs migrent au-delà de ses limites, ce qui rend plus complexe la mise en œuvre des contrôles de sécurité avec les outils existants. De plus, les applications qui étaient auparavant hébergées et gérées au sein de votre data center résident désormais dans le cloud (en mode SaaS ou dans un cloud public). Dans l’intervalle, leurs performances s’étaient probablement dégradées sur les sites distants en raison des temps de latence introduits par tous ces liens MPLS conçus pour router le trafic.

Prenons l’exemple d’Office 365, qui résidait auparavant dans un serveur Exchange dans votre data center. Beaucoup d’organisations constataient fréquemment une expérience utilisateur et des performances dégradées car tout le trafic était d’abord routé vers le site central puis redirigé vers Internet. Le moyen de résoudre ce problème était de diriger le trafic vers Internet aussi vite que possible. En clair, d’établir des connexions directes des sites distants vers le cloud.

C’est exactement ce que promettent les réseaux SD-WAN ; toutefois, il est toujours important de mettre en place de nouveaux contrôles de sécurité pour tous vos sites distants. La solution peut être rentable à déployer et à gérer sur une grande échelle, et vos applications ayant migré vers le cloud, elle devra aussi réguler le trafic vers et à partir de vos applications cloud. En adoptant cette approche, vous serez certains d’obtenir une meilleure expérience utilisateur, tout en optimisant votre budget à la fois en OPEX et en CAPEX.

Par où commencer ? Commençons par lister les principales exigences d’un déploiement SD-WAN sécurisé :

  • Déploiement Zero Touch – Lorsque vous avez 50, 100, ou 1000 sites à déployer, vous ne voudrez certainement pas vous déplacer dans chacun d’eux. En fait, vous ne devriez voir aucun équipement SD-WAN, il devrait être livré directement sur le site. Tout au plus, vous devrez juste demander à un responsable de mettre la solution sous tension.
  • Optimisation du réseau WAN – Les connexions Internet classiques coûtent beaucoup moins cher que des liens MPLS, donc vous devrez disposer de beaucoup plus de bande passante pour les même prix ; toutefois, optimiser le trafic en le compressant et en le dé dupliquant reste recommandé et permettra d’optimiser les performances.
  • Firewall avancé – Il s’agit d’un élément essentiel. Il est normal que vous souhaitiez disposer d’une sécurité aussi bonne, sinon meilleure, sur vos sites distants que sur votre site central, – ceci sans le coût ou la complexité associée ? Cela nécessite un firewall conçu pour des environnements distribués et qui profite d’un management centralisé des politiques de sécurité sur une grande échelle. Ceci incluant des contrôles d’accès pour les applications et les utilisateurs, des fonctions IDS/IPS, du filtrage d’URL et des capacités de routage.
  • Protection avancée contre les menaces – Ceci garantit que vos utilisateurs, vos applications et vos données resteront à l’abri de toutes les menaces qu’Internet a à offrir. La plupart des organisations y parviennent déjà grâce à un sandbox centralisé, mais n’oubliez pas que vous allez vers une architecture distribuée qui minimise la centralisation du trafic. La solution ici est une protection avancée contre les menaces basée sur le cloud.
  • Gestion centralisée – Cela doit signifier une gestion centralisée de toutes les fonctions de firewall, indépendamment de la configuration de la sécurité, des contenus, de la gestion du trafic, du réseau, des politiques d’accès ou des mises à jour logicielles, ce qui aidera à réduire les coûts associés à la sécurité et à la maintenance des équipements, tout en offrant des fonctions de dépannage et de connectivité.
  • Intgration Cloud – Faisant partie des objectifs premiers du SD-WAN, la migration vers le cloud a autant pour but d’optimiser les performances des applications que de sécuriser leurs accès. Un VPN le permettra, mais une fois dans le cloud vous devrez tenir compte d’une toute nouvelle série d’exigences, qui ne concerneront pas seulement les applications elles-mêmes, mais aussi les contrôles de sécurité, les méthodes de déploiement et les modes de licence logicielle. Vous aurez besoin d’un équipement firewall/SD-WAN qui ne soit pas seulement étroitement intégré avec les plates-formes cloud, mais qui soit aussi adapté à leurs modes d’utilisation.

Le respect de ces six exigences lors du déploiement de votre SD-WAN pourra grandement simplifier et optimiser votre réseau, améliorer la sécurité et la disponibilité, et générer des économies. Il y a de nombreuses options à considérer lors du déploiement d’un SD-WAN, mais en adoptant d’emblée une stratégie globale, vous pourrez réduire les coûts, obtenir le bon niveau de sécurité pour votre réseau dispersé, et disposer d’une solide voie de migration vers le cloud, aujourd’hui et dans l’avenir.

 

Eric Heddeland, Sr Director EMEA Southern Region & Africa de Barracuda Networks

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.