Le SD-WAN expliqué

Le SD-WAN désigne un réseau étendu dont les fonctions fondamentales sont abstraites. Il est contrôlé de manière centralisée par une plate-forme logicielle intelligente plutôt que d'être entièrement distribué, décentralisé et dépendant de systèmes d'exploitation de réseau distincts. Ce concept fournit un plan de contrôle plus programmable avec une observabilité, une réactivité et une contrôlabilité accrues.

Le SD-WAN résout de nombreux problèmes liés aux réseaux étendus traditionnels, tels que la complexité opérationnelle, la contrôlabilité limitée, les métriques imprécises, la fragilité des services et la gestion inefficace de la capacité. En outre, le SD-WAN peut intégrer une sécurité accrue et des politiques commerciales plus précises tout en réduisant les coûts opérationnels. 

En tant que couche d'abstraction, le SD-WAN facilite l'orchestration et optimise les opérations. D'un point de vue architectural, plusieurs approches existent, mais le SD-WAN devient généralement une superposition sur un réseau physique. Le plan de contrôle est centralisé, tandis que des caractéristiques et des fonctionnalités supplémentaires peuvent être rapidement ajoutées. Le SD-WAN délivre ensuite une logique unifiée avec des workflows et des API centralisés.

Le SD-WAN n'est pas un routeur unique, mais peut englober et jouer le rôle de nombreux routeurs. Certaines approches consistent à accumuler les routeurs physiques ou logiques, tandis que d'autres solutions remplacent complètement les nœuds existants. 

Cela dépend de la solution. Certaines offres SD-WAN remplacent complètement les routeurs et autres nœuds. D'autres approches plus douces augmentent les nœuds existants ou fournissent de nouvelles passerelles logiques.

Le SD-WAN est un concept et une couche d'abstraction qui, une fois instanciée, peut intégrer de nouveaux protocoles de routage, mais qui tire souvent parti des protocoles existants. En général, le SD-WAN se superpose à un réseau sous-jacent existant et apporte une valeur ajoutée à tous les services et opérations.

Un SD-WAN est un réseau étendu amélioré qui offre des fonctionnalités supplémentaires en plus de l'accessibilité de base et des aspects techniques du trafic. Un WAN traditionnel est composé de routeurs, chacun exécutant un système d'exploitation réseau avec son propre plan de contrôle basé sur la configuration locale et les informations d'état. Un SD-WAN centralise généralement le plan de contrôle et partage l'état entre tous les nœuds.

Les offres SD-WAN peuvent améliorer la posture de sécurité, réduire les coûts opérationnels et permettre une prise de décision plus fine et intelligente, notamment en matière de performances et de capacité. Cela permet d'améliorer considérablement l'expérience utilisateur et l'expérience opérateur, tandis que les vues globales et locales des conditions du WAN aident à renforcer l'évolutivité et l'élasticité.

Les SD-WAN renforcent la télémétrie pour augmenter l'observabilité globale d'un WAN. avec par exemple des mesures sur les sessions et flux individuels impactant l'expérience utilisateur. En étendant et en affinant les aspects techniques du trafic, il est possible d'influencer et de contrôler rapidement les performances via une logique plus intelligente et de politiques plus précises. En outre, l'orchestration et la gestion du cycle de vie sont simplifiées grâce à la logique de la plateforme centralisée, qui intègre de plus en plus l'intelligence artificielle (IA).

Bien que la plupart des WAN reposent sur le routage dynamique, les mesures utilisées peuvent être considérées comme grossières et ne concernent que l'accessibilité. Les SD-WAN peuvent interagir avec le routage sous-jacent (si on le souhaite), mais établissent avant tout des superpositions à l'aide d'un routage dynamique amélioré qui tire parti d'informations intelligentes sur les services OTT (over-the-top) fournis aux utilisateurs finaux.

Le SD-WAN n'est pas un protocole spécifique ou une architecture normalisée, mais exploite et améliore au contraire les services existants fournis via MPLS. Le SD-WAN offre également un choix plus large et moins coûteux de technologies et de supports de transport (pas seulement MPLS) pour répondre plus précisément aux exigences commerciales et techniques des organisations

Les différentes offres SD-WAN forment leur propre type de réseau privé virtuel (VPN) site à site et peuvent s'intégrer à des VPN d'accès à distance ou se placer derrière eux. Certaines offres SD-WAN résolvent les problèmes de sécurité de différentes manières tout en améliorant l'intégrité, la disponibilité et les performances du WAN.  

Selon les besoins, le SD-WAN peut remplacer certaines utilisations de VPN multipoints dynamiques (DMVPN) en fournissant un transport sécurisé et évolutif qui ne nécessite que peu ou pas d'orchestration (de façon semblable au provisionnement sans intervention). La finalité dépend de l'offre SD-WAN et du cas d'utilisation, mais l'un des objectifs du SD-WAN est de fournir une fonctionnalité semblable à celle des DMVPN. 

La plupart des solutions SD-WAN et de leurs fournisseurs utilisent des protocoles standardisés, tandis que d'autres ont créé leurs propres protocoles propriétaires. Un SD-WAN peut améliorer ou remplacer un WAN et un VPN existants, ce qui déterminera si l'offre SD-WAN doit intégrer ou utiliser IPsec.

Le passage d'un plan de contrôle distribué à un plan de contrôle centralisé peut être considéré par certains comme une faiblesse, bien qu'il existe déjà souvent une forme d'opérations, d'orchestration et de gouvernance centralisées dans la gestion du WAN. Les SD-WAN cherchent à réduire les erreurs opérationnelles et les défaillances courantes avec une superposition plus robuste, même lorsque les sous-couches et le routage traditionnels sont toujours en jeu. 

Le SD-WAN peut être entièrement privé ou mutualisé, selon le cas d'usage, l'offre et les objectifs. Le SD-WAN peut offrir différents niveaux de confidentialité et peut être dédié à une seule organisation ; il peut également faire partie d'une offre de services gérés ou être administré par le client dans le cadre d'une offre cloud. 

Le SD-WAN peut être considéré comme un type de VPN, bien que le concept de SD-WAN porte davantage sur l'abstraction, la programmabilité et la flexibilité du WAN que sur la sécurité. Un SD-WAN peut partager des objectifs et fournir des services similaires à un VPN, mais tous les SD-WAN ne sont pas des VPN.

Les SD-WAN respectent les principes de sécurité fondamentaux tels que la confidentialité, l'intégrité et la disponibilité. Ils sont généralement conçus pour être sécurisés par défaut et fournir une protection contre les attaques tout en prévenant les défaillances involontaires. Comme toujours, et indépendamment de la technologie, du protocole ou de la configuration, la sécurité opérationnelle est un processus continu qui nécessite une gestion, une surveillance et une maintenance.

Avec le SD-WAN, il est plus facile d'implémenter et d'appliquer des politiques, par exemple de défense approfondie et de contrôle d'accès Zero Trust, en partie grâce à sa structure de commande et de contrôle centralisée. L'application et l'orchestration précises des politiques appuient le principe du « moindre privilège » de manière cohérente et garantissent qu'un refus par défaut dans tous les cas, au lieu de l'autorisation par défaut plus permissive des WAN traditionnels. En exploitant des protocoles sécurisés et une télémétrie accrue pour une meilleure visibilité sur le réseau, le SD-WAN peut observer, identifier, contrôler et atténuer les menaces plus rapidement que les solutions ponctuelles individuelles de frontière. La sécurité peut être intégrée à l'ensemble du WAN.  

En fonction de votre stratégie de sécurité et de vos points d'application existants, vous n'aurez peut-être pas besoin de couches de sécurité supplémentaires en déployant un SD-WAN. Les offres SD-WAN modernes comprennent une série de fonctionnalités de sécurité au niveau du réseau et des applications. Nombre de ces caractéristiques rendent inutiles certaines fonctions de pare-feu. Améliorer la stratégie de sécurité sur le WAN, tant au niveau du réseau que des applications, peut être extrêmement bénéfique pour les organisations, notamment celles qui adoptent des stratégies Zero Trust.

Le SD-WAN est un concept et une abstraction que les entreprises peuvent choisir de construire de A à Z, d'acheter auprès d'un fournisseur de confiance ou de consommer en tant que service géré fourni par un fournisseur de services ou de cloud. Ceux qui ne disposent pas de l'expertise en développement, du budget, du temps et des ressources nécessaires pour construire leur propre réseau achèteront et mettront en œuvre les offres SD-WAN des fournisseurs ou utiliseront un service géré. Cette option permet aux petites, moyennes et grandes organisations de se concentrer sur leurs compétences de base tout en bénéficiant du développement, du soutien et de la maintenance des produits offerts par les vendeurs ou les fournisseurs de services et de cloud.

Il existe de nombreuses approches pour développer et améliorer les solutions SD-WAN. Si vous n'utilisez pas un SD-WAN piloté par l'IA, les tâches opérationnelles traditionnelles restent généralement fastidieuses. Il s'agit notamment d'une surveillance constante, de la gestion des performances, de l'ajustement des politiques de trafic et de sécurité et de la gestion continue du cycle de vie. Les améliorations peuvent être nombreuses, mais le plus important est d'intégrer l'IA et l'automatisation pour faciliter les opérations. Ainsi le personnel sera libéré et pourra se consacrer à des initiatives à plus fort impact. 

Il n'y a pas de prix donné pour le SD-WAN, car il les approches et les offres sont nombreuses. Le SD-WAN devrait toutefois permettre de réduire le coût des circuits et les frais d'exploitation. Il devrait réduire considérablement le temps de déploiement de nouveaux sites et topologies tout en améliorant l'expérience des utilisateurs et des opérateurs. 

Le ZTP, ou provisionnement sans intervention, signifie qu'il n'est pas nécessaire d'amorcer et de configurer localement les nœuds SD-WAN. Ces tâches sont prises en charge de manière centralisée et sont automatisées. En règle générale, seuls les emplacements centraux utilisent des modèles ou des profils qui ne sont pas par défaut, et tous les autres provisionnements sont automatisés. 

Un WAN hybride utilise plusieurs types de transport et de connexion. Le WAN hybride exploite différentes couches et technologies telles que MPLS, les lignes louées, VPLS Ethernet et le Direct Internet Access (DIA) haut débit. Le SD-WAN est une technologie de superposition qui s'exécute généralement sur ces réseaux physiques. Le SD-WAN se concentre davantage sur l'accessibilité de la superposition, les aspects techniques du trafic et les services à valeur ajoutée complétant le WAN physique.

Le SD-WAN comprend normalement un contrôleur central hautement disponible et une fonction d'orchestration qui programme et gère les nœuds de périphérie. Ces nœuds périphériques peuvent également fournir une gamme de services au SD-WAN, en fonction de l'offre SD-WAN. Le contrôleur assure généralement toutes les fonctions d'orchestration, de gestion et de reporting tout en utilisant le contexte obtenu à partir des nœuds de périphérie pour prendre de meilleures décisions globales en matière de routage, de politique, de sécurité et d'amélioration des services. 

Le Secure access service edge (service d'accès sécurisé en périphérie) est une évolution qui vient compléter l'entièreté du SD-WAN avec des fonctions de sécurité complètes, y compris des services d'identité. Le SASE s'appuie sur un ensemble de fonctions de sécurité basées sur le cloud, appelé « secure service edge » (SSE). SASE est donc en quelque sorte un SD-WAN avec SSE. Le SSE est généralement basé sur le cloud et peut être fourni par un fournisseur spécifique, tandis que le SD-WAN peut être physique, logique et/ou basé sur le cloud tout en s'intégrant latéralement avec d'autres fournisseurs.

La réponse dépend de plusieurs critères. Il s'agit notamment de la complexité de votre WAN, des ressources et des compétences de l'équipe, et du budget. 

Les services SD-WAN peuvent être fournis par le fournisseur qui vend la solution, par des sociétés de services cloud ou par des fournisseurs de services gérés spécialisés dans le SD-WAN. Des services professionnels de conception, de déploiement et d'exploitation sont également disponibles auprès de la plupart des fournisseurs pour couvrir tous vos besoins, initiaux comme continus. 

Le SD-WAN « Do it yourself » (DIY) consiste à construire soi-même toutes les facettes d'une solution SD-WAN. Le projet implique d'écrire tous les logiciels du contrôleur et des nœuds de périphérie SD-WAN, et de gérer tous les aspects du cycle de vie du logiciel et du système. La mise en place d'un SD-WAN DIY est une entreprise complexe qui est surtout adoptée par les fournisseurs de cloud computing de grande envergure disposant de ressources informatiques et d'un budget importants.

Les SD-WAN sont avantageux pour tous les acteurs : grands opérateurs réseau comme petites organisations. Ils permettent non seulement d'améliorer l'orchestration, les opérations et la sécurité, mais également d'optimiser la prestation de services et la qualité de l'expérience utilisateur.