Les SD-WAN sont-ils sûrs ?

Protection de vos données sur les nouveaux réseaux étendus (WAN)

La plus grande promesse du SD-WAN (Software-Defined WAN) ? Une agilité en hausse et des coûts de transport en baisse à travers tout le réseau de connexion à vos sites distants. Mais côté sécurité, que se passe-t-il lorsque votre trafic passe d’un VPN MPLS privé et structuré à l’Internet public ?

Cette nouvelle connectivité à haut débit vous expose en effet davantage aux malwares et aux pirates que votre réseau MPLS mono-opérateur. Si bien que les avantages coûts et performances du SD-WAN finissent par ne plus peser bien lourd face aux nouvelles failles de sécurité qu’il entrouvre. Ce qu’il vous faut, c’est un moyen de libérer toute la puissance des technologies SD-WAN, sans pour autant vous exposer à des menaces de plus en plus intenses. Et le mieux serait encore d’y parvenir avec en prime la sérénité d’un service managé.

Déploiement : les éléments indispensables

Pour Juniper, votre niveau de protection dépend du mode de déploiement de votre SD-WAN. Faute de normes établies, le SD-WAN peut en effet se déployer de différentes manières. Mais qui dit absence de norme dit aussi absence de garantie sur les fonctionnalités prises en charge par votre solution, y compris au niveau de la sécurité.

Or, pour une sécurité complète, la virtualisation des fonctions réseau (NFV) en général, et le déploiement d’un SD-WAN en particulier, passent obligatoirement par un chiffrement du transport IPsec et des pare-feu de nouvelle génération (NGFW) dotés de fonctionnalités de gestion unifiée des menaces (UTM). Une étude Heavy Reading de 2017 vient d’ailleurs étayer ce propos. Dans cette enquête, les fournisseurs de services de communication disent placer la sécurité en tête de leurs priorités pour leurs clients NFV.1

Autre élément indispensable : la prise en charge de tous les principaux protocoles de routage exécutés à travers votre réseau distant, y compris MPLS, BGP et GRE. Ces protocoles devraient pouvoir s’exécuter à grande échelle sans compromettre la stabilité et la disponibilité de votre réseau. Par ailleurs, pour répondre aux divers besoins de votre WAN, vous devrez pouvoir gérer de multiples interfaces, à commencer par T1, GbE et LTE (réseau cellulaire). Vous aurez également besoin de règles de routage basées sur les applications, c’est-à-dire capables d’appliquer différentes règles à chaque type d’application, avec en prime la visibilité et l’analyse nécessaires pour soutenir votre activité. Les fonctions Zero-Touch Provisioning (ZTP) font également partie de la panoplie SD-WAN indispensable. Grâce à elles, vous tirez un trait sur le détachement de techniciens et l’installation de nouveaux équipements à chaque déploiement de nouvelles fonctionnalités sur vos sites distants.

Un grand nombre de solutions que vous évaluerez rempliront certainement la plupart de ces critères. Toutefois, le plus important d’entre eux, à savoir la sécurité, s’avère plus difficile à satisfaire. D’où le débat qu’il suscite. Dans l’idéal, les questions de sécurité trouvent leurs réponses dans un service managé.

Souvent, les SD-WAN virtualisent les fonctions d’infrastructure réseau comme le routage et les pare-feu. L’objectif : les déployer facilement et rapidement sous forme de fonctions réseau virtuelles (VNF) à travers une vaste infrastructure réseau distribuée. Ainsi, les SD-WAN équilibrent les charges du trafic en dynamique sur chaque site à travers différents types de liaisons (MPLS, Internet public, réseau cellulaire haut débit, etc.). Le tout sous la baguette d’un contrôleur centralisé qui y applique des règles de routage optimales. Ces fonctions d’optimisation et de virtualisation du routage, vous les retrouverez sur la plupart des solutions SD-WAN du marché.

De nombreuses entreprises font appel à la technologie SD-WAN pour décharger le trafic Internet de leur réseau MPLS. Elles entendent ainsi utiliser des services haut débit moins coûteux pour les connexions directes du réseau distant vers le cloud et Internet. Traditionnellement, la plupart des entreprises se sont appuyées sur des connexions VPN MPLS plus coûteuses pour rediriger tout le trafic vers un site central, notamment un datacenter d’entreprise. Après y avoir appliqué certaines règles et autres mesures de sécurité, le réseau MPLS réachemine le trafic vers sa véritable destination. Toutefois, compte tenu du volume actuel de trafic des réseaux distants vers le cloud et Internet, il est plus rapide et plus efficace de le diriger directement vers sa destination finale. D’autant plus que les services haut débit accomplissent cette tâche de façon plus économique.

Seulement voilà, si le trafic réseau ne passe plus par un site centralisé pour le filtrage et le contrôle des règles de sécurité, sa protection repose désormais sur la mise en place de procédures de sécurité holistiques sur chaque site SD-WAN. Vous devrez pour cela établir un bilan complet des fonctionnalités prises en charge par votre solution SD-WAN et combler les éventuelles failles de sécurité.

IPsec ne suffit pas

La plupart des implémentations SD-WAN permettent de chiffrer votre trafic site-à-site à l’aide de l’IPsec, une norme de protection des données en transit. Parce que la plupart des solutions SD-WAN intègrent l’IPsec, on a souvent tendance à penser que les SD-WAN sont intrinsèquement sécurisés. Certes, IPsec protège les données en transit sur votre réseau. Toutefois, il ne peut rien face à aux intrusions et aux malwares sur le trafic direct d’un réseau distant vers le cloud.

En outre, en l’absence de normes pour le déploiement du chiffrement IPsec sur le SD-WAN, les exigences varieront. Dans certains cas, vous devrez déployer des équipements supplémentaires sur les sites distants et à la tête de votre réseau cloud pour créer un overlay VPN IPsec. Bien entendu, cela nécessitera de nouveaux éléments d’infrastructure et des outils de gestion distincts.

Lorsque l’équation inclut les services managés d’un fournisseur externe, le déploiement des logiciels pour le SD-WAN et IPsec s’effectue en même temps, dans une seule et même instance VNF. Résultat : vous exploitez votre infrastructure IPsec existante sans accroître vos coûts d’administration pour l’activation du chiffrement sur votre SD-WAN.

Tant que la technologie IPsec s’exécute correctement pour protéger vos données en transit, ces dernières sont en sécurité. Toutefois, au moment de concevoir votre SD-WAN, n’oubliez pas d’intégrer d’éventuels besoins supplémentaires en déploiement et infrastructure à votre cahier des charges. Ces éléments devront entrer dans le calcul de votre coût total de possession (TCO). Quant aux déploiements IPsec manuels, ils exposent le VPN à d’éventuelles erreurs humaines susceptibles d’en fragiliser la sécurité.

C’est pourquoi Juniper recommande d’intégrer le SD-WAN et l’IPsec dans une seule et même solution déployée par un fournisseur de services managés. Plus simple à déployer et à gérer, cette approche se distingue également par des niveaux de protection inégalés.

Pare-feu réseau et fonctions UTM

Lorsque votre trafic ne passe plus par le dispositif centralisé de sécurité de l’entreprise, il n’est plus protégé contre les intrusions, les attaques par interception (« man in the middle ») et les malwares responsables de dénis de service et vols de données.

D’où le besoin de fonctionnalités de pare-feu à états entre l’Internet public et votre périphérique de périmètre WAN pour contrôler les accès. La plupart des pare-feu de nouvelle génération intègrent également une grande variété de fonctions UTM : détection et prévention des intrusions (IDS/IPS), mise en quarantaine ou déflexion des malwares détectés, et filtrage web pour reconnaître les sites Internet à risques et empêcher les utilisateurs de s’y rendre. Puisque chaque site distant se situe en bordure de WAN, avec exposition directe à Internet, vous devez déployer toutes ces fonctionnalités sur chacun d’entre eux.

Dans ce domaine, nous pensons que le SD-WAN présente tous les atouts pour simplifier radicalement l’architecture des réseaux distants. Certes, vous pouvez toujours déployer des équipements spécifiques pour chacune des fonctions de sécurité réseau évoquées sur vos nombreux sites décentralisés. Toutefois, il est bien plus économique de déployer un « boîtier » SD-WAN générique sur lequel vous pouvez charger des fonctions virtuelles dédiées, voire même une instance VNF de pare-feu nouvelle génération qui les contient toutes. Si votre fournisseur SD-WAN propose une telle solution, vous pouvez y installer et opérer le ou les VNF de sécurité requises. De plus en plus de spécialistes de la sécurité proposent eux aussi des VNF, même s’ils n’offrent pas de logiciels SD-WAN proprement dits.

Selon Juniper, il est important d’avoir le choix en matière de fournisseur VNF, ce qui passe par une plateforme SD-WAN ouverte. Celle-ci vous permet de sélectionner le meilleur fournisseur pour chaque composant (routeur, suite NGFW de fonctionnalités de sécurité, etc.) et de les exécuter ensemble, sous la direction d’un seul et même outil de gestion.

L’absence de standards régissant l’intégration de fonctions UTM aux logiciels SD-WAN fait courir un risque à votre réseau. À l’heure où votre périmètre WAN s’est décentralisé à travers de nombreux sites distribués, la sécurité demeure un impératif absolu. En somme, pour la protection de votre réseau, ne prenez rien pour acquis. Optez pour un ensemble complet de fonctions de sécurité capables de faire face aux différents types de risques qui planent sur votre entreprise. Ensuite, sélectionnez la méthode de déploiement la plus facile, agile et économique.

Ici, simplicité rime avec efficacité et, in fine, avec sécurité.

Pour découvrir comment développer cette solution, consultez les ressources fournies en complément de cet article.

11 “SD-WAN Implementation & Differentiation Layer Strategies”, Heavy Reading, février 2017