BTEX 2021 : comment le SD-WAN aide les réseaux à gérer le nouveau périmètre

L’année dernière a été difficile, mais l’industrie informatique s’est vraiment mobilisée pour que les utilisateurs soient en mesure de travailler à distance en toute sécurité. Tout le monde peut être fier de ce qui a été accompli jusqu’à présent, dit Reid Nilson, architecte principal de la sécurité sur le terrain, parlant à l’événement virtuel BTEX 2021 de CDW. Cependant, avec tous ces télétravailleurs, il est évident que la plateforme de sécurité classique est en mutation.

Il est 10 h de l’après-midi, savez-vous où se trouvent vos utilisateurs?

Si vous vous demandez où se trouvent nos utilisateurs et nos applications aujourd’hui, ils peuvent être n’importe où, dit Reid Nilson. Les utilisateurs peuvent se trouver dans un bureau ou travailler à domicile. Les applications peuvent se trouver dans le centre de données ou être hébergées sur un logiciel-service (SaaS). C’est pourquoi il est temps d’examiner comment la périphérie des branches de réseau à distance peut être construite pour soutenir ce périmètre de sécurité variable.

Facteurs de modernisation de la périphérie des branches de réseau

Pour résumer ses discussions avec les clients de partout au Canada, Reid Nilson déclare qu’ils sont tous à des endroits différents dans leur parcours informatique. Certains étaient parmi les premiers à adopter des applications SaaS comme Office 365, Salesforce ou G Suite, et d’autres ne font que commencent leur parcours vers le nuage. Pour de nombreux clients, ce parcours commence par un environnement hybride, où ils doivent composer avec un mélange d’applications sur place et en nuage.

Un autre changement a été l’évolution de nouvelles offres en tant que service, comme l’infrastructure de bureau virtuel (VDI) ou les services sans système d’exploitation. Ces nouveaux services obligent la couche de connectivité réseau à se connecter à ces nouvelles applications. Les succursales éloignées sont généralement connectées à l’aide d’un circuit MPLS privé, d’un réseau MPLS en combinaison avec un VPN IPSec ou d’une connexion Internet avec un tunnel VPN.

Ces solutions ont tendance à être statiques, indique M. Nilson. Pour les sites MPLS, de nouveaux sites pourraient être ajoutés au réseau privé MPLS, mais cela nécessiterait l’engagement du fournisseur de services, et ils devront construire une nouvelle connexion, ce qui prend généralement des mois. D’autres défis pour MPLS sont que les connexions peuvent être limitées à la région dans laquelle le fournisseur de services est actif, ou que la bande passante disponible de cette connexion particulière ne suffit pas.

Le service VPN IPSec est plus flexible pour ajouter des tunnels, mais il exige que les deux côtés de la connexion soient configurés. Or, pour les réseaux entièrement maillés ou de grands réseaux, cela n’est tout simplement pas évolutif.

Défis avec les anciennes solutions

Lorsque nous examinons le fonctionnement de ces solutions, elles reposent généralement sur la table de routage qui décide comment diriger la circulation, dit M. Nilson. Si le site dispose d’une seule connexion Internet ou MPLS, c’est facile, car le trafic n’a qu’une seule direction. Mais si le site distant dispose de plusieurs connexions, ça devient un peu plus difficile. Les anciennes solutions disposeront généralement des fonctionnalités pour l’équilibrage ou la priorisation des liaisons, mais ceci repose toujours sur la table de routage et cela peut devenir complexe. Le dispositif de branches de réseau ne sera conscient que de l’état des interfaces directement connectées. En cas de problèmes en amont, dans le réseau du fournisseur, il se peut qu’il ne puisse pas détecter ces problèmes, notamment la latence ou la perte de paquets. Il continuera à utiliser cette liaison.

Le dispositif des branches de réseau peut également avoir une connaissance limitée du trafic de l’application. L’utilisation de la qualité de service (QdS) dans le passé pour marquer correctement le trafic est difficile. Avoir une connaissance de l’application intégrée, sans marquage, avec la QdS, facilite grandement la priorisation du trafic.

Lorsque je parle à des clients qui rencontrent ces défis, je leur mentionne le SD-WAN. De plus, il y a beaucoup de fournisseurs de SD-WAN.

3 fonctions indispensables pour les
solutions SD-WAN

• Console de gestion centralisée : pour les solutions SD-WAN construites à partir de zéro, il s’agira généralement d’une offre SaaS qui comprend la licence de la solution globale. D’autres fournisseurs auront un dispositif de gestion. Il incombe au client de le déployer, soit dans le centre de données ou auprès d’un fournisseur d’infrastructure-service dans le nuage.

• Déploiement sans contact : lorsqu’un appareil est connecté à la solution de gestion, il sera attribué au portail client en fonction du numéro de série ou d’autres renseignements identifiables. Il sera disponible pour que le client puisse le réclamer. Une fois qu’il a été réclamé dans la console, l’appareil peut être configuré à distance. Lorsque les sites sont nombreux, il est beaucoup plus facile de faire en sorte que le fournisseur livre l’appareil directement sur le site plutôt que de l’apporter au site central préconfiguré, de l’expédier et d’espérer qu’il fonctionne.

• Analyses : chaque fournisseur de SD-WAN aura un certain nombre de rapports intégrés à la console de gestion, y compris les applications et l’utilisation les plus importantes. Il peut inclure des renseignements sur l’utilisateur, selon l’intégration avec l’environnement du client.

Toutes ces fonctions réunies en font une solution vraiment convaincante, même si les sites n’ont qu’une seule connexion Internet, déclare M. Nilson.

Considérations relatives à la sécurité d’un
réseau SD-WAN

Selon Reid Nilson, toute organisation doit voir la sécurité comme un élément essentiel. Lorsqu’un nouvel appareil SD-WAN est connecté au réseau, il doit être authentifié et validé avant d’autoriser sa connexion au réseau.

Chaque solution SD-WAN offrira un certain type de segmentation au niveau de la branche. Un cas d’utilisation de cette segmentation pourrait être le fait d’avoir accès à une zone spécialisée sur Internet, seulement pour un réseau sans fil invité ou à un réseau isolé, qui ne peut atteindre qu’un centre de données en vertu de la conformité PCI.

Cependant, la communication entre les zones peut varier d’une solution SD-WAN à une autre. En général, les solutions qui sont SD-WAN à partir de zéro disposent d’une fonctionnalité de pare-feu de base, mais les pare-feux avec licences d’extension SD-WAN offriront des fonctions complètes de pare-feux de prochaine génération comme le traitement des menaces et le bac à sable. Lorsque vous envisagez une segmentation sur le site, les principales considérations concernent le type de trafic est-ouest et l’inspection requise. Pour les zones des invités et PCI, il n’y a aucun trafic est-ouest, car ils sont isolés de tout le reste dans la branche.

Si la solution que nous examinons relative à la branche vise à traiter le trafic Internet de retour vers un emplacement de concentrateur, nous devons tout de même tenir compte d’un certain type de filtrage d’URL et utiliser possiblement un bac à sable sur le site, affirme M. Nilson. Pour certaines solutions, vous cherchez une solution de périphérie de services d’accès sécurisé (SASE – Secure Access Service Edge), qui peut fournir ces fonctions comme le filtrage URL, en combinaison avec un appareil SD-WAN.

Utilisation des solutions SD-WAN pour les applications en nuage

Si vous cherchez à déployer une nouvelle solution infonuagique dans l’infrastructure-service (IaaS), vous pouvez déployer des appareils SD-WAN à ce fournisseur de services en nuage en particulier, puis construire des tunnels vers cette application à partir de votre site principal, dit M. Nilson. Lorsque nous parlons d’applications, il est vraiment important que le réseau étendu à définition logicielle (SD-WAN) fasse connaître les applications, surtout si nous sommes en présence de sites avec plusieurs connexions de transport.

En regard du transport, il peut s’agir de LTE, d’Internet ou de MPLS, et nous pouvons avoir des préférences quant à la destination des applications. Dans la solution SD-WAN, nous sommes en mesure d’élaborer des politiques par l’intermédiaire de la console de gestion pour que l’une de ces liaisons serve de première option pour une application comme VoIP. Si nous conservons notre solution MPLS, nous pouvons diriger ce trafic VoIP sur cette connexion et la conserver à cet endroit, car nous sommes en mesure d’obtenir une très bonne qualité de notre fournisseur.

Mais si nous rencontrons des problèmes, nous avons suffisamment de renseignements provenant du réseau. L’appareil SD-WAN a suffisamment d’intelligence pour prendre la décision que ce lien n’est plus adéquat et qu’il doit en choisir un autre, indique M. Nilson. Avec le SD-WAN, nous avons un appareil sur le réseau distant et un autre sur le centre de données. Ces appareils sont en mesure d’échanger des renseignements concernant leur cheminement.

L’ajout de tous ces éléments associés à la console de gestion permet à l’administrateur de définir une politique centralisée. Ainsi, au lieu d’accéder à chaque appareil, l’accès peut cibler un seul endroit. Cette politique peut s’appliquer à tous les appareils. C’est un énorme avantage pour les réseaux de grande envergure.

Veillez à mettre cette page en signet pour une meilleure couverture de l’expo BTEX 2021.