SD-WAN et SASE pour un WAN modernisé et sécurisé

Avis d'experts

27 février 2023

Un WAN traditionnel a souvent été comparé à une route, à une seule voie, avec de multiples files de voitures, de motos, de bus et même de piétons qui se bousculent pour le même espace.

Ce WAN fonctionnait parfaitement avec un modèle IT centralisé, mais aujourd’hui avec l’apogée du Cloud et la distribution des sites et des utilisateurs, il est loin d’être la solution adéquate.

 

La modernisation du WAN passe impérativement par la distribution de la connectivité et de la sécurité là où se trouvent les utilisateurs et les applications.

SD-WAN (Software Defined Wide Area Network) et SASE (Secure Access Service Edge) sont les deux technologies qui permettent cette distribution donc la modernisation du réseau étendu WAN. D’après Gartner, d’ici 2025, 65 % des entreprises auront mis en œuvre la solution SD-WAN.

La technologie SD-WAN et ses nombreux avantages pour l’entreprise

SD-WAN est une technique logicielle visant à rendre les réseaux étendus plus intelligents et plus flexibles avec une orchestration et une gestion centralisée tout en permettant une meilleure utilisation dynamique de la bande passante et de la connectivité.

 

La solution SD-WAN permet de :

 

  • Créer un changement fondamental en centralisant la gestion du réseau et en introduisant les concepts software-defined. Le réseau SD-WAN devient alors un système qui se superpose à la connectivité existante, d’où l’introduction du focus applicatif dans le réseau.

 

  • Centraliser le contrôle : SD-WAN permet essentiellement de centraliser la configuration et la gestion du WAN, du cloud et de la sécurité. Cela permet de répartir les applications localement, d’assurer le routage au niveau de l’application et de gérer les flux applicatifs à travers le réseau.

 

  • Développer l’automatisation du réseau : SD-WAN permet l’automatisation du réseau seulement avec un seul push de configuration. Les opérations sont désormais agiles et plus simples avec une meilleure visibilité sur le réseau. Contrairement au WAN classique qui nécessite plusieurs dispositifs et de nombreux changements de configuration, comme les adresses IP, le NAT, etc.

 

  • Se connecter au Cloud : Grâce au SD-WAN, le WAN peut maintenant être étendue au cloud en intégrant et en automatisant les connexions ou les tunnels SD-WAN dans un environnement cloud.

 

  • Optimiser le Traffic : SD-WAN permet également d’optimiser le Traffic en s’adaptant à tout type de liens, y compris les liens Internet et en permettant l’utilisation des ressources efficacement.

 

Sur le marché, les principaux fournisseurs du SD-WAN sont : Versa, Fortinet, Paloalto, Cisco, Aruba, et VMWare etc.

A noter que le déploiement du SD-WAN ne garantit pas des économies de coûts, par exemple, une migration du MPLS à l’accès Internet dédié, ne permet pas forcément à réduire la facture.

Bien choisir son modèle de déploiement du SDWAN

Afin d’adopter la connectivité basée sur Internet et déployer le SD-WAN, il est important de regrouper les sites sur la base de profils communs, ces profils peuvent être basés sur les applications, ou les utilisateurs. Cela permet de créer une base pour appliquer des modèles communs et adapter les processus décisionnels et les politiques de l’entreprise.

 

Pour les entreprises disposant déjà d’une connectivité Internet pour les applications SAAS, il est possible de déployer le SD-WAN afin améliorer le transport vers ces applications en optimisant le chemin à travers une utilisation fiable des ressources.

 

Il existe deux principaux modèles de déploiement du SD-WAN : Le premier est celui des services managés et le second est le modèle DIY (Do It Yourself) ou le SDWAN managé en interne.

 

Le modèle managé de base, permet aux entreprises de contrôler les politiques de sécurité et de réseau et d’effectuer des changements indépendamment de leurs fournisseurs qui continuent à gérer et à entretenir le SD-WAN.

 

Ensuite, il y a le modèle DIY, qui nécessite plus d’efforts en termes d’évaluation lors de la sélection et de la mise en œuvre et qui donne aux entreprises un contrôle totale sur le SD-WAN.

 

Le choix entre le modèle de service managés ou le modèle DIY dépendra de la taille de l’organisation, de la portée géographique, des compétences disposés et des ressources au sein de l’organisation.

Comment connecter son SDWAN au Cloud ?

Il existe deux méthodes pour étendre la connectivité SD-WAN au cloud : la méthode du cloud “on-ramp” ou la méthode du modèle transit du fournisseur de cloud :

Modèle du cloud on-ramp

Dans ce modèle, les sites SDWAN se connectent au Cloud via le “Software-Defined Interconnect (SDCI)” qui relie les sites du Cloud et les sites de l’entreprise.

 

Il s’agit d’un bon modèle si les entreprises souhaitent se connecter à plusieurs écosystèmes du Cloud et à des fournisseurs IAAS et SAAS. Megaport et Equinx sont parmi les fournisseurs SDCI sur le marché.

Modèle de connectivité de transit du fournisseur de Cloud

Dans ce modèle les entreprises combinent le SDWAN aux services offerts par un fournisseur de Transit de connectivité. Par exemple, AWS (Amazon Web Services) Transit Gateway ou Azure Virtual WAN sont des exemples de solutions de Transit. Avec ce modèle les sites IAAS disposent du SDWAN et deviennent des « spokes » connectés au “Hub” du fournisseur. Ce qui permet aux différents sites de l’entreprise à se connecter à ces sites IAAS via le hub du fournisseur. La connexion entre les sites des différentes régions sera assurée grâce au réseau backbone du fournisseur du Cloud qui deviendra une partie de la solution SDWAN.

Bien sécuriser son SDWAN

Il existe deux modèles :

 

Sécurité intégrée dans la solution SDWAN : Ce qui permet d’avoir des capacités comme le DDOS, policy-based routing, Nat etc. Certaines solutions SDWAN intègrent même une sécurité de pare-feu de la couche 7 du modèle OSI. Ce modèle convient bien lorsque l’entreprise possède des sites qui sont relativement petits.

 

Dans le second modèle, la solution SDWAN est complétée par une sécurité fournie par le Cloud. Habituellement, ce modèle est appliqué lorsqu’il n’existe pas de flux de trafic web ou de trafic basé sur le cloud. Dans ce modèle les utilisateurs obtiennent les politiques de sécurité en fonction de leur identité.

SASE pour une sécurisation renforcée du SDWAN

Une connectivité distribuée nécessite absolument une sécurité distribuée.
SASE fait converger le SDWAN et les Services Edge sécurisés SSE ce qui permet d’appliquer la sécurité sur la base de l’identité et du contexte en temps réel de l’entité

Le SSE, comme défini par Gartner, est une pile évolutive de différents outils de sécurité basés sur le Cloud, notamment :

  • Cloud Access Security Broker (CASB) : comprend un certain nombre de technologies différentes de sécurité du cloud pour protéger les applications de logiciel en tant que service (SaaS)

 

  • Passerelle Web sécurisée (SWG) : protège les utilisateurs contre les contenus malveillants, généralement le trafic Internet basé sur le Web, grâce au filtrage des URL et des techniques anti-malware.

 

  • Firewall-as-a-Service (FWaaS) : est similaire au SWG mais il couvre l’ensemble de la pile de protocoles tcp/IP.

 

  • Accès réseau Zero Trust (ZNTA) : c’est le nouveau VPN qui crée une frontière d’accès logique basée sur l’identité et le contexte autour d’une application ou d’un ensemble d’applications, contrairement au VPN classique qui établit des tunnels chiffrés.

 

A noter que le SDWAN peut être mis en œuvre indépendamment du SASE, alors que le SASE inclut toujours le SDWAN.

 

Les entreprises peuvent appliquer le SSE et ensuite ajouter le SDWAN, à condition de s’assurer de la compatibilité entre les deux.
Les entreprises peuvent également obtenir les capacités SDWAN et ZTNA ainsi que SWG et CASB auprès d’un seul fournisseur ou auprès de différents fournisseurs.

 

Le modèle SASE le plus répandu aujourd’hui est un modèle qui combine un fournisseur SDWAN et un fournisseur de SSE, ce qui aide à simplifier les frais de gestion.

 

Le modèle SASE le plus adapté est celui où les organisations disposent des meilleures solutions à la fois des fournisseurs de SDWAN et des fournisseurs de SSE, mais il faut s’assurer que qu’il y a une compatibilité entre les capacités du SDWAN et de SSE.

 

Le modèle SASE le plus évolué est dans lequel les organisations obtiennent à la fois SDWAN et SSE auprès du même fournisseur, ce qui permet de tout relier ensemble de manière native.
C’est un modèle encore très évolutif, avant de le choisir il faut réaliser un pilote ou un POC (Proof of Concept) pour toutes les fonctionnalités SSE à mettre en œuvre.

 

Cisco, Fortinet, PaloAlto et Versa sont parmi les solutions SASE à fournisseur unique qui sont actuellement disponibles sur le marché.

Magellan vous accompagne dans l’adoption du SDWAN

Pour conclure, voici une démarche courante pour déployer la solution SDWAN et le modèle SASE :

  • Aligner les exigences métiers avec les exigences de connectivité WAN pour une liste de cas d’utilisation.

 

  • Identifier l’infrastructure de sécurité et de réseau existante qui peut être exploitée ou qui doit être rafraîchie.

 

  • Développer des critères SD-WAN basés sur les profils des applications, des utilisateurs et des sites.

 

  • Décider du modèle de déploiement préféré.

 

  • Impliquer les équipes réseau, sécurité et applications dans le projet.

 

  • Évaluer et sélectionner les vendeurs ou fournisseurs de SD-WAN et de SASE préférés.

 

  • Renforcer les compétences.

Auteur

Hamza ZAOUALI, Consultant Senior

Notre practice CIO Advisory and Agility

CIO Advisory & Agility

A propos de Magellan Consulting

Magellan Consulting est le catalyseur de la transformation digitale de ses clients en les accompagnant dans le changement profond de leurs métiers et de leurs socles technologiques pour aborder les nouveaux business modèles,  la transition sociétale, énergétique et écologique.

Découvrez Magellan Consulting