SD-WAN Qu’est-ce que le SD-WAN ?
Un réseau étendu software-defined (SD-WAN) est une architecture WAN virtuelle qui permet aux entreprises d’exploiter n’importe quelle combinaison de services de transport, notamment les services MPLS, LTE et Internet haut débit, pour connecter en toute sécurité les utilisateurs aux applications.
Comprendre le SD-WAN ?
Le modèle traditionnel de backhauling du trafic des succursales vers le datacenter, qui vise à assurer une inspection de sécurité robuste, n’est plus optimal. Il gaspille de la bande passante, augmente la latence et, par conséquent, nuit aux performances des applications. D’où la nécessité impérieuse d’une meilleure solution permettant d’acheminer directement le trafic via Internet des succursales vers des applications de confiance SaaS ou cloud, tout en maintenant la conformité avec les obligations de sécurité de l’entreprise.
Un SD-WAN garantit des performances et une résilience constantes des applications, automatise l’orientation du trafic en fonction des applications et des intentions métier, améliore la sécurité du réseau et simplifie l’architecture WAN. Un SD-WAN utilise une fonction de contrôle centralisée pour diriger le trafic de manière sécurisée et intelligente à travers le WAN et directement vers des fournisseurs SaaS et IaaS de confiance. Cela permet d’améliorer les performances des applications et d’offrir une expérience utilisateur de haute qualité, ce qui accroît la productivité et l’agilité de l’entreprise tout en réduisant ses coûts informatiques.
L’architecture SD-WAN
Les réseaux WAN traditionnels basés sur des routeurs classiques n’ont jamais été conçus pour le cloud. Ils requièrent généralement un backhauling de l’ensemble du trafic, y compris le trafic destiné au cloud, depuis les succursales jusqu’à un hub ou à un datacenter principal, où des services d’inspection de sécurité avancés peuvent être appliqués. Le retard causé par le backhauling nuit aux performances des applications, ce qui se traduit par une expérience utilisateur dégradée et une perte de productivité.
Contrairement à l’architecture WAN traditionnelle centrée sur le routeur, le modèle SD-WAN est conçu pour prendre entièrement en charge les applications hébergées dans des datacenters sur site, des clouds publics ou privés et des services SaaS tels que Salesforce.com, Workday, Dropbox et Microsoft 365 – pour n’en citer que quelques-uns – tout en offrant des performances applicatives optimales.
Comment fonctionne le SD-WAN ?
Contrairement au SD-WAN, le modèle conventionnel centré sur le routeur distribue la fonction de contrôle entre tous les appareils du réseau et achemine simplement le trafic en fonction des adresses TCP/IP et des listes de contrôle d’accès (ACL). Ce modèle traditionnel est rigide, complexe, inefficace et non adapté au cloud, ce qui se traduit par une expérience utilisateur insatisfaisante.
Un SD-WAN permet aux entreprises orientées cloud d’offrir une qualité d’expérience (QoEx) applicative de premier ordre à leurs utilisateurs. Capable d’identifier les applications, le SD-WAN assure à celles-ci un routage intelligent et adapté sur le réseau étendu. Chaque classe d’applications bénéficie de la qualité de service (QoS) et de la politique de sécurité appropriées, conformément aux besoins métier. La répartition sécurisée du trafic des applications IaaS et SaaS sur l’internet local à partir de la succursale permet d’atteindre les plus hauts niveaux de performances cloud tout en protégeant l’entreprise des menaces.
Pourquoi choisir le SD-WAN ?
Les temps ont changé : désormais, les entreprises utilisent le cloud et souscrivent à des logiciels as-a-service (SaaS). Alors que les utilisateurs se connectaient traditionnellement au datacenter de l’entreprise pour accéder aux applications métier, ils sont désormais mieux servis en accédant à bon nombre de ces mêmes applications dans le cloud.
Par conséquent, le WAN classique n’est plus adapté, principalement parce que le backhauling de la totalité du trafic – y compris celui destiné au cloud – des succursales vers le siège social introduit de la latence et nuit aux performances des applications. Le SD-WAN permet de simplifier le WAN, de réduire les coûts, d’améliorer l’efficacité de la bande passante et d’accéder de manière transparente au cloud avec d’excellentes performances applicatives – en particulier pour les applications critiques – sans sacrifier en rien la sécurité et la confidentialité des données. Et ces performances applicatives améliorées augmentent la productivité de l’entreprise, la satisfaction des clients et, au final, la rentabilité, tandis qu’une sécurité cohérente réduit les risques pour l’entreprise.
SD-WAN basique et SD-WAN sécurisé orienté métier
- Tous les SD-WAN ne se valent pas. Beaucoup de solutions SD-WAN sont basiques ou « tout juste suffisantes ». Ces solutions n’offrent pas l’intelligence, la sécurité, les performances et la portée nécessaires pour garantir une expérience réseau sécurisée. N’oubliez pas que sans un réseau rapide, sécurisé et performant, les initiatives de transformation digitale de l’entreprise risquent de s’enliser. Catalyseur essentiel de la transformation digitale, le SD-WAN oriente les décisions stratégiques au sein de l’entreprise. Alors, qu’est-ce qu’un SD-WAN sécurisé orienté métier, et pourquoi un SD-WAN basique n’est-il pas suffisant ?
- Une qualité d’expérience (QoEx) constante. L’un des principaux avantages d’une solution SD-WAN avancée est la possibilité d’utiliser activement et simultanément plusieurs formes de transport WAN. Une solution basique peut diriger le trafic de chaque application vers un chemin unique et, si ce chemin échoue ou devient moins performant, rediriger dynamiquement le trafic vers une liaison plus performante. Cependant, avec beaucoup de ces solutions basiques, les basculements en cas de panne prennent des dizaines de secondes ou plus, d’où une interruption pénible de l’application concernée. Un SD-WAN orienté métier surveille et gère plus intelligemment tous les services de transport de sous-couche. Il est capable de surmonter les problèmes de perte de paquets, de latence et de gigue pour offrir aux utilisateurs des performances applicatives et une qualité d’expérience optimales, même lorsque les services de transport WAN sont perturbés. Contrairement à un réseau SD-WAN basique, un SD-WAN orienté métier peut gérer une panne totale de transport de manière transparente et assurer des basculements en moins d’une seconde qui n’interrompent pas les applications critiques de l’entreprise telles que les communications vocales et vidéo.
- Un autoapprentissage continu. Une solution SD-WAN basique dirige le trafic selon des règles prédéfinies, généralement programmées via des modèles. Un SD-WAN orienté métier offre des performances applicatives optimales quels que soient l’état du réseau ou les changements subis par celui-ci, y compris en cas de congestion ou de dégradation du trafic. Grâce à une surveillance continue et à l’autoapprentissage, un SD-WAN orienté métier réagit automatiquement et en temps réel à tout changement dans l’état du réseau. Il s’adapte automatiquement et en temps réel à tout changement susceptible d’avoir une incidence sur les performances des applications, notamment la congestion du réseau, les pannes de courant et les interruptions de transport, de sorte que les utilisateurs ont toujours la possibilité de se connecter aux applications sans intervention manuelle du service informatique. Par exemple, si un service de transport WAN ou un service de sécurité cloud subit une baisse de performance, le réseau s’adapte automatiquement pour maintenir le trafic tout en respectant les politiques de l’entreprise.
- Un réseau multicloud. Les SD-WAN avancés peuvent être déployés dans un cloud public comme AWS, Azure ou Google Cloud pour optimiser les connexions entre les succursales et le cloud en utilisant tous les avantages du SD-WAN. En cas de panne de courant, la ou les liaisons restantes continuent d’acheminer le trafic, de sorte que les utilisateurs ne remarquent aucune interruption des appels vocaux, des conférences audio ou vidéo, ou de toute autre application. Un premier kilomètre robuste entre la succursale et le cloud public offre des performances, une fiabilité et une qualité de réseau accrues.
- Un pare-feu nouvelle génération intégré. Un SD-WAN sécurisé orienté métier doit inclure un pare-feu nouvelle génération pour sécuriser efficacement les sites de succursale. Les principales fonctionnalités comprennent l’inspection de paquets en profondeur (DPI) ainsi que la détection et la prévention des intrusions (IDS/IPS). Certains SD-WAN avancés peuvent même protéger les entreprises contre les attaques par déni de service (DDoS). L’intégration d’un pare-feu nouvelle génération permet aux entreprises de remplacer facilement les pare-feu de succursale existants, réduisant ainsi l’encombrement matériel. En outre, les politiques de sécurité sont gérées de manière centralisée, ce qui élimine la nécessité de disposer localement de personnel informatique qualifié et évite les erreurs de configuration. Par rapport à un pare-feu traditionnel qui nécessite souvent de configurer les politiques appareil par appareil, les politiques de sécurité configurées de manière centralisée sont beaucoup plus cohérentes en raison de la réduction du nombre d’erreurs humaines. Si une politique doit être modifiée, le SD-WAN orienté métier permet de programmer la modification une fois et de la transmettre à des dizaines, des centaines ou même des milliers de nœuds sur le réseau, ce qui accroît considérablement l’efficacité opérationnelle tout en réduisant la surface d’attaque globale et en évitant les violations de sécurité.
- Une segmentation basée sur les rôles. Alors que les SD-WAN basiques fournissent l’équivalent d’un service VPN, un SD-WAN sécurisé orienté métier offre une segmentation bien plus complète, basée de bout en bout sur un rôle. Outre la prise en charge d’un pare-feu de nouvelle génération, la plateforme SD-WAN doit orchestrer et appliquer la segmentation de bout en bout entre LAN, WAN et datacenter ainsi qu’entre LAN, WAN et cloud. En ajoutant l’identité des utilisateurs et des appareils ainsi qu’une politique basée sur les rôles, les SD-WAN sécurisés avancés assurent une segmentation fine et appliquent une sécurité zero trust. Un SD-WAN sécurisé crée ensuite des zones de bout en bout, du LAN au WAN, pour toute combinaison d’utilisateurs, d’appareils, de groupes d’applications et de superpositions virtuelles, en propageant les politiques de sécurité à tous les sites distants. Basé sur le principe de l’accès au moindre privilège, il garantit que les utilisateurs et les devices IoT ne communiquent qu’avec des destinations compatibles avec leur rôle dans l’entreprise, tout en réduisant le nombre d’accès non autorisés et en limitant la portée des incidents.
- Une répartition sécurisée du trafic des applications cloud sur l’Internet local. Beaucoup de SD-WAN basiques classent les applications selon des définitions fixes et des listes de contrôle d’accès écrites manuellement pour orienter le trafic SaaS et IaaS directement sur Internet. Cependant, les applications cloud changent constamment. Un SD-WAN orienté métier s’adapte en permanence aux changements et fournit quotidiennement des définitions d’applications et des mises à jour d’adresses IP automatisées. Cela permet d’éliminer les problèmes d’interruption d’application et de productivité des utilisateurs.
Idéalement, les entreprises devraient adopter une plateforme SD-WAN orientée métier qui unifie les fonctions de SD-WAN, de pare-feu, de segmentation, de routage, d’optimisation réseau, de visibilité et de contrôle sur une console unique gérée de manière centralisée.
Des fonctionnalités SD-WAN avancées pour le SASE
Le SASE associe le SD-WAN à des fonctions de sécurité cloud appelées « Security Service Edge » (SSE). Le SSE regroupe l’ensemble des services de sécurité qui permettent de concrétiser la vision de la sécurité propre au SASE. Les fonctionnalités clés du SSE comprennent le ZTNA (Zero Trust Network Access), le SWG (Secure Web Gateway) et le CASB (Cloud Access Security Broker).
L’objectif ultime du SASE est d’assurer la sécurité et la performance des entreprises axées sur le cloud et des environnements de travail hybrides tandis que les utilisateurs accèdent à des données sensibles depuis n’importe où et naviguent sur des sites Web non sécurisés. Pour avoir travaillé avec de nombreuses entreprises ayant conçu et déployé leur architecture SASE, nous savons que les fonctionnalités du SD-WAN basique ne suffisent pas. Un SD-WAN doté de fonctionnalités de réseau et de sécurité avancées est nécessaire pour permettre au SASE de remplir toutes ses fonctions :
- S’intégrer de manière transparente à une solution SSE pour former une architecture SASE unifiée et cohérente
- Automatiser l’orchestration entre le SD-WAN et le SSE à partir d’une console unique pour simplifier cette intégration
- Identifier le trafic applicatif dès le premier paquet et l’orienter de manière granulaire vers une solution SSE en fonction de politiques de sécurité prédéfinies
- Basculer automatiquement vers un point secondaire d’implémentation de la sécurité cloud afin d’éviter toute interruption d’application
- Reconfigurer automatiquement les connexions sécurisées vers les points d’implémentation de la sécurité cloud si un nouvel emplacement plus proche de la succursale devient disponible
- Permettre aux entreprises de déployer facilement de nouveaux services de sécurité cloud et leurs implémentations SASE
HPE et le SD-WAN
HPE Aruba Networking EdgeConnect SD-WAN est un portefeuille complet d’options de déploiement d’accès qui permet de connecter les entreprises de l’edge au cloud à un seul et même fabric SD-WAN couvrant tous leurs environnements : infrastructure sur site, datacenter, cloud et SaaS. La solution comprend trois types de modèles de déploiement (ou « onramps ») adaptés au fabric SD-WAN, offrant ainsi une connectivité réseau transparente, sécurisée et performante depuis le siège, le datacenter, les campus, les succursales et les petits bureaux, ainsi qu’aux utilisateurs en télétravail ou en déplacement, afin de permettre à tous d’accéder aux applications, aux données et aux services en tout lieu.
- EdgeConnect SD-WAN permet aux administrateurs informatiques de concevoir un réseau SD-WAN avancé qui apprend et s’adapte continuellement à l’évolution des besoins de l’entreprise, et qui fournit de manière flexible des performances applicatives et des performances réseau optimales, de l’edge au cloud.
- EdgeConnect SD-Branch permet aux administrateurs informatiques de consolider les composants réseau des succursales pour assurer une intégration maximale entre WLAN, LAN et SD-WAN, avec une sécurité intégrée et une prise en charge LTE embarquée, le tout géré de manière centralisée dans le cloud.
- EdgeConnect Microbranch convient parfaitement aux petits bureaux ou aux sites de travail à domicile. Cette option à encombrement minimal utilisant une gamme de points d’accès à distance (RAP) HPE Aruba Networking assure une connectivité WAN sécurisée au réseau d’entreprise et des intégrations automatisées avec des services de sécurité cloud.
Le fabric EdgeConnect SD-WAN garantit une expérience de qualité optimale et des performances hors pair en assurant une adaptation continue, une sécurité permanente et l’agilité nécessaire aux réseaux WAN les plus exigeants. Il s’appuie sur l’automatisation, le machine learning et l’IA pour offrir des fonctionnalités avancées qui réduisent la charge de travail des services informatiques en éliminant la complexité et les tâches manuelles intensives nécessaires pour déployer, configurer et maintenir de grands réseaux distribués.
Le fabric EdgeConnect SD-WAN s’étend facilement au datacenter, aux applications IaaS/SaaS et aux clouds privés. Les intégrations automatisées simplifient la connectivité multicloud pour AWS, Microsoft Azure, Google, Equinix, Megaport et autres services cloud.
Le fabric EdgeConnect SD-WAN automatise l’intégration avec HPE Aruba Networking SSE pour offrir une plateforme SASE unifiée, ainsi qu’avec des solutions partenaires de sécurité cloud.
