par Richard Vidil, VP, Sales Engineering chez GTT Communication
Aux premières heures d’Internet, les réseaux d’entreprise suivaient une feuille de route bien établie : les applications étaient hébergées dans des data centers et les utilisateurs y accédaient via des WAN privés. La connectivité aux applications Internet de l’époque (email, transferts de fichiers et navigation Web) était toute aussi centralisée et le trafic public associé empruntait les mêmes réseaux WAN privés. Cette architecture convenait parfaitement lorsque le trafic Internet était faible et qu’une latence inférieure à une seconde était acceptable. Et, la connectivité aux réseaux publics étant limitée à quelques lieux physiques, le réseau était plus facile à sécuriser en minimisant la surface d’attaque potentielle.
Mais, lorsqu’Internet a pris de l’ampleur, la situation a changé. Les applications hébergées en interne ont laissé la place aux applications SaaS plus puissantes, et le trafic Internet sur le WAN a considérablement augmenté. De plus, les applications gourmandes en bande passante, comme le stockage dans le cloud, ont commencé à surcharger les liaisons WAN existantes, et les applications en temps réel, comme les communications unifiées (UCaaS) ont perdu en performance sur des WAN encombrés avec une latence ralentie par un accès Internet centralisé.
Les entreprises se sont donc empressées de déployer des réseaux WAN hybrides, en ajoutant un accès local à Internet sur chaque site. L’effet recherché était de décharger le trafic Internet du réseau WAN privé et d’éviter les surcharges de latence liées au routage via des data centers centralisés. Mais ces gains n’ont pas été obtenus sans contrepartie : le réseau est devenu plus complexe et difficile à gérer, et la surface d’attaque potentielle a augmenté de manière significative, rendant le WAN hybride plus difficile à sécuriser.
SD-WAN : harmoniser le WAN hybride
Avec l’arrivée du SD-WAN, la séparation physique entre le WAN privé et l’Internet public s’est dissipée : le WAN privé est devenu une couche réseau virtuelle (overlay) fonctionnant sur un ou plusieurs réseaux publics (underlay), et le SD-WAN, WAN piloté par logiciel, définit désormais le routage du trafic. Les applications Internet peuvent être décomposées localement pour utiliser la couche underlay de manière native, tandis que le trafic privé est crypté et acheminé via des tunnels entre les différents sites dans la couche overlay. Bien que le SD-WAN ajoute de l’intelligence et de la souplesse au WAN hybride, il est soumis aux mêmes compromis en matière de sécurité et de latence. L’utilisation de la décomposition au niveau local diminue la latence, mais elle élargit la surface d’attaque pour inclure chaque site, et certaines des fonctions les plus puissantes du SD-WAN, telles que la correction d’erreur en amont et la direction de lien au niveau des paquets, ne sont disponibles que dans la couche overlay.
Des firewalls cloud à la rescousse
Heureusement, il existe une alternative qui permet de bénéficier des avantages d’une sécurité centralisée tout en maîtrisant la latence. Les fournisseurs de services SD-WAN sécurisés infogérés qui exploitent leurs propres réseaux dorsaux peuvent proposer des firewalls cloud pour un accès Internet sécurisé et régionalisé. Cela évite d’avoir à ouvrir l’accès au réseau public sur tous les sites et permet au trafic Internet de profiter pleinement des avantages de l’overlay SD-WAN. Un firewall cloud bien conçu s’aligne sur la couverture géographique de l’entreprise, garantissant que tous les sites peuvent accéder à Internet sans délai excessif. Du point de vue des performances et de la sécurité, le SD-WAN combiné à des firewalls cloud régionaux offre le meilleur des deux mondes !
Publiée le 27 août 2021 par Global Security Mag