SD‑WAN sécurisé Qu’est-ce qu’un SD‑WAN sécurisé ?
Un SD‑WAN sécurisé accélère la transition vers le SASE (Secure Access Service Edge). Il combine des capacités SD‑WAN avancées comme l’agrégation de liens (« tunnel bonding »), la sélection de chemins dynamique et le provisionnement sans intervention avec des fonctionnalités de pare-feu de nouvelle génération comme IDS/IPS et la protection DDoS. Il s’intègre de manière fluide avec les services de sécurité déployés dans le cloud (SSE, Security Service Edge) et applique des règles réseau et de sécurité cohérentes à tous les sites de l’entreprise.
- Présentation d’un SD‑WAN sécurisé
- Comment fonctionne un SD‑WAN sécurisé ?
- Comment un SD‑WAN sécurisé applique-t-il les règles de sécurité de bout en bout
- Pour quelles raisons choisir un SD‑WAN sécurisé ?
- Quels sont les avantages d’un SD‑WAN sécurisé ?
Présentation d’un SD‑WAN sécurisé
Au fil des années, les succursales et les sites distants ont connu une véritable prolifération de leurs équipements réseau et de sécurité. Il est devenu difficile d’entretenir tous ces équipements, lesquels, de surcroît, n’ont pas été conçus pour le cloud. Avec les architectures WAN traditionnelles articulées autour de routeurs, le trafic doit être envoyé vers le datacenter de l’entreprise pour y subir des inspections de sécurité, ce qui affecte considérablement les performances des applications. Par ailleurs, les règles de sécurité ne sont pas cohérentes d’un bureau à un autre, ce qui peut exposer l’ensemble d’une organisation à des failles de sécurité.
Non seulement un SD‑WAN sécurisé permet aux organisations de se débarrasser de leurs routeurs classiques, mais il remplace aussi les pare-feux en place dans les bureaux locaux.
Le SD‑WAN sécurisé conjugue des capacités SD‑WAN et de sécurité avancées qui permettent aux organisations de réduire le nombre de leurs devices et d’appliquer des règles harmonisées dans leurs bureaux. Il améliore également les performances des applications en choisissant le meilleur chemin et en dirigeant automatiquement le trafic vers le cloud. Il apporte les fonctions de sécurité nécessaires aux succursales et vient compléter le SSE, qui prend en charge d’autres options de sécurité comme l’accès réseau zero trust (ZTNA), les passerelles web sécurisées (SWG) et le courtier en sécurité d’accès au cloud (CASB).
Comment fonctionne un SD‑WAN sécurisé ?
Les solutions de SD‑WAN sécurisé déploient des fonctions de sécurité avancées pour la protection des succursales. Elles permettent notamment les actions suivantes :
- Sécuriser les communications à l’échelle du fabric réseau SD‑WAN en créant des tunnels IPsec chiffrés en AES 256 bits
- Introduire des fonctions de pare-feu de nouvelle génération comme l’inspection de paquets en profondeur, la prévention des intrusions et la protection DDoS
- Segmenter le trafic en fonction des rôles et des identités
- Appliquer les règles en vigueur aux fonctions spécifiques du WAN et aux politiques de sécurité
- Consigner les événements de sécurité afin d’accélérer l’identification et le traitement des incidents
Par ailleurs, le SD‑WAN s’intègre étroitement aux services SSE pour former une architecture SASE qui permet de sécuriser les utilisateurs distants accédant à des données sensibles dans le cloud via des liens non approuvés. Cette intégration lui confère des capacités additionnelles comme l’accès réseau zero trust (ZTNA), les passerelles web sécurisées (SWG), le courtier en sécurité d’accès au cloud (CASB), le pare-feu as-a-service (FWaaS), l’isolation de navigateur distant (RBI) et le sandboxing.
Outre ces fonctions de sécurité, un SD‑WAN sécurisé peut combiner en toute simplicité des liaisons de types divers (MPLS, internet, 5G, et autres) grâce à l’agrégation de liens, ce qui permet d’augmenter la bande passante réseau et de créer des redondances. En cas de coupure de courant ou de panne réseau, la liaison ou les liaisons encore en service prennent le relais et continuent d’acheminer le trafic en assurant dépendance et fiabilité.
Les organisations peuvent même remplacer leurs connexions MPLS coûteuses par des liaisons purement Internet. En effet, la solution emploie des techniques comme la correction d’erreur sans voie de retour (FEC), pour reconstituer les paquets perdus à l’adresse de destination, ce qui réduit la gigue et les pertes de paquets typiques des liaisons internet. Elle résout également les problèmes de latence liés aux grandes distances géographiques grâce à un mécanisme d’optimisation WAN par accélération TCP et réduction des données.
De plus, un SD‑WAN sécurisé achemine le trafic en se basant sur les objectifs métier plutôt que sur les adresses TCP/IP. Il intègre généralement un routeur prenant en charge les protocoles OSPF et BGP. Pour s’adapter à la migration croissante des charges de travail vers le cloud, un SD‑WAN sécurisé permet aux organisations d’envoyer intelligemment le trafic dans le cloud en fonction du type d’application, sans le rediriger vers le datacenter. Par exemple, le trafic d’applications cloud approuvées comme Microsoft 365 ou Workday peut être envoyé directement vers le cloud, alors que celui des anciennes applications propriétaires est renvoyé vers le datacenter. Un SD‑WAN avancé a recours au provisionnement sans intervention pour distribuer automatiquement les mises à jour de configuration à des centaines voire des milliers de succursales en seulement quelques minutes et avec un taux d’erreur minimal.
Comment un SD‑WAN sécurisé applique-t-il les règles de sécurité de bout en bout
Dans les environnements traditionnels, les pare-feux locaux sont configurés manuellement. Ceci nécessite de longues heures de programmation sur des centaines voire des milliers de sites, et se traduisent par des règles de sécurité non harmonisées au sein d’un réseau étendu (WAN). En revanche, avec un SD‑WAN sécurisé, la configuration des règles de sécurité est centralisée. Ces règles peuvent ensuite être transmises à des milliers de sites en seulement quelques minutes, ce qui limite les erreurs et garantit une mise en application cohérente.
Un SD‑WAN sécurisé assure une segmentation réseau de bout en bout, depuis le LAN jusqu’au WAN voire au cloud. Les règles de sécurité sont définies zone par zone, ce qui a pour effet de limiter la connectivité interzone conformément aux règles de sécurité prédéfinies, aux obligations réglementaires et aux objectifs métier de l’entreprise. Par exemple, une règle pourrait autoriser uniquement le trafic sortant, ou n’admettre que le trafic entrant issu d’applications ou de services approuvés, ou encore bloquer tout le trafic provenant de zones peu sûres. Utiliser un SD‑WAN sécurisé simplifie considérablement les opérations, car celui-ci se comporte comme un pare-feu logique unique couvrant l’ensemble du fabric réseau.
Pour quelles raisons choisir un SD‑WAN sécurisé ?
- Pour se débarrasser des pare-feux et des routeurs de succursale traditionnels
Les solutions avancées de SD‑WAN sécurisé conjuguant des capacités de pare-feu nouvelle génération avec le contrôle d’accès en fonction du rôle, la segmentation fine, IDS/IPS et la protection DDoS permettent aux organisations de remplacer aisément les pare-feux de leurs succursales. Elles peuvent également sécuriser les liens non approuvés au moyen de tunnels IPsec, et appliquer des règles de manière fluide au sein d’une succursale ou du WAN à l’aide d’une orchestration centralisée. Par ailleurs, un SD‑WAN sécurisé intègre des capacités de routage axées sur l’activité leur permettant de remplacer les routeurs de leurs succursales. - Pour simplifier l’architecture des succursales
Comme il intègre plusieurs fonctions, à savoir le SD‑WAN, le routage, l’optimisation WAN et le pare-feu, un SD‑WAN sécurisé permet de réduire l’empreinte matérielle et la consommation électrique des succursales en consolidant leurs fonctions réseau et sécurité dans une seule solution. Il est également possible d’installer un SD‑WAN sécurisé sous la forme d’une appliance virtuelle, ce qui permet d’économiser encore plus de place et d’électricité. Grâce au provisionnement sans intervention, cette solution peut être déployée facilement sur des milliers de sites depuis une seule console, d’où un gain d’efficacité et une gestion plus fluide pour le département informatique. - Pour prendre en charge une architecture orientée cloud
Un SD‑WAN sécurisé dirige intelligemment le trafic vers le cloud et élimine la nécessité d’un renvoi vers le datacenter, ce qui améliore les performances des applications. Après identification du premier paquet, le trafic SaaS et web approuvé peut être envoyé directement sur internet, le reste du trafic (inconnu ou non approuvé) étant transmis aux services cloud SSE. - Sécurisation des équipements IoT
Un SD‑WAN sécurisé applique une segmentation réseau selon une approche zero trust, de façon à sécuriser les appareils IoT qui ne sont pas en mesure d’exécuter des agents de sécurité et échappent de fait au SASE. Il s’appuie sur un cadre de contrôle d’accès sécurisé basé sur l’identité pour segmenter le trafic de telle sorte que les utilisateurs ou les devices IoT ne puissent atteindre que les destinations réseau correspondant à leur rôle dans l’entreprise.
Quels sont les avantages d’un SD‑WAN sécurisé ?
- Augmenter l’efficacité informatique
Un SD‑WAN sécurisé prend en charge toutes les fonctions réseau et de sécurité requises, et permet de réduire l’empreinte matérielle des succursales. Cette solution permet aux organisations de passer à un modèle de succursale léger, qui fluidifie la gestion du réseau et de la sécurité. - Renforcer la flexibilité
Un SD‑WAN sécurisé offre plus de flexibilité lors de la mise en œuvre des contrôles de sécurité et des fonctions réseau dans les succursales. C’est une solution facile et rapide à déployer. - Réduction des risques d’entreprise
Un SD‑WAN sécurisé garantit la sécurité au sein du fabric SD‑WAN, en déployant des capacités de microsegmentation de bout en bout englobant les réseaux WAN et LAN. Il permet ainsi aux organisations d’assurer leur conformité aux normes et réglementations en vigueur telles que HIPAA, PCI DSS, SOX ou encore NIST CSF.
