Qu’est-ce que SD-WAN ?
Un réseau SD-WAN (Software-defined Wide Area Network) est une architecture WAN virtuelle qui permet aux entreprises de connecter les utilisateurs aux applications de façon sécurisée avec n’importe quelle combinaison de services de transport (notamment les services MPLS, LTE et Internet haut débit).
Présentation du SD-WAN
Le modèle traditionnel d’acheminement du trafic des succursales vers le datacenter pour une inspection de sécurité robuste n’est plus optimal, car il gaspille la bande passante et ajoute de la latence, ce qui finit par nuire aux performances des applications. Il existe un réel besoin d’un meilleur moyen d’envoyer le trafic directement sur Internet depuis les succursales vers des applications fiables, SaaS et basées dans le cloud, tout en maintenant la conformité avec les mandats de sécurité des entreprises.
Un SD‑WAN garantit des performances et une résilience constantes des applications, automatise l’orientation du trafic en fonction des applications et des objectifs de l’entreprise, améliore la sécurité du réseau et simplifie l’architecture WAN. Un SD-WAN utilise une fonction de contrôle centralisée pour diriger le trafic de manière sûre et intelligente à travers le WAN et directement vers les fournisseurs SaaS et IaaS de confiance. Cela permet d’augmenter les performances des applications et d’offrir une expérience utilisateur de haute qualité, ce qui accroît la productivité et l’agilité de l’entreprise et réduit les coûts informatiques.
Architecture du SDN HPE
Les WAN traditionnels, reposant sur des routeurs conventionnels, n’ont jamais été conçus pour le cloud. En général, ils nécessitent de réacheminer tout le trafic, même celui destiné au cloud, des succursales vers un hub ou le datacenter du siège, où des services d’inspection de sécurité avancée peuvent être assurés. Le réacheminement entraîne un retard, qui affecte les performances des applications et nuit à l’expérience utilisateur et à la productivité.
Contrairement à l’architecture WAN traditionnelle, axée sur le routeur, le modèle du SD-WAN est pensé pour prendre pleinement en charge les applications hébergées sur les datacenters sur site, dans les clouds publics ou privés et dans les services SaaS comme Salesforce.com, Workday, Dropbox, Microsoft 365 et autres, tout en offrant les meilleurs niveaux de performances applicatives.
Comment le SD-WAN fonctionne-t-il ?
Contrairement au SD-WAN, le modèle conventionnel axé sur le routeur distribue la fonction de contrôle à tous les appareils du réseau et oriente simplement le trafic en fonction des adresses TCP/IP et des ACL. Or, ce modèle traditionnel est rigide, complexe, inefficace et inadapté au cloud, ce qui se traduit par une mauvaise expérience utilisateur.
Avec un SD-WAN, les entreprises cloud-first offrent une meilleure qualité d’expérience (QoE) applicative aux utilisateurs. Un SD-WAN identifie les applications et tient compte des résultats pour orienter intelligemment le trafic dans le WAN. Chaque classe d’applications bénéficie des politiques de sécurité et de QoS appropriées, conformément aux besoins métiers. L’Internet Breakout sécurisé et local du trafic applicatif IaaS et SaaS de la succursale garantit les meilleurs niveaux de performance cloud tout en protégeant l’entreprise contre les menaces.
Pourquoi le SD-WAN ?
Les temps changent et les entreprises passent au cloud et au logiciel as a service (SaaS). Si les utilisateurs se connectaient traditionnellement au datacenter de l’entreprise pour accéder aux applications stratégiques, ils bénéficient aujourd’hui d’une meilleure expérience en y accédant depuis le cloud.
Par conséquent, le WAN traditionnel n’est plus adapté, essentiellement à cause de la nécessité de réacheminer le trafic, y compris celui destiné au cloud, des succursales aux sièges qui engendre des latences et freine les performances des applications. Le SD-WAN simplifie le WAN, réduit les coûts, améliore l’efficacité de la bande passante et offre une bretelle d’accès fluide au cloud avec d’excellentes performances applicatives (surtout pour les applications stratégiques), sans pour autant sacrifier la sécurité et la confidentialité des données. Qui dit meilleures performances applicatives, dit meilleure productivité, meilleure satisfaction client et meilleure rentabilité à terme. En outre, une sécurité homogène limite les risques pour l’entreprise.
Le SD-WAN de base et le SD-WAN orienté entreprise
- Tous les SD-WAN ne sont pas les mêmes. Beaucoup de solutions SD-WAN sont basiques ou seulement satisfaisantes. Elles n’ont pas l’intelligence, la fiabilité, les performances ou l’évolutivité nécessaires pour offrir une expérience réseau supérieure. Et n’oubliez pas que sans un réseau rapide, sécurisé et haute performance, les initiatives de transformation numérique risquent d’être freinées, car elles reposent sur des applications, qui reposent sur des services, qui reposent eux-mêmes sur le réseau. Le SD-WAN est un moteur essentiel de la transformation numérique ainsi que de la prise de décisions stratégiques dans l’entreprise. Alors, qu’est-ce qu’un SD-WAN orienté entreprise ? Et pourquoi un SD-WAN de base n’est-il pas suffisant ?
- Orchestration et automatisation du cycle de vie. La plupart des offres SD-WAN de base proposent un provisionnement « Zero Touch », mais pas une orchestration complète de bout en bout de toutes les fonctions WAN Edge, comme le routage, les services de sécurité (y compris le chaînage de services de sécurité tiers avancés) et l’optimisation WAN. Quand les entreprises déploient de nouvelles applications ou qu’un changement de politique de sécurité ou de QoS est requis, un SD-WAN orienté entreprise peut être configuré de façon centralisée, permettant le déploiement des changements en quelques minutes seulement et non plus des semaines voire des mois. L’orchestration centralisée réduit considérablement les erreurs humaines qui ont tendance à compromettre la sécurité et nuire aux performances.
- Apprentissage autonome continu. Une solution SD-WAN de base oriente le trafic selon des règles prédéfinies, généralement programmées à l’aide de modèles. Un SD-WAN orienté entreprise, lui, assure des performances applicatives optimales, quelles que soient les conditions ou les évolutions du réseau, y compris en cas de congestion due à une défaillance. Ce type de SD-WAN s’adapte en temps réel à tout changement de l’état du réseau, grâce à une surveillance et un apprentissage autonome continus. Il suit également les évolutions du réseau afin de ne pas affecter les performances des applications, notamment en cas de congestion, coupures ou interruptions de transports. Les utilisateurs peuvent alors se connecter aux applications, même sans intervention manuelle du service informatique. Si, par exemple, les performances d’un service de transport ou de sécurité cloud WAN sont altérées, le réseau s’adapte automatiquement pour maintenir la circulation du trafic, en continuant de respecter les politiques de l’entreprise.
- Qualité d’expérience (QoE) homogène. Une solution SD-WAN avancée présente notamment l’avantage de permettre l’utilisation active et simultanée de plusieurs formes de transport WAN. Une solution de base est capable d’orienter le trafic sur un chemin unique en fonction des applications et, si ce chemin est défaillant ou sous-performant, elle le réoriente vers une liaison plus performante. Toutefois, avec les solutions de base, le temps de basculement se mesure souvent en dizaines de secondes ou plus, ce qui peut entraîner des interruptions d’applications gênantes. Un SD-WAN orienté entreprise, en revanche, surveille et gère intelligemment tous les services de transport sous-jacents. Il est capable de faire face à la perte de paquets, aux latences et aux problèmes de décalages pour offrir les meilleures performances applicatives et QoE aux utilisateurs, même lorsque les services de transport WAN sont affectés. Contrairement à un SD-WAN de base, celui-ci sait gérer une panne totale des transports en toute fluidité et assure un basculement en moins d’une seconde pour ne pas interrompre l’utilisation des applications stratégiques, comme les communications audio et vidéo.
- Segmentation de bout en bout. Si les SD-WAN de base offrent l’équivalent d’un service VPN, un SD-WAN orienté entreprise est doté de fonctionnalités complètes de sécurité de bout en bout. En plus de prendre en charge un pare-feu de nouvelle génération, la plateforme SD-WAN doit orchestrer et imposer une segmentation de bout en bout sur le LAN-WAN-Datacenter et le LAN-WAN-cloud. Lorsqu’elles sont configurées de manière centralisée, les politiques de sécurité sont bien plus cohérentes et contiennent moins d’erreurs humaines que celles reposant sur un modèle WAN orienté appareil ou un modèle SD-WAN de base, pour lequel les politiques doivent souvent être configurées pour chaque appareil. Si une politique a besoin d’être changée, la modification est apportée de manière centralisée dans un SD-WAN orienté entreprise et appliquée à des dizaines, des centaines, voire des milliers de nœuds sur le réseau, pour un gain d’efficacité opérationnelle significatif, une réduction de la surface d’attaque et une élimination des risques de violation de sécurité.
- Internet Breakout local sécurisé pour les applications cloud. Beaucoup de SD-WAN de base offrent des fonctionnalités de classification des applications sur la base de définitions fixes et d’ACL créées en scripts manuels pour orienter le trafic SaaS et Iaas directement sur Internet. Cependant, les applications cloud évoluent constamment. Un SD-WAN orienté entreprise s’adapte à ces évolutions en continu et fournit chaque jour des mises à jour automatisées des définitions des applications et des adresses IP. Ce processus élimine les interruptions lors de l’utilisation des applications et les problèmes de productivité pour les utilisateurs.
Dans l’idéal, les entreprises doivent migrer vers une plateforme SD-WAN orientée entreprise, qui unifie les fonctions de pare-feu SD-WAN, segmentation, routage, optimisation WAN, visibilité et contrôle. Le tout, depuis une plateforme unique et gérée de façon centralisée.
Fonctionnalités SD-WAN avancées pour SASE
En 2019, Gartner a inventé le terme Secure Access Service Edge (service d’accès sécurisé Edge) ou SASE, qui apporte un moyen plus sûr et plus flexible d’effectuer une inspection de sécurité avancée directement dans le cloud, au lieu d’acheminer le trafic des applications vers un datacenter avant de le transmettre au cloud.
SASE associe le SD-WAN aux fonctions de sécurité nécessaires délivrées dans le cloud, connues sous le nom de Security Service Edge (SSE). Le SSE définit l’ensemble des services de sécurité qui contribuent à concrétiser la vision de la sécurité de SASE.
À terme, l’objectif de l’approche SASE est d’offrir la meilleure qualité d’expérience utilisateur possible pour les applications hébergées dans le cloud, sans compromettre la sécurité. Après avoir travaillé avec de nombreuses entreprises qui ont conçu et déployé leurs architectures SASE, nous avons appris que les fonctionnalités SD-WAN de base ne suffisent pas à remplir cette mission. Un SD-WAN dotés de fonctionnalités réseau avancées est nécessaire pour exploiter pleinement l’architecture SASE :
- Identification du trafic applicatif du premier paquet puis orientation granulaire pour appliquer les politiques de sécurité et de QoS définies par les objectifs métiers ;
- Mise à jour automatique et quotidienne des définitions des applications cloud et des plages d’adresse TCP/IP ;
- Orchestration automatisée des services de sécurité cloud et SD-WAN depuis une console unique pour plus de facilité ;
- Basculement automatique vers un point de mise en application des politiques de sécurité cloud secondaire pour éviter toute interruption dans l’utilisation des applications ;
- Reconfiguration automatique des connexions sécurisées aux points de mise en application des politiques de sécurité cloud lorsqu’un nouvel emplacement se libère près de la succursale ;
- Simplification de l’adoption des services de sécurité cloud (et leurs implémentations SASE) au rythme des clients ;
- Et, surtout, liberté de choix en matière de déploiement des innovations de sécurité au fur et à mesure que les fournisseurs les proposent afin de parer les futures menaces inconnues.