Le SD-WAN contribue à sécuriser les réseaux hybrides

S. Smith a vécu une de ces rares opportunités dont la plupart des ingénieurs réseau ne font que rêver : la refonte intégrale du réseau d'agences de son entreprise.

Les 3 000 succursales de la société de services financiers qui l'emploie faisaient transiter le trafic de leur WAN par MPLS. Une connexion Internet était disponible pour prendre la relève, mais uniquement comme dernier recours en cas de défaillance. Or, si ce dispositif répondait aux impératifs de sécurité de la société, il coûtait cher à entretenir.

Alors que M. Smith et son équipe travaillaient à améliorer l'efficacité du WAN sans augmenter la dépendance à l'égard de la technologie MPLS, le WAN à définition logicielle (SD-WAN ou Software-Defined WAN) a retenu leur attention. Cette nouvelle technologie permet aux entreprises de créer des réseaux hybrides regroupant plusieurs méthodes d'accès, dont des services Internet commerciaux, et acheminant dynamiquement le trafic via la meilleure méthode, selon sa disponibilité et ses performances en temps réel, ou en fonction d'autres stratégies personnalisées.

Des tests suivis d'un petit programme pilote dans leur réseau de production avec la plateforme SD-WAN de la startup Viptela ont convaincu Smith et son équipe. Ils sont maintenant en train de déployer cette plateforme dans toutes les succursales, en lui adjoignant sur chaque site un savant mélange de connectivité MPLS, haut débit et LTE sans fil.

Cependant, pour une entreprise desservant six millions de clients, cela fait beaucoup de données confidentielles en circulation sur Internet. Comment une équipe IT, a fortiori dans le secteur bancaire, peut-elle cautionner ce genre de situation ? De nombreux ingénieurs réseau d'entreprise qui lorgnent sur les architectures WAN hybrides se posent la même question : ça ne peut pas être aussi sûr que de tout exécuter sur MPLS, n'est-ce pas ?

Bien qu'elles ne soient pas aussi robustes qu'une appliance de sécurité dédiée, les plateformes SD-WAN sont dotées de nombreuses fonctions qui, au final, rendent les réseaux hybrides suffisamment sûrs. Tout le trafic WAN de Smith passe par des tunnels chiffrés de bout en bout, une fonctionnalité qu'il a déclarée non négociable lors de la refonte de son architecture. De plus, un intervenant tiers a vérifié la sécurité de la plateforme au moyen d'un test d'intrusion.

« Le haut débit, c'est un peu le Far West, mais nous faisons tout notre possible pour assurer l'intégrité de nos données sur ce mode de transport », affirme Smith, ingénieur en infrastructure qui n'a accepté de nous parler qu'à la condition que lui et sa société restent anonymes, par souci de sécurité.

« C'est juste une autre façon de penser. Le MPLS a toujours été considéré comme plus sûr, ajoute-t-il. A l'origine, personne n'avait recours au chiffrement avec cette technologie, puis on a commencé à le mettre en œuvre. A partir du moment où vous commencez à le faire sur le haut débit et tout le reste, vous vous dites, "Bon, peu importe en fait le moyen de transport que j'utilise du moment que j'applique le chiffrement et le tunneling de bout en bout. Ce n'est jamais que de la bande passante. »

Tout le battage qui entoure le SD-WAN concerne en grande partie sa capacité à doper les performances WAN, sa disponibilité et les économies qu'il permet en simplifiant le déploiement et la gestion des réseaux hybrides. Sans ce type de plateforme, il était tout simplement trop difficile pour la plupart des entreprises d'élaborer un WAN hybride en partant de zéro, d'après Andrew Lerner, directeur de recherche chez Gartner. La sécurité n'était guère prise en compte avant que le SD-WAN rende les WAN hybrides réalisables.

« Le SD-WAN est une technologie habilitante, dans le sens où elle permet d'identifier concrètement les problèmes de sécurité associés au passage à un WAN hybride, explique Lerner. Elle vous permet de faire quelque chose qui était très difficile à réaliser auparavant, offrant l'occasion de s'attaquer à une faille de sécurité qui restait masquée car on ne savait tout simplement pas la détecter. »

Les fournisseurs de SD-WAN mettent en oeuvre leurs fonctions de sécurité par le biais d'une appliance sur site ou d'un service de sécurité Cloud, ce dernier étant souvent assuré via des tiers tels que Websense ou Zscaler. Mais, tant que vous n'envoyez pas des fichiers top secret de services de l'Etat ou des transferts monétaires à forte valeur, cette approche est sans doute suffisante, déclare Lerner.

« Bien que l'on considère généralement qu'[Internet] offre moins de sécurité, il est en réalité assez sûr pour pratiquement toutes les entreprises, à condition qu'elles soumettent leur trafic à des niveaux de chiffrement appropriés », ajoute-t-il. 

Prudence est mère de sûreté

L'année dernière, le responsable voix et données d'une banque régionale du Nord-Est des Etats-Unis qui, par souci de sécurité, a demandé à n'être cité que sous ses initiales, D. V., cherchait un moyen d'améliorer à moindre coût les performances de son WAN. Presque toutes les succursales de la banque, qui en compte 100, utilisaient le MPLS comme moyen de connexion principal, avec le réseau Internet commercial en guise de système de secours.

Mais les volumes de données transitant par le WAN ne cessant d'augmenter, les gains de performance apportés par ses appliances d'optimisation Riverbed SteelHead ont commencé à plafonner. Le coût nécessaire pour renforcer ces circuits privés avec plus de bande passante était toutefois prohibitif.

Le SD-WAN lui est apparu comme la solution, mais ne s'inquiétait-il pas de la sécurité ? N'avait-il pas peur des risques ?

« Bien sûr que si, indique D. V. La sécurité est intimement liée au réseau. Je conteste la notion selon laquelle la sécurité serait un domaine à part. Si vous n'êtes pas capable d'assurer la gestion réseau, honnêtement, vous n'avez pas à vous mêler de sécurité et dans une certaine mesure l'inverse est également vrai. Notre position en matière de sécurité est très prudente. Il y a toujours quelque part dans notre réseau un auditeur qui furète partout à la recherche de failles, alors nous sommes très à cheval sur la sécurité de la solution. »

Il a évalué les plateformes SD-WAN de Cisco, FatPipe Networks, Ipanema Technologies, et Talari Networks dont l'approche de sécurisation des réseaux hybrides sur la base des paquets l'a fortement impressionné par rapport aux modèles par flux de fournisseurs tels qu'Ipanema.

D. V. a donc testé Talari et procédé à des captures de paquets pour voir si le produit tenait ses promesses, ce qui, apparemment, était bien le cas. Un auditeur a ensuite confirmé ces résultats au moyen d'un test d'intrusion. Depuis décembre dernier, la plateforme est déployée dans toutes les agences de la banque.

« J'ai été convaincu dès ma première analyse. Je suis plutôt calé en sécurité, mais je n'étais pas sûr que ça marcherait avant d'avoir vu le rapport de notre prestataire qui a effectué le test d'intrusion, se rappelle D. V. A ce moment-là, ça ne dépend plus de moi ni de mes collègues. C'est quelqu'un d'extérieur qui donne son feu vert. C'est seulement à ce stade que vous pouvez aller voir les responsables de la sécurité IT et leur dire : "Voilà ce que nous proposons". »

Bien que le réseau Internet public comporte toujours des risques, le fait est que le MPLS est également un support partagé. Les protections fournies par les plateformes SD-WAN mettent les deux sur un pied d'égalité, affirme D. V.

« Avec un circuit MPLS, l'ironie est que la sécurité est assurée par des VLAN, ni plus ni moins. Votre trafic est identifié et placé dans un VLAN spécial, de sorte qu'il transite par le même tuyau que le circuit MPLS que tout le monde, indique-t-il. Ce n'est pas une couche physique de sécurité. Il n'y a aucune inspection particulière qu'un pare-feu, ou un IDS ou IPS pourrait ajouter. Rien de tout cela n'existe dans une solution SD-WAN, ni d'ailleurs dans une solution MPLS à moins que vous ne fassiez la démarche de l'ajouter. »

L'idée fausse selon laquelle tout ce qui ne relève pas d'une architecture strictement MPLS présente des risques immenses est difficile à surmonter dans les entreprises arc-boutées sur une culture de la prudence, remarque Tim Coats, directeur de l'innovation appliquée chez Trace3, un grand intégrateur système et revendeur basé à Irvine, en Californie, qui conçoit des implémentations SD-WAN à partir de produits de Cisco, CloudGenix et VeloCloud.

« On nous dit souvent : "Je voudrais profiter des coûts réduits d'Internet, mais les problèmes de sécurité que ça pose me font peur", dit Tim Coats. Certaines très grosses sociétés [parmi nos clients] redoutent énormément les risques et privilégient les solutions MPLS traditionnelles. Nous essayons de leur faire comprendre qu'Internet c'est très bien aussi, à condition de l'utiliser correctement, et qu'une approche hybride est généralement la meilleure solution. »

Equilibrer les besoins dans les WAN hybrides

Tout est une question d'équilibre, affirme D. V. Ses unités Talari peuvent prendre en charge la norme de chiffrement la plus rigoureuse, AES-256, et les auditeurs de la banque préfèreraient qu'il l'active. Mais il a remarqué que cette norme entraînait une diminution des performances de son réseau, alors il utilise la norme AES-128 jusqu'à ce que les matériels de nouvelle génération apportent une solution au problème.

« Aucune des deux techniques ne peut être craquée pour le moment. Tout dépend donc du bon vouloir de l'auditeur de sécurité. Et l'auditeur, c'est son rôle, aura toujours tendance à dire que deux précautions valent mieux qu'une, qu'il ne faut rien laisser au hasard. Mais ce n'est pas toujours raisonnable. »

S. Smith, l'ingénieur en infrastructure qui utilise Viptela, fait circuler le plus gros du trafic interne (et pas seulement le Wi-Fi des invités) sur ses réseaux hybrides sans souci majeur. Néanmoins, certaines données très sensibles ne passent que par le MPLS, et la plateforme SD-WAN l'aide à faire un tri très fin à ce niveau. Il peut définir des stratégies non seulement en fonction de certaines applications, mais aussi selon des fonctionnalités précises d'une application donnée.

« Nous nous servons toujours du MPLS et, dans le secteur financier, je ne pense pas que ça changera. Les règles sont tout simplement trop nombreuses, dit S. Smith. En revanche, je crois pouvoir affirmer que, grâce au tunneling IPsec et à d'autres fonctions de sécurité de notre solution SD-WAN, ainsi qu'à sa facilité de gestion, non seulement nous sommes en mesure d'identifier les risques, mais nous disposons désormais de moyens plus efficaces et proactifs d'atténuer ces menaces et vulnérabilités lorsqu'elles se présentent. »

Si le SD-WAN contribue à combler les lacunes de la plupart des entreprises en matière de sécurité, Andrew Lerner, de Gartner, fait remarquer que cette stratégie peut ne pas convenir à tout le monde, selon les exigences du secteur.

« Si vous cherchez à déployer une passerelle de type couteau suisse dans vos succursales, c'est-à-dire un système qui prenne en charge le sans-fil, joue le rôle de serveur, assure l'optimisation WAN, des fonctions de pare-feu et la gestion des appels, le SD-WAN n'est pas la réponse, indique Lerner. En revanche, je peux dire que la majorité des entreprises auxquelles j'ai affaire s'en tireront très bien sans cette kyrielle de fonctionnalités dans un certain nombre de leurs succursales. » 

SD-WAN : la sécurité simplifiée ?

En fait, les premiers utilisateurs du SD-WAN comme Smith et D. V. constatent que leurs WAN sont à présent plus sûrs que jamais.

« Avec une solution ancienne, il faudrait se préoccuper des coûts supplémentaires induits par la gestion de nombreux composants de sécurité, tels que les serveurs de certificats, l'infrastructure PKI, le DMVPN, la segmentation VRF, les serveurs de clés GDOI pour le GETVPN, ainsi que de la rotation et de l'expiration des clés et certificats, et de bien d'autres composants de votre pile de sécurité, argumente S. Smith. Ce n'est pas difficile quand votre environnement est de petite taille, mais dès que vous étendez le système à une grande entreprise, il vous faut du personnel simplement pour gérer l'environnement de sécurité réseau. »

La console Viptela simplifie la tâche des administrateurs en automatisant ces modifications, explique-t-il.

« Au risque de paraître complaisant, c'est vrai qu'ils facilitent la sécurité, reconnaît-il. Du point de vue de la courbe d'apprentissage, ils n'apportent rien de complètement nouveau, de révolutionnaire. Ils prennent des choses qui existent déjà, mais les utilisent beaucoup plus efficacement. Je n'ai pas eu besoin de potasser le manuel pendant un mois pour réussir à comprendre leur système. »

Chez Trace3, l'intégrateur de systèmes californien, le SD-WAN fait partie du paquet Connected Business Experience, qui aide les entreprises à réorganiser leurs succursales pour tirer parti d'initiatives telles que la mobilité, le Cloud et l'Internet des objets. La société a été séduite par la technologie de CloudGenix, parce qu'elle met en œuvre des contrôles de sécurité fondés sur l'identité de l'utilisateur, sa localisation et l'application dont il se sert, plutôt que sur les seuls itinéraires, témoigne Tim Coats.

Tim Coats aimerait que les fournisseurs de SD-WAN aillent encore plus loin dans la simplification de la sécurité des réseaux hybrides en éliminant en grande partie les tâches manuelles et la part d'empirisme dans l'élaboration d'une chaîne de services.

« Tout le monde s'attache à résoudre des points de détail, mais personne ne considère les choses dans leur ensemble. Et les choses dans leur ensemble, c'est que j'ai des utilisateurs partout et que mes services sont répartis sur différentes plateformes. J'ai besoin de tout rassembler en un seul et même lieu, dit-il. Ce qui me frustre encore et toujours dans ce métier, c'est que tout le monde essaie de procéder "à sa façon", au lieu de s'y prendre de la bonne façon. »