Le SD-WAN pour améliorer la cybersécurité !

Une gestion centralisée et sur-mesure

Il ne fait aucun doute que le volume du trafic de données et d’applications qui circule entre un bureau distant et internet ne cesse d’augmenter, parfois en raison d’activités personnelles, mais surtout du fait de l’adoption croissante de services SaaS (Software as a Service). Depuis des années, les entreprises sont paralysées, obligées de faire des compromis : relier tout le trafic destiné à internet sur leur réseau MPLS à un pare-feu central, déployé dans un centre de données ; ou intégrer un pare-feu sur chaque site. En 2018, le WAN en bordure de réseau permettra aux entreprises de choisir au cas par cas. Ainsi, avec une solution SD-WAN orchestrée, les administrateurs réseau peuvent facilement configurer les stratégies réseau pour migrer des « WiFi invités » et des applications SaaS de confiance directement sur le réseau de la succursale ; pour dévier les applications à utilisation personnelle vers des service de pares-feux situés dans le cloud ; ou encore, pour renvoyer tout le trafic inconnu, ou douteux, vers une zone sécurisée dans le datacenter.

En fait, la vraie rupture d’un SD-WAN orchestré repose sur sa capacité à définir et à gérer centralement les règles de réseau, et à les adapter à chaque entreprise. Une telle solution permet également aux administrateurs réseau d’appliquer de manière sélective une gestion unifiée des menaces au trafic qui le justifie, sans devoir déployer et gérer une technologie coûteuse dans chaque site distant. Elle leur permet également de procéder à des tests, et d’adopter des services de pare-feu basés dans le cloud pour un sous-ensemble de leur trafic. Enfin, elle fournit une manière ergonomique de concilier les technologies de différents fournisseurs de sécurité pour chaque unité commerciale ou par application.

Une micro-segmentation

Le SD-WAN améliore également la sécurité d’une entreprise, en déployant la segmentation du trafic à travers le WAN et vers les sites distants. La micro-segmentation, et ses zones de confiance zéro, est alors la meilleure pratique à adopter dans le datacenter. Plutôt que de laisser une machine virtuelle (VM) parler à une autre, cette approche repose sur des règles établies pour déterminer quelles VM peuvent communiquer entre elles. Par conséquent, en cas d’exposition, les compromissions et l’exposition sont contenues. De même, les entreprises peuvent utiliser des solutions SD-WAN de pointe pour segmenter le trafic dans une succursale, notamment selon les normes de sécurité de l’industrie des cartes de paiement (PCI DSS), le trafic de l’IoT, et les applications internes ou externes. Cette segmentation peut même être étendue à travers le WAN et contrôlée via l’orchestration centrale. Par conséquent, les entreprises peuvent isoler l’impact d’une faille de sécurité, et augmenter ainsi efficacement leurs couches de sécurité existantes avec de nouvelles contre-mesures au niveau du réseau.

Des configurations uniformes

La cohérence entre tous les bureaux distants, en termes de sécurité, est de plus renforcée par le SD-WAN. En effet, dans les réseaux traditionnels, les administrateurs disposent d’un accès via une CLI (interface en ligne de commande) aux routeurs et aux pare-feu, et se retrouvent souvent obligés d’apporter des modifications de configuration manuelles pour chaque périphérique. Rapidement, la somme de tous les correctifs apportés entraîne une dérive de la configuration : les configurations des périphériques semblent être les mêmes, mais présentent en réalité de nombreuses différences, qui entraînent des failles de sécurité. Ces dernières sont chronophages pour les équipes IT et nécessitent une intervention par site et une configuration des appareils individuellement, ce qui ne serait pas nécessaire avec une solution SD-WAN de pointe. Les règles et objectifs sont établis au niveau du réseau et appliqués automatiquement par l’orchestration centrale. Ainsi, il n’y a plus de configuration manuelle périphérique par périphérique, sujette aux erreurs, et le réseau reste conforme aux règles mises en place.

Finalement, le niveau de sécurisation d’un SD-WAN ne dépend ni des caractéristiques de sa gestion unifiée des menaces, ni du nombre de cyberattaques bloquées. Il s’agit plutôt de la capacité de la solution à aider une entreprise à orchestrer la combinaison idéale de cloud, de datacenter et de sécurité, en fonction des besoins de chaque application ; à soutenir une segmentation du trafic, basée sur des règles préétablies, et à la maintenir dans l’ensemble du réseau ; ainsi qu’à appliquer systématiquement les règles liées à la sécurité et au réseau à travers le WAN.