Barracuda full logo

La puissance du SD-WAN sécurisé : exploiter les avantages d'un réseau et d'une sécurité intégrés

Thèmes:
23 mars 2023
|
Stefan Schachinger

L'étude menée par Barracuda sur l'état de la sécurité des réseaux a révélé qu'une majorité d'entreprises avaient déployé ou prévoyaient de déployer un réseau étendu défini par logiciel (SD-WAN). Ce type de réseau est une solution couramment utilisée pour résoudre les problèmes de performance, de sécurité et d'autres problèmes liés à la dispersion des réseaux. La définition la plus élémentaire du SD-WAN est qu'il s'agit d'une approche logicielle de la mise en réseau qui simplifie la gestion des réseaux étendus.

Notions de base concernant le SD-WAN

À l'origine, le SD-WAN visait à connecter à peu de frais les succursales au siège de l'entreprise ou aux ressources serveur d'un centre de données, qui étaient souvent situés dans le même bâtiment. Le SD-WAN a permis aux entreprises de remplacer les connexions MPLS, coûteuses et souvent lentes, par de simples connexions Internet, tout en atteignant un niveau de sécurité et de fiabilité supérieur à celui qu'elles avaient avec les lignes louées. Cela a été possible grâce à certaines caractéristiques logicielles spécifiques :

  • Le chiffrement des connexions VPN de site à site a permis d'établir des connexions Internet rentables et hautement sécurisées. Il n'était pas nécessaire d'utiliser une ligne spécialisée coûteuse à des fins de sécurité avec cette solution, bien que des lignes louées coûteuses puissent être maintenues pour les connexions de bureau à distance et d'autres applications qui nécessitent une très faible latence.
  • La redondance pourrait être obtenue en configurant plusieurs fournisseurs en association avec des mécanismes de repli tels que les réseaux de téléphonie mobile. Les connexions Internet publiques multiples étaient souvent moins chères que les lignes louées.
  • Le routage basé sur les applications avec qualité de service permet aux administrateurs de tirer le meilleur parti de la bande passante du réseau. Avec une configuration adéquate, un SD-WAN peut garantir que le trafic réseau principal bénéficie de la meilleure bande passante possible.  

Les premières configurations SD-WAN ne sont plus suffisantes pour la plupart des entreprises. L'évolution des besoins au cours des dernières années oblige à repenser complètement les réseaux basés sur des logiciels. La connectivité des succursales reste un cas d'utilisation pertinent, mais le trafic VPN entre les sites a été considérablement réduit. Les applications de type logiciel en tant que service, comme Slack, Microsoft 365, Salesforce, etc., ont transféré la plupart des communications internes de l'entreprise dans le cloud public. De nombreuses entreprises privilégient l'accès aux ressources externes au détriment de l'accès à d'autres sites d'entreprise.

Cette transition vers des applications externes a nécessité une évolution en matière de sensibilisation à la sécurité. Si le SD-WAN classique sécurise les connexions VPN entre sites, il est souvent dépourvu d'autres fonctionnalités de sécurité. La solution réside dans un nouveau modèle connu sous le nom de SD-WAN sécurisé. Il s'agit d'une solution qui regroupe plusieurs cas d'utilisation. Les avantages d'une gestion unifiée privilégiant l'intuitivité et la convivialité sont indéniables. Les solutions classiques isolées sont appelées à disparaître.

SASE et SD-WAN sécurisé

Le SD-WAN sécurisé est inclus dans l'architecture cloud native Secure Access Service Edge (SASE), créée par Gartner en 2019.  SASE (prononcé « sassy ») associe un réseau logiciel à des services de sécurité réseau pour fournir un accès dynamique et sécurisé aux ressources de l'entreprise. Les fonctions de sécurité supplémentaires nous offrent un SD-WAN sécurisé.

Avec l'adoption des applications SaaS et du travail à distance, les entreprises ont besoin de réseaux dynamiques capables de prendre en charge l'accès sécurisé à des ressources décentralisées. Les utilisateurs et les appareils doivent pouvoir se connecter depuis n'importe quel endroit à des ressources qui se trouvent principalement dans le cloud, mais qui peuvent également être déployées sur site. Ce caractère hybride signifie qu'une solution de mise en réseau conçue spécifiquement pour la connectivité entre sites n'est plus suffisante. Les applications SaaS et autres workloads du cloud doivent bénéficier d'une connexion sécurisée au réseau de l'entreprise. Le SD-WAN sécurisé peut être étendu à différents clouds publics pour répondre à ce besoin.

Firewall en tant que service et accès réseau Zero Trust

Les composants de sécurité du concept architectural SASE comprennent le firewall en tant que service (FWaaS) et l'accès réseau Zero Trust (ZTNA). Chacun d'entre eux peut opérer avec ou indépendamment d'autres solutions.

Comme son nom l'indique, le FWaaS est un firewall réseau qui fonctionne dans le cloud en tant que service. L'intégration transparente au reste du réseau est l'un des principaux avantages de cette solution.

Un déploiement FWaaS indépendant peut assurer le niveau de sécurité nécessaire, mais il offre de nombreux autres avantages s'il est associé à un SD-WAN. L'association des composants de la solution dans le cloud et sur site crée une variante de déploiement puissante et intuitive, présentant des arguments de vente uniques. De cette manière, tous les sites de l'entreprise sont connectés en toute sécurité au cloud, même s'ils ne sont pas accessibles au public. La question de savoir s'il s'agit d'une connexion directe depuis le site ou d'un trafic acheminé vers un hub central dépend du cas d'utilisation.

Un réseau sécurisé ne se limite pas à un firewall et à des connexions sécurisées de site à site. De nombreux utilisateurs réseau travaillent à distance, parfois en utilisant des réseaux sans fil publics ou d'autres réseaux non sécurisés. Une solution de sécurité complète permet aux utilisateurs d'accéder en toute sécurité à des ressources privées dans le cloud ou sur site depuis n'importe quel endroit disposant d'une connexion internet. La meilleure façon de fournir un accès sécurisé à ces utilisateurs est de recourir à un ZTNA.

Le ZTNA est une solution de contrôle d'accès aux utilisateurs et aux appareils. L'authentification Zero Trust est fondée sur ce principe : « Ne jamais faire confiance, toujours vérifier ». Contrairement à une connexion VPN, une connexion Zero Trust authentifie l'utilisateur et l'appareil à chaque fois que l'utilisateur fait une demande sur le réseau. Alors qu'un VPN s'appuie sur un ensemble d'informations d'identification pour établir un lien de confiance, Zero Trust s'appuie sur les informations d'identification, l'appareil, l'heure et d'autres paramètres configurés par les administrateurs. Zero Trust établit et applique également le principe du moindre privilège.

Avec le SD-WAN, il fait partie intégrante d'une approche SASE moderne et bénéficie idéalement d'une intégration complète permettant la détection automatique du meilleur chemin d'accès à la ressource souhaitée. Cependant, en combinant le SD-WAN sécurisé et l'accès à distance pour les utilisateurs, il est possible d'étendre les fonctionnalités de sécurité au point de terminaison. Parallèlement, la mise en œuvre de la sécurité sur l'appareil et le contrôle accru de tout trafic réseau suspect ou à risque sur l'appareil SD-WAN ou dans le cloud permettent de renforcer considérablement le niveau de sécurité.

SD-WAN sécurisé sur site

Malgré les avantages des solutions basées sur le cloud, il existe des cas d'utilisation qui justifient les déploiements sur site. Le facteur coût du trafic dans le cloud doit également être pris en compte. Dans le cas du SD-WAN, l'idée sous-jacente était de réaliser des économies en remplaçant le MPLS. Les entreprises qui utilisent à la fois des applications SaaS et des serveurs d'application sur site n'ont pas forcément besoin d'acheminer tout le trafic via le cloud. Les réseaux hybrides de ce type bénéficieront du routage basé sur les intentions proposé par le SD-WAN. La meilleure solution permet de connecter les ressources du cloud en toute sécurité, mais aussi de déterminer efficacement le meilleur chemin d'accès et le plus court en fonction du trafic.

L'association qui fait toute la différence

Le véritable avantage d'une solution mixte réside dans sa flexibilité à répondre aux exigences du système de déploiement en vigueur au sein d'une entreprise. Les tendances du secteur révèlent clairement que certains produits ont été intégrés à une plateforme plus complète.

Barracuda propose une solution SD-WAN sécurisée complète qui peut être entièrement intégrée avec le firewall en tant que service et l'accès Zero Trust. Nos experts peuvent répondre à vos questions et vous présenter nos solutions dans le cadre d'une démonstration, ou vous aider à déployer une version d'essai gratuite dans votre propre environnement. Pour vous lancer, rendez-vous sur notre site Web.

 

 

Stefan Schachinger

Stefan Schachinger est chef de produit, sécurité réseau, dans les domaines de l'IoT/OT/ICS. Il travaille avec l'équipe de Barracuda à Innsbruck, en Autriche, depuis 2013. Retrouvez-le sur LinkedIn ici.

Billets associés :
Les appareils de nouvelle génération offrent une sécurité réseau et un accès au cloud public plus efficaces
Les appareils de nouvelle génération offrent une sécurité réseau et un accès au cloud public plus efficaces
Appareils, informatique, sécurité. Tout est une question de périphérie.
Appareils, informatique, sécurité. Tout est une question de périphérie.
 Surmontez facilement les obstacles liés aux déploiements Zero Trust
Surmontez facilement les obstacles liés aux déploiements Zero Trust
 Ce que nous pouvons apprendre des principaux conseils technologiques que nous ne suivons jamais
Ce que nous pouvons apprendre des principaux conseils technologiques que nous ne suivons jamais
Rechercher dans le blog Barracuda

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.