Bien sûr, la principale cause de l’avènement des réseaux SDN est l’usage croissant du cloud par les entreprises. Il ne s’agit pas là uniquement du cloud public, mais aussi des applications SaaS. Bien qu’il soit très rare qu’une organisation bascule d’un coup toutes ses applications dans le cloud public, un nombre croissant d’entre elles expérimentent des environnements hybrides.

Typiquement aujourd’hui, une entreprise distribuée possédant de nombreux établissements et bureaux les connecte entre eux via des liens MPLS. On le sait, les liaisons MPLS peuvent être très coûteuses et gourmandes en ressources. Mais elles sont incontestablement fiables et hautement sécurisées.

Le problème est que les circuits MPLS étaient parfaits quand votre data center détenait toutes vos applications, mais dans un monde où Microsoft Exchange se mue de plus en plus en Microsoft Office 365, les données qui résidaient auparavant dans ce data center sont maintenant dans le cloud. Un changement de paradigme est en cours, qui met en scène des data centers en interne qui se vident peu à peu, et un abandon progressif mais inexorable des modèles traditionnels d’infrastructure informatique.

Avec MPLS, même si vous utilisez des applications cloud, vous rapatriez en fait tout votre trafic cloud sur votre firewall centralisé sur site. Même si cette solution est évidemment très sûre, elle ralentit le réseau, causant des problèmes de temps de réponse et compliquant l’architecture.

En fait, votre réseau devrait simplement faire en sorte que les données transitent directement de vos différents établissements vers le cloud, en toute sécurité. Mais comme nous l’avons vu précédemment, toutes vos applications sont désormais dans le cloud, ce qui veut dire qu’il ne reste plus rien dans votre data center. Dans ces conditions, pourquoi conserver des circuits MPLS ?

La migration vers le cloud nécessite une nouvelle architecture qui tienne compte de la technologie cloud et de la migration des applications vers le cloud, et c’est le SDN. Bien sûr cette mutation apporte avec elle un nouvel ensemble d’exigences de sécurité, et une nouvelle façon de penser la sécurité des réseaux longue distance. Dans ce monde de cyber attaques sophistiquées, nous ne pouvons nous permettre un retour en arrière en matière de sécurité, nous devons aller de l’avant.

Le SDN nécessite de nouvelles règles de sécurité

Lorsque vous basculez vers cette nouvelle architecture, vous devez disposer du même niveau de sécurité que celui que vous aviez sur votre site central, et le fournir sur tous vos sites distants.

Votre périmètre de sécurité bien défini a disparu – il est maintenant dispersé sur de multiples sites. Vos applications sont désormais dans le cloud. Mais vous devez toujours recréer une posture de sécurité cohérente quelle que soit la plate-forme à laquelle accèdent vos utilisateurs.

Il est généralement admis que la mise en œuvre d’un SDN en toute sécurité nécessite cinq types de fonctionnalités :
– Extrémités du SDN – L’agrégation des connexions de chaque utilisateur
– Optimisation du réseau WAN – Pour faire le meilleur usage de la bande passante
– Routage – Pour router le trafic
– Firewall – Pour recréer le périmètre de sécurité autour de chaque site distant
– Protection avancée contre les menaces – telle que la technologie ‘sandboxing’

Point important, dans le monde du SDN, vous n’avez plus besoin d’un gros firewall centralisé – il était nécessaire quand il devait filtrer tout le trafic réseau. Toutefois, absence de firewall veut dire exposer tous les utilisateurs au sein de votre réseau aux malwares et autres cyber attaques. Vous devez donc rétablir le même niveau de sécurité que celui dont vous bénéficiez avec un firewall centralisé.

Vous pouvez y parvenir en le remplaçant par un grand nombre de firewalls plus petits installés sur chaque site. Ils doivent être connectés dans le SDN, mais cette fois vous pourrez utiliser des liens Internet standard fournis par votre fournisseur d’accès, et faire l’économie des liens MPLS.

Le second aspect à aborder est le ‘sandboxing’. Lorsque vous disposiez d’un firewall centralisé, vous aviez probablement aussi un ‘sandbox’ centralisé qui filtrait tout le trafic y compris les emails et les téléchargements pour y retirer les malwares et autres outils liés aux cyber attaques. Typiquement le ‘sandbox’ était installé sur un site principal au cœur de votre organisation. Il analysait les données téléchargées avant de les transmettre au réseau interne.

Mais désormais la solution du ‘sandbox’ centralisé ne fonctionne plus – car une fois qu’un utilisateur commence à télécharger un fichier, vous devez rapatrier ce fichier sur votre ‘sandbox’ centralisé puis le renvoyer à l’utilisateur. En réalité, votre ‘sandbox’ est désormais isolé sur une île, car vous ne pouvez vous permettre d’installer un ‘sandbox’ sur chacun de vos sites.

Mais vous avez besoin de tunnels entre vos sites pour sécuriser le trafic afin qu’il ne puisse être intercepté par des acteurs extérieurs. Dès lors, quelle est la solution ? Un mécanisme de ‘sandboxing’ basé sur le cloud. En utilisant le SDN, vous pouvez envoyer des données vers un ‘sandbox’ dans le cloud, en optimisant simultanément le trafic pour prioriser ce qui est important pour votre organisation.

Identique, sinon mieux

Donc c’est désormais chose faite – vous disposez d’une combinaison de processus et de solutions qui vous apportent le même, sinon un meilleur niveau de sécurité qu’auparavant, sans qu’elle soit centralisée. Comme cette sécurité réside maintenant dans le cloud, elle peut être accédée de n’importe où, ce qui veut dire que les utilisateurs travaillant sur n’importe lequel de vos sites sont protégés de la même façon.

Cependant, ce que vous ne voulez pas c’est avoir à configurer et à maintenir des contrats pour ces cinq différents éléments d’un SDN. Comme vous pouvez l’imaginer, si votre organisation possède plusieurs centaines de sites différents, cela pourrait rapidement devenir compliqué.

Un déploiement sans aucune configuration (zero touch) est toujours préférable lorsqu’il est applicable, car il fait économiser du temps et de l’argent. Le déploiement ‘zero touch’ est le ‘saint graal’ du SDN car il peut être livré directement sur le site distant puis configuré à partir du cloud. Une fois installé, la configuration est délivrée automatiquement sur l’équipement et prête à fonctionner.

Avec des cybercriminels dont les tactiques deviennent de plus en plus sophistiquées, il est naturel d’assumer qu’ils commenceront bientôt à cibler des environnements SDN dans leurs attaques, en recherchant des vulnérabilités au sein de votre architecture. Assurez-vous de ne rien laisser au hasard en adoptant une stratégie de sécurité conçue spécifiquement pour votre nouvel environnement réseau défini par logiciel.