AVIS D’EXPERT – Pour tirer pleinement parti de leurs déploiements en ligne, les entreprises se tournent de plus en plus vers des architectures multi-clouds qui simplifient les opérations, réduisent la latence du réseau et atténuent les problèmes informatiques. Hector Avalos, VP EMEA MSPs, Versa Networks nous explique comment les risques de sécurité émergents seront gérés par une solution SD-WAN sécurisée qui garantit des politiques de sécurité unifiée sur toutes les plates-formes, tous les clouds et tous les appareils.
Les réseaux rapides et performants sont essentiels pour toutes les entreprises aujourd’hui, mais on ne peut pas les considérer comme acquis. Malgré les mises à niveau régulières pour obtenir un meilleur matériel et l’ajout constant de nouveaux dispositifs (des NGFW à plus grande capacité aux optimiseurs de réseau étendu et aux proxies) les performances du réseau sont souvent inférieures à la moyenne. L’un des principaux problèmes réside dans les architectures WAN obsolètes qui ne sont pas en mesure de prendre en charge la transformation numérique et les évolutions telles que les architectures « cloud-first » et « mobility-first ». Dans une architecture traditionnelle de ce type, le dépannage en particulier peut rapidement devenir un défi. Une mauvaise qualité vidéo peut être causée par l’optimiseur WAN, les périphériques QoS, une bande passante WAN insuffisante ou des retards réseau. Il est presque impossible de localiser précisément les problèmes, étant donné le nombre de périphériques différents provenant d’une multitude de fournisseurs et la complexité des modèles de trafic sur le réseau. Un autre défi consiste à acheminer efficacement le trafic des succursales et des utilisateurs distants vers le cloud. Les entreprises exploitent généralement plusieurs fournisseurs ou services de clouds, or relier ces environnements cloud est tout sauf simple. Les connexions privées à large bande passante, telles que Azure Express Route ou AWS Direct Connect, ont tendance à être utilisées, mais elles ne sont pas automatisées et leur déploiement peut prendre des jours voire des semaines. De plus, il s’agit d’îlots isolés, ce qui signifie que le trafic d’Azure vers AWS peut devoir passer par un centre de données déjà surchargé.
SD-WAN sécurisé pour les architectures SaaS
Pour les entreprises qui utilisent un seul service cloud, pour résoudre ces problèmes et relever ces défis, il faut mettre en place une architecture compatible SaaS. Celle-ci nécessite un dispositif SD-WAN sur chaque site, un accès Internet généralisé et des passerelles SD-WAN placées de manière stratégique pour assurer un routage efficace vers le cloud à partir de chaque site (mobile). Cependant, pour contrôler une surface d’attaque considérablement accrue par un Internet omniprésent, il est nécessaire de disposer d’une architecture Secure SD-WAN qui fournit des politiques de sécurité intégrées et entièrement fonctionnelles, telles que la protection contre les logiciels malveillants, le sandboxing, la prévention des intrusions, le NGFW et la prévention des pertes de données pour chaque site et point d’accès au réseau. Le logiciel Secure SD-WAN identifie instantanément les flux de trafic vers les applications SaaS telles que Office-365, Salesforce ou Gmail et répartit ce trafic localement. En appliquant des politiques multidimensionnelles pour la meilleure sélection de chemin et la meilleure qualité de service, le SD-WAN sécurisé garantit que la sécurité et la performance des applications vont de pair et ne doivent pas être compromises d’un côté ou de l’autre. Grâce à un degré élevé d’automatisation, les politiques de sécurité unifiées s’appliquent à l’ensemble des appareils, des sites, des emplacements et des utilisateurs, ce qui élimine le besoin de configurations répétées, fastidieuses et sujettes aux erreurs, propres à chaque site, et réduit ainsi le risque de mauvaises configurations et de violations de la sécurité.
SD-WAN sécurisé dans des environnements multi-clouds
Toutefois, si les entreprises dépendent de plus d’un service cloud, un seul environnement SaaS ne suffit pas. Elles ont plutôt besoin d’une architecture multi-cloud pour assurer des performances qui répondent à leurs besoins commerciaux accrus. En principe, un environnement multi-cloud peut comprendre différents clouds IaaS et SaaS publics, souvent en plus d’un cloud dédié sur site. En général, ce modèle de réseau évite le verrouillage des fournisseurs, minimise les coûts et améliore les options de reprise après sinistre, même s’il s’accompagne de quelques défis. Prenons l’exemple d’une application typique telle que la gestion de la relation client (CRM) : les entreprises ont aujourd’hui la possibilité de choisir un fournisseur de cloud basée sur la meilleure adéquation entre le prix et l’ensemble des fonctionnalités. Par exemple, les aspects de services web peuvent être déployés sur Azure, la partie application sur AWS et la base de données et le stockage sur Google Cloud. Si l’on souhaite utiliser immédiatement l’ensemble de l’application, il est nécessaire de connecter ces trois clouds, mais cela entraîne quelques complications. Les responsables de réseau sont notamment confrontés à la question suivante : comment acheminer de manière optimale le trafic entre les environnements Azure, AWS et Google et comment s’assurer que les données précieuses des clients ne sont pas exfiltrées de l’un des clouds ?
Des tunnels IPSec pour assurer une visibilité complète du réseau
Pour eux aussi, la solution passe par le SD-WAN sécurisé. Il propose une architecture cloud-native globale et flexible qui déploie des instances cloud d’un simple clic, qu’il s’agisse de clouds publics, hybrides ou sur site. Pour ce faire, l’infrastructure SD-WAN élimine les défis de la connectivité multi-cloud en détectant automatiquement et en établissant de manière transparente une connectivité IPsec superposée dynamique à la fois pour les données et pour la couche de contrôle vers chaque cloud. La topologie est alors prête en quelques minutes, entièrement chiffrée, et le niveau de contrôle sur les différents clouds est normalisé par le réseau de tunnels IPSec afin d’assurer une visibilité globale complète du réseau. Lorsqu’un employé ou une activité commerciale utilise un service de passerelle tel qu’Azure Virtual WAN ou AWS Transit Service, Secure SD-WAN transmet cette capacité en identifiant automatiquement la passerelle la plus proche disponible dans un abonnement. Ensuite, la passerelle s’intègre entre l’environnement local ou d’autres environnements de cloud, sans que l’utilisateur n’ait à se connecter à l’abonnement de cloud.
Visibilité multi-cloud
Toutefois, l’un des principaux avantages de cette architecture multi-cloud transformée est que le logiciel SD-WAN offre aux responsables du réseau une visibilité totale sur le déploiement de chaque charge de travail, ce qui leur permet de savoir en un coup d’œil qui y accède et quels utilisateurs sont actifs. Si une charge de travail est attaquée par un acteur externe, ils peuvent la bloquer d’un simple clic, ainsi qu’accéder à des analyses approfondies pour mieux comprendre l’attaque : qui cherche à paralyser le service, quel type de vecteur d’attaque est utilisé et comment le désamorcer. Les responsables de réseau disposent également d’analyses en temps réel sur les tendances des applications et des performances de bout en bout. Un aperçu complet de l’utilisation des périphériques permet ainsi une gestion efficace des performances : si la charge CPU d’un périphérique dépasse un certain seuil, on peut créer une politique de mise à l’échelle automatique afin d’instancier davantage de périphériques et d’augmenter les performances globales. Les environnements multi-cloud sont devenus une réalité pour de nombreuses entreprises, et plus particulièrement pour les grosses entreprises. Elles sont confrontées à des fournisseurs de cloud différents en termes de puissance, de fonctionnalités et de présence géographique : un défi pour la gestion et la sécurisation. Cependant, un SD-WAN sécurisé, qui combine des fonctionnalités de réseau, de sécurité, de visibilité, d’automatisation et de performance intégrées dès la conception de l’architecture, peut les aider à gérer les complexités des environnements multi-cloud tout en bénéficiant des avantages que ces déploiements dans le cloud apportent à votre environnement réseau et applicatif ainsi qu’aux coûts d’exploitation.
Hector Avalos, VP EMEA MSPs, Versa Networks