Qu’est-ce qui a changé ? Beaucoup de choses en fait, mais un élément sort du lot -
vos utilisateurs, vos données et vos applications sont de plus en plus dispersées -
dans toutes les directions. Vos utilisateurs travaillent maintenant de n’importe où
(à la maison, dans les aéroports et les cafés), et ils accèdent et consomment des
données de n’importe où sur une grande variété de terminaux.

Avant cette dispersion, la mise en œuvre des contrôles de sécurité était
relativement simple dans la mesure où tous vos actifs étaient rassemblés au sein
d’un périmètre bien défini. Ceci vous permettait de déployer de manière centralisée
une variété de technologies de sécurité pour protéger les utilisateurs de tout ce
que l’Internet a à offrir - le bon et le mauvais. Les sites distants étaient
intégrés dans ce périmètre car tout le trafic était routé via des liens MPLS au
travers d’un firewall centralisé qui assurait la régulation et fournissait les
politiques de sécurité.

La dispersion pose un certain nombre de défis :

Le périmètre du réseau se dissout au fur et à mesure que les applications et les
utilisateurs migrent au-delà de ses limites, ce qui rend plus complexe la mise en
œuvre des contrôles de sécurité avec les outils existants. De plus, les applications
qui étaient auparavant hébergées et gérées au sein de votre data center résident
désormais dans le cloud (en mode SaaS ou dans un cloud public). Dans l’intervalle,
leurs performances s’étaient probablement dégradées sur les sites distants en raison
des temps de latence introduits par tous ces liens MPLS conçus pour router le
trafic.

Prenons l’exemple d’Office 365, qui résidait auparavant dans un serveur Exchange
dans votre data center. Beaucoup d’organisations constataient fréquemment une
expérience utilisateur et des performances dégradées car tout le trafic était
d’abord routé vers le site central puis redirigé vers Internet. Le moyen de résoudre
ce problème était de diriger le trafic vers Internet aussi vite que possible. En
clair, d’établir des connexions directes des sites distants vers le cloud.

C’est exactement ce que promettent les réseaux SD-WAN ; toutefois, il est toujours
important de mettre en place de nouveaux contrôles de sécurité pour tous vos sites
distants. La solution peut être rentable à déployer et à gérer sur une grande
échelle, et vos applications ayant migré vers le cloud, elle devra aussi réguler le
trafic vers et à partir de vos applications cloud. En adoptant cette approche, vous
serez certains d’obtenir une meilleure expérience utilisateur, tout en optimisant
votre budget à la fois en OPEX et en CAPEX.

Par où commencer ? Commençons par lister les principales exigences d’un déploiement
SD-WAN sécurisé :

Déploiement Zero Touch - Lorsque vous avez 50, 100, ou 1000 sites à déployer, vous
ne voudrez certainement pas vous déplacer dans chacun d’eux. En fait, vous ne
devriez voir aucun équipement SD-WAN, il devrait être livré directement sur le site.
Tout au plus, vous devrez juste demander à un responsable de mettre la solution sous
tension.

Optimisation du réseau WAN - Les connexions Internet classiques coûtent beaucoup
moins cher que des liens MPLS, donc vous devrez disposer de beaucoup plus de bande
passante pour les même prix ; toutefois, optimiser le trafic en le compressant et en
le dé dupliquant reste recommandé et permettra d’optimiser les performances.

Firewall avancé - Il s’agit d’un élément essentiel. Il est normal que vous
souhaitiez disposer d’une sécurité aussi bonne, sinon meilleure, sur vos sites
distants que sur votre site central, - ceci sans le coût ou la complexité associée ?
Cela nécessite un firewall conçu pour des environnements distribués et qui profite
d’un management centralisé des politiques de sécurité sur une grande échelle. Ceci
incluant des contrôles d’accès pour les applications et les utilisateurs, des
fonctions IDS/IPS, du filtrage d’URL et des capacités de routage.

Protection avancée contre les menaces - Ceci garantit que vos utilisateurs, vos
applications et vos données resteront à l’abri de toutes les menaces qu’Internet a à
offrir. La plupart des organisations y parviennent déjà grâce à un sandbox
centralisé, mais n’oubliez pas que vous allez vers une architecture distribuée qui
minimise la centralisation du trafic. La solution ici est une protection avancée
contre les menaces basée sur le cloud.

Gestion centralisée - Cela doit signifier une gestion centralisée de toutes les
fonctions de firewall, indépendamment de la configuration de la sécurité, des
contenus, de la gestion du trafic, du réseau, des politiques d’accès ou des mises à
jour logicielles, ce qui aidera à réduire les coûts associés à la sécurité et à la
maintenance des équipements, tout en offrant des fonctions de dépannage et de
connectivité.

Intégration Cloud - Faisant partie des objectifs premiers du SD-WAN, la migration
vers le cloud a autant pour but d’optimiser les performances des applications que de
sécuriser leurs accès. Un VPN le permettra, mais une fois dans le cloud vous devrez
tenir compte d’une toute nouvelle série d’exigences, qui ne concerneront pas
seulement les applications elles-mêmes, mais aussi les contrôles de sécurité, les
méthodes de déploiement et les modes de licence logicielle. Vous aurez besoin d’un
équipement firewall/SD-WAN qui ne soit pas seulement étroitement intégré avec les
plates-formes cloud, mais qui soit aussi adapté à leurs modes d’utilisation.

Le respect de ces six exigences lors du déploiement de votre SD-WAN pourra
grandement simplifier et optimiser votre réseau, améliorer la sécurité et la
disponibilité, et générer des économies. Il y a de nombreuses options à considérer
lors du déploiement d’un SD-WAN, mais en adoptant d’emblée une stratégie globale,
vous pourrez réduire les coûts, obtenir le bon niveau de sécurité pour votre réseau
dispersé, et disposer d’une solide voie de migration vers le cloud, aujourd’hui et
dans l’avenir.