Alors
que les entreprises migrent de plus en plus leurs applications sur le cloud,
elles doivent repenser leur WAN et les problématiques de sécurité associées. Le
SD-WAN, ou WAN défini par logiciel, offre plusieurs avantages, en particulier
une réduction des coûts, une augmentation de la bande passante, tout en
diminuant les problèmes de fiabilité. De par la nature de son fonctionnement -
les connexions d’un SD-WAN s’appuient en partie sur des liens de l’Internet
public -, sa sécurisation suscite parfois des interrogations. Et pourtant,
disposant d’une plate-forme d’orchestration graphique centralisée, le gestion
de la sécurité d’un SD-WAN s’avère en tous points plus facile.
Puisque les données empruntent l’internet public, un
SD-WAN doit disposer lui-même des outils permettant de respecter la fameuse
triade CIA (Confidentiality, Integrity, Availlability). Avant de choisir une
solution, une entreprise vérifiera que la confidentialité est garantie par du
chiffrement (tunnel IPsec, cryptage AES 256); que des algorithmes de hachage
contrôlent l’intégrité des données (standards SHA-1 et 2) et que la
disponibilité est assurée par l’agrégation de liens (tunnel bonding).
Les plateformes offertes par les spécialistes du
SD-WAN procurent toutes des fonctions de sécurité plus ou moins avancées. Mais
aucune d’entre elles n’est capable de fournir une sécurité exhaustive. Et c’est
tant mieux : en matière de sécurité, passer par plusieurs fournisseurs
spécialisés est le meilleur moyen de couvrir tout le spectre des besoins. Les
services de sécurité managés sur le cloud, tels ceux fournis par Z-Scaler,
constituent une puissante solution pour protéger les entreprises contre les
menaces, maintiennent un haut niveau de performances et une expérience client
optimale, tout en contenant les coûts.
Dès alors, avant de choisir une solution de SD-WAN,
l’entreprise a tout intérêt de s’assurer que son fournisseur a noué des
partenariats avec les grands noms de la sécurité. Mais attention : ce
partenariat de doit pas être un simple accord marketing, mais déboucher sur une
réelle intégration technique, notamment avec les dernières technologies en
vogue en matière de sécurité : pare-feu de nouvelle génération (NGFW), IPS
(système de prévention d’intrusion), DLP (protection contre la perte de
données) … « Nous collaborons avec Z-Scaler, Palo Alto, Fortinet, Check
Point de telle sorte que si vous exploitez leurs solutions, nous automatisons
le chaînage de services (firewall, IPS…) afin que tel trafic traverse tel
dispositif de sécurité », explique Pierre Langlois, Directeur des
ventes EMEA et Directeur général France chez Silver Peak. « Cela
fonctionne sans aucun problème, car ces fournisseurs ont effectué des tests
d’intégration avec notre plateforme, évitant au client de passer des heures à
essayer de faire interopérer différents produits», ajoute Anusha
Vaidyanathan, director security product management chez Silver Peak. Pour
sécuriser ses agences ou succursales, l’entreprise doit définir vers quel
dispositif de sécurité envoyer le flux des paquets en fonction de leur
provenance ou de l’application. Sur ce point, elle a trois solutions
disponibles : les requêtes liées aux applications professionnelles SaaS connues
telle Salesforce peuvent être envoyées directement sur Internet; le trafic lié
à des sites Web établis, mais non critiques (Linkedin, Twitter, Facebook) peut
être géré par des passerelles de sécurité sur le web comme le propose Z-Scaler;
les connexions relatives à des applications inconnues (situées dans un pays
« à risques » par exemple) doivent être envoyées vers un outil
sécuritaire de pointe dans le Datacenter de l’entreprise, notamment pour la
détection des attaques « zéro day ». Cette administration de la
sécurité sera d’autant plus aisée que la plateforme d’orchestration du SD-WAN
permet d’effectuer le chaînage de service par simple Drag & drop, réduisant
ainsi le risque d’erreur.
Au cœur de la sécurité basée sur les applications,
figure la micro segmentation. Or sur ce point, le SD-WAN prouve sa supériorité
au WAN traditionnel. Sur ce dernier, la segmentation implique une gestion
manuelle des équipements, avec nombre de commandes CLI. Une tâche fastidieuse,
voire impossible à réaliser. Sur un SD-WAN, la micro segmentation se paramètre
de manière centralisée : il est ainsi possible de créer des couches réseau
virtuelles (overlay) cloisonnées, chacune se chargeant du trafic que lui a
assigné l’administrateur réseau, avec la politique de sécurité adéquate :
overlay pour les transactions bancaires, overlay pour le transport des
communications (voix, vidéo)… La segmentation s’opère de bout en bout, couvrant
les connexions LAN-WAN-Datacenter et LAN-WAN-Cloud. De plus, cette
centralisation facilite le respect des politiques de sécurité et évite les
erreurs humaines pouvant survenir lors des configurations manuelles. Cette
microsegmentation est d’autant plus importante que le nombre de réglementations
ne cesse d’augmenter, notamment en ce qui concerne la conformité. Si les règles
sécuritaires concernant les transactions bancaires et les transmissions de
données médicales sont plus strictes les unes que les autres, les exigences
sont néanmoins différentes dans les deux cas.
