in

SD-WAN a besoin de la sécurité SD – Par Klaus Gheri, Barracuda Networks

D’ici 2021, la majorité des décideurs dans le monde de l’informatique auront commencé à adopter les réseaux définis par logiciel (SDN). Avec ce seul ordre de grandeur, il est clair que nous sommes à l’aube d’un changement majeur dans le domaine des réseaux distants – puisque le WAN traditionnel est en passe d’être dépassé par son petit frère « défini par le logiciel ».

Bien sûr, le principal moteur derrière SD-WAN est l’utilisation croissante du cloud par les organisations. Il ne s’agit pas seulement du cloud public, mais aussi des applications SaaS (Software-as-a-Service). Bien qu’il soit très rare qu’une organisation transfère soudainement toutes ses applications sur le cloud public, elle s’oriente de plus en plus vers des environnements hybrides et les teste.

Typiquement, une entreprise multi site connecte ses sites via des liens MPLS. Comme nous le savons, les circuits MPLS peuvent être très coûteux et nécessiter des ressources importantes. Cependant, ils sont indéniablement fiables et hautement sécurisés.

Le problème, c’est que les circuits MPLS étaient excellents lorsque votre data center hébergeait toutes vos applications, mais dans un monde où Microsoft Exchange devient de plus en plus Microsoft Office 365, les données qui se trouvaient auparavant dans ce data center sont maintenant dans le cloud. Un changement de paradigme s’opère : le data center sur site se vide progressivement et l’ancien modèle d’infrastructure devient de moins en moins pertinent.

Avec MPLS, même si vous utilisez des applications Cloud, vous réacheminez tout votre trafic Cloud vers votre firewall sur le site central. Bien que cela soit bien sûr très sécurisé, cela provoque un ralentissement du réseau, ce qui contribue à l’accroissement des temps de réponse et complique l’architecture.

En réalité, ce que votre réseau devrait faire, c’est simplement s’assurer que les données circulent directement des sites distants vers le cloud – en toute sécurité. Et comme nous l’avons déjà constaté, si toutes vos applications sont maintenant dans le cloud, cela signifie qu’il n’y a plus rien sur le site central, donc pourquoi maintenir tous ces réseaux MPLS coûteux ?

Le passage au cloud nécessite une nouvelle architecture. Une solution qui englobe la technologie du Cloud et la migration des applications vers le Cloud public : le SD-WAN. Bien sûr, cela entraîne un nouvel ensemble d’exigences en matière de sécurité et une nouvelle façon de penser la sécurité du réseau WAN. Avec la multiplication des cyberattaques sophistiquées, nous ne pouvons pas nous permettre de faire machine arrière en matière de sécurité – nous devons aller de l’avant.

SD-WAN réclame de nouvelles règles de sécurité

Lorsque vous abandonnez votre ancienne architecture, vous devez obtenir le même niveau de sécurité que celui que vous auriez eu sur votre site central et le fournir sur tous vos sites distants.

Votre ancien périmètre de sécurité bien défini a disparu – il est maintenant dispersé sur plusieurs sites. Vos applications sont maintenant dans le cloud. Mais vous devez quand même recréer une configuration de sécurité cohérente quelle que soit la plate-forme à laquelle les utilisateurs accèdent.

Il est généralement admis que pour faire du SD-WAN en toute sécurité, vous avez besoin de cinq briques de fonctionnalités :

  1. Terminaisons SD-WAN – L’agrégation des connexions Internet standard
  2.  Optimisation du réseau WAN – Pour tirer le meilleur parti de la bande passante
  3. Routage – Pour router le trafic
  4. Firewall – Sur chaque site pour recréer le périmètre de sécurité
  5. Protection avancée contre les menaces – telle que la technologie sandboxing.

Pour des raisons cruciales de sécurité, dans un environnement SD-WAN, nous n’avons plus besoin d’un gros firewall centralisé – nous en avions besoin auparavant car l’ensemble du trafic devait le traverser. Toutefois, l’absence de firewall signifie exposer chaque utilisateur de votre réseau aux logiciels malveillants et autres cyberattaques. Nous avons donc besoin du même niveau de sécurité qu’auparavant avec un firewall centralisé.

Vous pouvez y parvenir en le remplaçant par un grand nombre de petits firewalls installés sur chaque site. Ils doivent être connectés au SD-WAN, mais cette fois vous pouvez utiliser des liens Internet bon marché fournis par votre ISP, plutôt que de coûteux circuits MPLS.

L’élément suivant à considérer est le sandboxing. Lorsque vous aviez un firewall centralisé, vous disposiez probablement aussi d’un sandbox centralisé pour tout filtrer, y compris les emails et les téléchargements de logiciels malveillants et autres outils utilisés par les cyber criminels. Typiquement, ce sandbox était installé sur un site central au cœur de votre organisation. Il passait au crible toutes les données téléchargées et les transférait ensuite sur le chemin du retour via le réseau.

Désormais, un sandbox centralisé ne pourra plus fonctionner – car une fois qu’un utilisateur commencera à télécharger un fichier, il devra alors le transférer à votre sandbox centralisé, puis celui-ci devra le retransmettre à l’utilisateur. En fait, votre sandbox sera désormais  isolé sur une île – car vous ne pourrez pas vous permettre d’en installer un sur chaque site.

Mais vous aurez toujours besoin d’un tunnel entre tous les sites pour sécuriser le trafic afin qu’il ne puisse être piraté de l’extérieur. Alors quelle est la solution ? Un mécanisme de sandboxing dans le cloud. En utilisant un SD-WAN, vous pouvez envoyer des informations vers un sandbox dans le cloud, tout en optimisant le trafic afin de prioriser ce qui est important pour votre entreprise.

La même chose, si ce n’est mieux

Donc maintenant c’est fait, vous disposez d’une combinaison de processus qui vous offre le même niveau de sécurité qu’auparavant, voire meilleur, sans que celle-ci soit centralisée. Mais comme elle se trouve également dans le cloud, elle est accessible de n’importe où, ce qui signifie que les utilisateurs travaillant depuis n’importe quel endroit sont protégés.

Cependant, vous ne voulez pas être obligé de configurer et maintenir ces cinq éléments différents de votre SD-WAN. Comme vous pouvez l’imaginer, si vous êtes une organisation avec plusieurs centaines de sites, cela pourrait rapidement devenir compliqué.

Nous vous recommandons toujours de privilégier une mise en œuvre automatisée dans la mesure du possible, afin d’économiser du temps et de l’argent. L’installation automatisée est le Saint-Graal du SD-WAN, car il peut être livré directement sur le site distant et configuré à partir du cloud. Une fois installée, la configuration est automatiquement envoyée sur l’équipement et le tour est joué.

Les tactiques des cybercriminels devenant de plus en plus sophistiquées, il est naturel de supposer qu’ils commenceront bientôt à diriger leurs attaques sur les environnements SD-WAN, à la recherche de vulnérabilités au sein de votre architecture. Assurez-vous de ne laisser aucun maillon faible en mettant en place une politique de sécurité adaptée à un environnement défini par logiciel.

Par Klaus Gheri, VP Développement produits chez Barracuda Networks

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.