Six conseils pour un déploiement SD-WAN sécurisé

Les entreprises dont les sites sont répartis dans tout le pays ou dans le monde entier les relient souvent par des lignes MPLS (Multiprotocol Label Switching). Mais cette architecture est aujourd'hui dépassée, notamment en raison de l'utilisation croissante des technologies de l'informatique en nuage. Les utilisateurs, les données et les applications sont aujourd'hui très dispersés, les employés travaillent de partout et utilisent une multitude d'appareils. Avant cette évolution, la mise en place de contrôles de sécurité était relativement simple dans la mesure où il existait un périmètre défini autour de tous les actifs d'une entreprise à protéger. Les équipes informatiques pouvaient ainsi déployer une multitude de technologies de sécurité de manière centralisée. Les sites distants étaient inclus dans ce périmètre de sécurité en redirigeant tout le trafic via MPLS vers un grand pare-feu central, qui assurait la régulation du trafic et l'application des politiques de sécurité.

Une série de défis

Le périmètre du réseau se dissout lorsque les applications et les utilisateurs le dépassent. Cela rend plus complexe la mise en œuvre des contrôles de sécurité avec les outils existants. En outre, les applications qui étaient auparavant hébergées dans le centre de données ont en quelque sorte migré vers le cloud (soit par SaaS, soit par le cloud public). Ces applications peuvent perdre en performance lorsqu'elles sont exécutées sur des sites distants, principalement en raison du temps de latence causé par tous les circuits MPLS qui assurent le retour du trafic vers le site principal.

Prenez par exemple Office 365, qui était auparavant un serveur Exchange dans le centre de données. Souvent, les entreprises font l'expérience d'une mauvaise expérience utilisateur ou de performances lentes parce qu'elles vont chercher le trafic de données au siège de l'entreprise via MPLS et l'envoient ensuite sur Internet. Pour résoudre ce problème, les sites distants ont besoin d'une connexion directe au cloud. C'est exactement ce que propose SD-WAN. Cependant, il est important de mettre en place de nouveaux contrôles de sécurité pour tous les sites distants. Ces solutions sont généralement rentables à mettre en œuvre et faciles à faire évoluer, et comme les applications migrent vers le cloud, la solution de sécurité doit également réguler le trafic vers et depuis les applications du cloud. Cette approche permet aux entreprises d'optimiser l'expérience utilisateur tout en réduisant leurs dépenses d'exploitation et d'investissement.

Six exigences clés pour un déploiement SD-WAN sécurisé

1. déploiement "Zero Touch" : Si une entreprise dispose de 50, 100, 1000 sites distants ou plus, il n'est pas réaliste de vouloir visiter chacun de ces sites pour le déploiement du SD-WAN. Grâce au déploiement "zero touch" et à la gestion centralisée, il suffit d'un collaborateur sur place qui met la solution en service en appuyant sur un bouton.

2. l'optimisation du WAN : La compression et la déduplication sont deux possibilités d'optimiser le trafic de données et d'améliorer la bande passante. Les paquets de données peuvent être identifiés à l'aide de valeurs de hachage. Ainsi, le contenu déjà transmis peut être stocké temporairement ou compressé sur l'appliance, de sorte que seule la valeur de hachage beaucoup plus petite doit encore être transmise. La déduplication réduit la transmission répétée ou parallèle de données identiques sur le WAN. Les informations fréquemment demandées sont stockées temporairement en local ou les contenus identiques sont regroupés. En fin de compte, c'est la solution mise en place qui détermine les méthodes d'optimisation du WAN à utiliser.

3. le pare-feu avancé : Pour être aussi bien protégé sur les sites distants que sur le site principal, il faut un pare-feu conçu pour les environnements distribués et utilisant des politiques et une gestion centralisées à grande échelle. Cela comprend le contrôle des applications et des utilisateurs, l'IDS/IPS, le filtrage web et les fonctions de routage.

4. protection avancée contre les menaces : Cela garantit que les utilisateurs, les applications et les données sont protégés contre toutes les menaces qu'Internet peut offrir. Beaucoup d'entreprises ont mis en œuvre cela avec une sandbox centrale, mais pour une architecture distribuée où le backhauling doit être minimisé, une protection avancée contre les menaces basée sur le cloud est la solution idéale.

5. gestion centralisée : Cela devrait inclure la gestion centralisée de toutes les fonctions de pare-feu, indépendamment de la configuration de la sécurité, du contenu, de la gestion du trafic, du réseau, des politiques d'accès ou des mises à jour logicielles. Cela permet de réduire les coûts de sécurité et de gestion du cycle de vie. Et tout cela en offrant des fonctions de dépannage et de connectivité.

6. l'intégration au cloud : En tant que l'un des moteurs du SD-WAN, la migration des charges de travail vers le cloud implique à la fois de garantir des performances applicatives élevées et un accès sécurisé aux charges de travail. Un VPN peut jouer ce rôle, mais une fois que les entreprises sont dans le cloud, de nouveaux défis apparaissent : Il ne s'agit pas seulement des exigences relatives aux charges de travail, mais aussi des exigences relatives aux contrôles de sécurité, aux méthodes de déploiement et à l'octroi de licences. Pour cela, il est important de disposer d'un dispositif pare-feu/SD-WAN qui soit non seulement étroitement intégré aux plateformes de cloud, mais qui réponde également aux cas d'utilisation dans le cloud.
Lorsque les entreprises explorent leur déploiement SD-WAN, il y a beaucoup de choses à prendre en compte, mais une approche bien pensée en amont leur permet de créer la sécurité appropriée pour leur réseau distribué et de fournir une voie de migration solide vers le cloud. L'intégration des fonctionnalités susmentionnées dans le déploiement du SD-WAN peut considérablement simplifier l'architecture réseau, renforcer la sécurité, optimiser la disponibilité et réduire les coûts.

Par Hatem Naguib, Barracuda Réseaux