Le SD-WAN s’avère désormais être l’architecture des réseaux étendus du futur. Ces réseaux s’affranchissent des contraintes des réseaux MPLS et apportent une nouvelle approche de la sécurité, en attendant l’avènement de la 5G.
Avec leurs promesses en termes de flexibilité, de qualité de service et de maîtrise des coûts, les réseaux « Software-Defined » s’imposent peu à peu dans l’architecture WAN des entreprises et des opérateurs. Preuve du dynamisme de ce marché, VMware, bien implanté sur ce secteur depuis son acquisition de VeloCloud, y fait face à de nombreux concurrents, notamment Silver Peak, Fortinet, Cisco et Juniper Networks. Outre leur capacité de pouvoir s’appuyer sur des réseaux sous-jacents hétérogènes et la flexibilité apportée par l’approche « Software-Defined », les SD-WAN ont aussi des atouts en termes de sécurité.
Des réseaux assortis de multiples services sécurité
Chiffrement, tunneling, isolation des flux applicatifs Cloud, IPS, firewalls, les opérateurs et éditeurs proposent chacun un portefeuille de services de sécurité. « Le SD-WAN, c’est aujourd’hui des projets concrets tant chez les opérateurs que dans les entreprises. Or il faut penser la sécurité en amont de ces projets de refonte d’architecture réseau » explique Régis Phalivanh, ingénieur CISSP spécialisé dans la sécurité Cloud de Cisco. Il ajoute : « La sécurité doit pouvoir s’adapter aux nouveaux usages dans les entreprises, ne doit plus être seulement périmétrique mais englober les services Cloud. » Tout comme ses rivaux, l’équipementier a doté son offre SD-WAN de fonctions de sécurité issues de son catalogue, avec sa solution Umbrella, mais aussi de partenaires.
Les détournements répétés du trafic internet américain par la Chine en 2016 ont bien montré le besoin de distinguer les infrastructures de confiance d’infrastructures moins « sûres ». Les constructeurs réseau ont maintenant intégré cette capacité à leurs équipements. Antoine Bour, expert senior en cybersécurité et responsable de la protection de la vie privée chez Huawei France, explique : « Grâce au TPM (Trusted Platform Module) et au Trusted Boot, les équipements Huawei se signalent sur le réseau en tant qu’équipements de confiance. Cela permet au contrôleur de définir des routes en fonction de la criticité et de l’importance accordée aux données qui transitent. »
Des réseaux cogérés entre l’entreprise et l’opérateur
Tous les grands opérateurs, à l’image de Verizon, accompagnent aujourd’hui leurs clients dans cette mutation vers ces réseaux « Software Defined ». L’américain pousse son offre VNS (Verizon Network System). «Il s’agit d’un composite de solutions en mode hébergé ou on-premise dans l’entreprise » explique Benoît Larmaillard, en charge de la thématique cybersécurité chez Verizon France. « On va pouvoir configurer sur le boîtier plusieurs niveaux de service, du réseau, de l’UCC, de la sécurité, du reporting. » Parmi les services de sécurité au catalogue de l’opérateur, des firewalls Cloud, la segmentation réseaux, le chiffrement. Originalité de cette offre, celle-ci peut être configurée indifféremment par l’opérateur ou l’entreprise elle-même : « L’accès à la console d’orchestration est partagée entre nous et notre client. Ce dernier dispose d’un dashboard dédié à la sécurité où il peut activer une politique en fonction de l’état de la menace en cours, peut en ajouter de nouvelles, les affiner. »
Si les entreprises migrent aujourd’hui de MPLS vers le SD-WAN, elles pensent aussi à l’avenir, c’est-à-dire l’arrivée prochaine de la 5G. Avec son approche de « Network Slicing » et ses multiples classes de services dynamiques, la 5G pourrait être exploitée en tant qu’extension du réseau de l’entreprise, rendant plus que jamais indispensable une solide sécurité « Software-defined ».
