Qu’est-ce qu’un SD-WAN sécurisé ?
Un SD-WAN sécurisé accélère la transition vers le SASE (Secure Access Service Edge). Il combine des capacités SD-WAN avancées comme l’agrégation de liens (« tunnel bonding »), la sélection de chemins dynamique et le provisionnement sans intervention avec des fonctionnalités de pare-feu de nouvelle génération comme IDS/IPS et la protection DDoS. Il s’intègre de manière fluide avec les services de sécurité déployés dans le cloud (SSE, Security Service Edge) et applique des règles réseau et de sécurité cohérentes à tous les sites de l’entreprise.
Présentation du SD-WAN sécurisé
Au fil des années, les succursales et les sites distants ont connu une véritable prolifération de leurs équipements réseau et de sécurité. Il est devenu difficile d’entretenir tous ces équipements, qui, de surcroît, n’ont pas été conçus pour le cloud. Avec les architectures WAN traditionnelles articulées autour de routeurs, le trafic doit être envoyé vers le datacenter de l’entreprise pour y subir des inspections de sécurité, ce qui affecte considérablement les performances des applications. Par ailleurs, les règles de sécurité ne sont pas cohérentes d’un bureau à un autre, ce qui peut exposer l’organisation dans son ensemble à des failles de sécurité.
Non seulement un SD-WAN sécurisé permet aux organisations de se débarrasser de leurs routeurs classiques, mais il remplace aussi les pare-feu en place dans les bureaux locaux.
Le SD-WAN sécurisé conjugue des capacités SD-WAN et de sécurité avancées qui permettent aux organisations de réduire leur nombre d’appareils et d’appliquer des règles harmonisées dans leurs différents bureaux locaux. Il améliore également les performances des applications en choisissant le meilleur chemin et en dirigeant automatiquement le trafic vers le cloud. Il apporte les fonctions de sécurité nécessaires aux succursales et vient compléter le SSE, qui prend en charge d’autres options de sécurité comme l’accès réseau zero trust (ZTNA), les passerelles web sécurisées (SWG) et le courtier en sécurité d’accès au cloud (CASB).
Comment fonctionne le SD-WAN sécurisé ?
Les solutions de SD-WAN sécurisé déploient des fonctions de sécurité avancées pour la protection des succursales. Elles offrent notamment les possibilités suivantes :
- Sécuriser les communications à l’échelle du fabric réseau SD-WAN en créant des tunnels IPsec chiffrés en AES 256 bits
- Introduire des fonctions de pare-feu de nouvelle génération comme l’inspection de paquets en profondeur, la prévention des intrusions et la protection DDoS
- Segmenter le trafic en fonction des rôles et des identités
- Appliquer les règles correspondant aux fonctions spécifiques au WAN aussi bien qu’aux politiques de sécurité
- Consigner les événements de sécurité afin d’accélérer l’identification et le traitement des incidents
De plus, le SD-WAN s’intègre étroitement avec les services SSE pour former une architecture SASE, qui permet de sécuriser les utilisateurs distants accédant à des données sensibles dans le cloud via des liens non approuvés. Cette intégration lui confère des capacités additionnelles comme l’accès réseau zero trust (ZTNA), les passerelles web sécurisées (SWG), le courtier en sécurité d’accès au cloud (CASB), le pare-feu as-a-service (FWaaS), l’isolation de navigateur distant (RBI) et le sandboxing.
Outre ces fonctions de sécurité, le SD-WAN sécurisé peut combiner en toute simplicité des liaisons de différents types (MPLS, internet, 5G, et autres) grâce à l’agrégation de liens, ce qui permet d’augmenter la bande passante réseau et de créer des redondances. En cas de coupure de courant ou de panne réseau, la ou les liaisons qui subsistent prennent le relais et continuent d’acheminer le trafic, d’où un gain de fiabilité.
Les organisations peuvent même remplacer leurs connexions MPLS coûteuses par des liaisons purement internet. En effet, la solution emploie des techniques comme la correction d’erreur sans voie de retour (FEC), pour reconstituer les paquets perdus à l’adresse de destination, ce qui réduit la gigue et les pertes de paquets typiques des liaisons internet. Elle résout également les problèmes de latence liés aux grandes distances géographiques grâce à un mécanisme d’optimisation WAN par accélération TCP et réduction des données.
De plus, le SD-WAN sécurisé achemine le trafic en se basant sur les objectifs métier plutôt que sur les adresses TCP/IP, et il intègre généralement un routeur prenant en charge les protocoles OSPF et BGP. Pour s’adapter à la migration croissante des charges de travail vers le cloud, le SD-WAN sécurisé permet aux organisations d’envoyer intelligemment le trafic dans le cloud en fonction du type d’application sans le rediriger vers le datacenter. Par exemple, le trafic d’applications cloud approuvées comme Microsoft 365 ou Workday peut être envoyé directement vers le cloud, alors que celui des anciennes applications propriétaires est renvoyé vers le datacenter. Les SD-WAN avancés ont recours au provisionnement sans intervention pour distribuer automatiquement les mises à jour de configuration à des centaines ou même des milliers de succursales en seulement quelques minutes et avec un taux d’erreur minimal.
Comment le SD-WAN sécurisé applique les règles de sécurité de bout en bout
Dans les environnements traditionnels, les pare-feu locaux sont configurés manuellement. Cela demande de longues heures de programmation sur des centaines ou des milliers de sites, avec pour résultat des règles de sécurité non harmonisées à l’échelle du réseau étendu (WAN). Avec le SD-WAN sécurisé, en revanche, la configuration des règles de sécurité est centralisée. Les règles peuvent ensuite être transmises à des milliers de sites en seulement quelques minutes, ce qui limite les erreurs et garantit une mise en application cohérente.
Le SD-WAN sécurisé assure une segmentation réseau de bout en bout du réseau, depuis le LAN jusqu’au WAN et même au cloud. Les règles de sécurité sont définies zone par zone, ce qui a pour effet de limiter la connectivité interzone conformément aux règles de sécurité prédéfinies, aux obligations réglementaires et aux objectifs métier de l’entreprise. Par exemple, une règle pourrait autoriser uniquement le trafic sortant, ou n’admettre que le trafic entrant issu d’applications ou de services approuvés, ou encore bloquer tout le trafic provenant de zones peu sûres. Utiliser un SD-WAN sécurisé simplifie considérablement les opérations, car celui-ci se comporte en substance comme un pare-feu logique unique couvrant l’ensemble du fabric réseau.
Appliquez en toute simplicité vos règles de sécurité sur l’ensemble du fabric réseau, à la manière d’un pare-feu logique unique.
Pour quelles raisons choisir un SD-WAN sécurisé ?
- Pour se débarrasser des pare-feu et routeurs de succursale classiques
Les solutions avancées de SD-WAN sécurisé conjuguant des capacités de pare-feu nouvelle génération avec le contrôle d’accès en fonction du rôle, la segmentation fine, IDS/IPS et la protection DDoS permettent aux organisations de remplacer sans effort leurs pare-feu de succursale. Elles peuvent également sécuriser les liens non approuvés au moyen de tunnels IPsec, et appliquer des règles de manière transparente à l’échelle d’une succursale ou du WAN tout entier grâce à une orchestration centralisée. Le SD-WAN sécurisé intègre par ailleurs des capacités de routage axées sur l’activité permettant de remplacer les routeurs de succursale. - Pour simplifier l’architecture des succursales
Dans la mesure où il intègre plusieurs fonctions, dont le SD-WAN, le routage, l’optimisation WAN et le pare-feu, le SD-WAN sécurisé permet de réduire l’empreinte matérielle et la consommation électrique des succursales en consolidant leurs fonctions réseau et sécurité dans une seule et même solution. Il est également possible d’installer un SD-WAN sécurisé sous forme d’appliance virtuelle, ce qui permet d’économiser encore plus de place et d’électricité. Grâce au provisionnement sans intervention, cette solution peut être déployée facilement sur des milliers de sites depuis une seule console, d’où un gain d’efficacité et une gestion plus fluide pour le département informatique. - Pour prendre en charge une architecture orientée cloud
Le SD-WAN sécurisé dirige intelligemment le trafic vers le cloud et élimine la nécessité de le renvoyer vers le datacenter, ce qui améliore les performances des applications. Après identification du premier paquet, le trafic SaaS et web approuvé peut être envoyé directement sur internet, le reste du trafic (inconnu ou non approuvé) étant transmis aux services cloud SSE. - Sécuriser les équipements IoT
Le SD-WAN sécurisé segmente le réseau selon une approche zero trust, de façon à sécuriser les appareils IoT qui ne sont pas en mesure d’exécuter des agents de sécurité et échappent donc au SASE. Il s’appuie sur un cadre de contrôle d’accès sécurisé basé sur l’identité pour segmenter le trafic de telle sorte que les utilisateurs ou les devices IoT ne puissent atteindre que les destinations réseau correspondant à leur rôle dans l’entreprise.
Quels sont les avantages du SD-WAN sécurisé ?
- Augmenter l’efficacité du département informatique
Le SD-WAN sécurisé prend en charge toutes les fonctions réseau et de sécurité requises et permet de réduire l’empreinte matérielle des succursales. Cette solution permet aux organisations de passer à un modèle de succursales léger qui fluidifie la gestion du réseau et de la sécurité. - Renforcer la flexibilité
Le SD-WAN sécurisé offre une plus grande flexibilité lors de la mise en œuvre des contrôles de sécurité et des fonctions réseau au niveau des succursales. C’est une solution facile et rapide à déployer. - Réduire les risques pour l’entreprise
Le SD-WAN sécurisé garantit la sécurité de l’ensemble du fabric SD-WAN, en déployant des capacités de micro-segmentation de bout en bout qui englobent les réseaux WAN et LAN. Il permet ainsi aux organisations d’assurer leur conformité aux normes et réglementations applicables (HIPAA, PCI DSS et SOX, ou encore les lignes directrices NIST relatives à la cybersécurité).