La sécurité et le réseau ont convergé. Cette convergence n’est pas un nouveau concept, mais l’environnement de travail actuel en a fait une nécessité et les nouvelles technologies l’ont enfin rendue possible. Des technologies telles que les appareils mobiles, la connectivité haut débit et les services Cloud, de même que la transformation numérique et l’environnement de travail à domicile/à distance, ont changé durablement nos modes et lieux de travail.

La prise en charge d’un ensemble dynamique de collaborateurs, d’appareils et de ressources non circonscrits à un lieu physique fixe requiert une combinaison de technologies. Si la pandémie est relativement récente, tel n’est pas le cas des défis liés au provisionnement des fonctions de sécurité et de réseau. L’utilisation d’anciennes architectures de sécurité et de réseau pour soutenir les nouvelles tendances du secteur s’est soldée par un acheminement inefficace du trafic, de graves lacunes dans la sécurité et des dépenses en équipements redondantes.

Le retard des technologies et leur incapacité à satisfaire les besoins des effectifs dynamiques d’aujourd’hui sur le plan de la sécurité et du réseau ont remis en question le recours exclusif à des dispositifs de sécurité et de réseau locaux pour connecter des sites, principalement via des liaisons MPLS (Multiprotocol Label Switching) dédiées. Les entreprises ont compris que l’infrastructure informatique ne servait plus uniquement à connecter des appareils dotés d’une adresse IP fixe à des ressources de stockage et de calcul situées dans des datacenters fixes sur site.

Technologie largement plébiscitée, le SD-WAN traditionnel s’appuie sur une architecture software-defined qui permet de gérer et de déployer des fonctions et ressources de sécurité et de réseau. L’une des évolutions de cette technologie est l’intégration de fonctions de sécurité, aujourd’hui essentielles à tout portefeuille SD-WAN. L’introduction de ces services de sécurité donne naissance à de nouvelles offres, le SD-WAN sécurisé et les solutions SASE (Secure Access Service Edge), qui répondent à l’évolution actuelle des exigences en matière de sécurité et de réseau. 

Le SD-WAN est une technologie populaire parce qu’elle a prouvé son efficacité. Néanmoins, elle ne peut à elle seule relever tous les défis auxquels les entreprises sont aujourd’hui confrontées. La cybersécurité, par exemple, constitue un domaine bien spécifique et un sujet de préoccupation qui risque de perdurer. L’industrie commence cependant à comprendre la nécessité d’intégrer les fonctions de sécurité de façon étroite au fabric réseau. C’est là qu’intervient le SD-WAN sécurisé, et le SASE va encore plus loin. Le SASE n’est pas une nouvelle solution technologique, mais une approche plus rigoureuse et stratégique visant l’intégration étroite de plusieurs technologies de sécurité existantes. Parmi les fonctions de sécurité clés associées au SD-WAN sécurisé et au SASE figurent les passerelles Web sécurisées (SWG), les pare-feu basés sur le Cloud (FWaaS), les courtiers de sécurité des accès au Cloud (CASB) et l’accès réseau Zero Trust (ZTNA). Ces technologies profitent d’une interface de contrôle commune et d’une gestion partagée des politiques en vue d’une connectivité sécurisée entre les endpoints et les ressources depuis n’importe quel lieu.

Les besoins dynamiques actuels en termes de connectivité et d’accès sécurisés nécessitent un framework de réseau, de sécurité et de politiques étroitement intégré et convergé, exploitable par les entreprises et les fournisseurs de services. Le SD-WAN sécurisé fournit précisément ce framework. Il permet de connecter les actifs numériques de manière sécurisée indépendamment de leur emplacement. Avec l’essor du Cloud, de nombreuses entreprises comptent aujourd’hui plus d’utilisateurs, d’appareils et de données en dehors qu’à l’intérieur du périmètre organisationnel traditionnel. La capacité des services SD-WAN à limiter le réacheminement du trafic vers le datacenter a favorisé leur expansion, car ils optimisent le routage des applications vers les ressources Cloud. Cela signifie la possibilité d’utiliser les plates-formes avancées de SD-WAN sécurisé pour connecter efficacement les ressources de sécurité fournies par le Cloud.

Avec la migration d’un nombre croissant d’applications critiques vers le Cloud, les questions de sécurité et de qualité de service, telles que la latence, prennent de plus en plus d’importance. Des exigences qui peuvent toutefois se révéler contradictoires au vu des ressources de calcul et du temps requis pour déchiffrer et inspecter tout le trafic crypté à destination et en provenance du Cloud. La nécessité de contrôles d’accès plus granulaires, chargés d’évaluer la sécurité des endpoints qui sollicitent un accès aux ressources, peut également accroître la latence.

Les exigences actuelles en matière d’accès hautement sécurisé et à faible latence aux actifs numériques, où qu’ils se trouvent, requièrent une intégration étroite des fonctions de réseau et de sécurité. Le SASE répond à ce besoin grâce à une intégration étroite des services de sécurité Cloud à un réseau mondial de points de présence (PoP) qui exploitent le SD-WAN sécurisé. Au lieu d’acheminer le trafic vers le datacenter pour inspection, le SD-WAN sécurisé et le SASE placent des moteurs d’inspection sur des PoP situés à proximité. Les endpoints se connectent aux PoP locaux en fonction de leur identité et du contexte, après quoi le trafic est inspecté, puis efficacement acheminé via Internet ou la dorsale du fournisseur. Cette architecture connecte les utilisateurs mobiles et fixes, qu’ils soient gérés ou non, aux ressources hébergées dans des datacenters privés ou dans le Cloud.

Comme indiqué précédemment, le SASE n’est pas une nouvelle technologie, mais l’intégration de plusieurs technologies existantes. Conscients de ces tendances et de leurs avantages, les grands opérateurs de réseaux historiques rachètent de nombreuses petites entreprises spécialisées dans le SD-WAN et la sécurité. Mais le défi pour eux est d’assurer une interopérabilité étroite entre les différents éléments de sécurité SASE et l’architecture SD-WAN sous-jacente.

Les solutions SASE doivent prendre efficacement en charge un ensemble de services de sécurité et de réseau délivrables en fonction de la politique et du cas d’utilisation. La solution SASE choisie doit offrir l’évolutivité et le faible temps de latence nécessaires pour créer une pile de fonctions de sécurité réseau utilisable dans une architecture à « un seul passage » qui exécute plusieurs moteurs de politiques en parallèle au lieu de procéder à une série d’inspections distinctes. Enfin, les solutions SASE basées sur un véritable modèle multilocataire permettent aux fournisseurs de services Cloud de répartir les coûts entre plusieurs clients et de proposer ainsi des structures de coûts attractives. La capacité de la solution SASE à fournir une architecture réellement multilocataire constitue un facteur important.

Si l’attrait pour le SD-WAN sécurisé et le SASE est aussi fort, c’est parce qu’ils répondent aux problèmes actuels des entreprises. Le SASE n’exige pas de changement radical de leur approche de l’informatique. Il les aide à savoir où résident leurs ressources, et leur offre les fonctions de sécurité et de réseau dont elles ont besoin à la fois pour s’adapter aux tendances actuelles et pour réaliser leurs objectifs futurs.
___________________

Par Hector Avalos, responsable EMEA chez Versa Networks