Vasiliy Koval - Fotolia

Réseaux : à quoi correspond le nouveau concept de SD-LAN ?

Le SD-LAN reprend les principes des réseaux virtuels SDN que l’on trouve dans les datacenters et les applique au réseau local des bureaux et campus. L’enjeu est de gagner en souplesse par rapport aux VLANs.

Une nouvelle technologie émerge, le réseau local défini par logiciel, ou SD-LAN. Ce n’est ni plus ni moins que l’application au réseau local des principes des réseaux virtuels que l’on trouve dans le datacenter, les SDN.

Ces principes comprennent la séparation du contrôle logique d’un réseau – les règles qui définissent qui parle à qui – du convoi physique des paquets d’un endroit à l’autre. En pratique, cela signifie qu’une plateforme de gestion, qui s’exécute sur une machine virtuelle ou dans un cloud – le « plan de contrôle » –, dirige les activités d’un réseau, lequel se compose principalement de switches physiques et virtuels. En général, le plan de contrôle dispose d’APIs qui permettent d’automatiser l’application des politiques du réseau.

La séparation des plans logiques et des plans de données correspond à une prise en charge nouvelle de la virtualisation des réseaux locaux. Cependant, ce n’est pas la première fois que l’informatique virtualise le LAN.

Avant le SD-LAN, les réseaux locaux virtuels

Les réseaux locaux virtuels (VLAN) existent depuis des décennies et sont couramment utilisés dans les réseaux locaux des bureaux depuis presque aussi longtemps. Les ingénieurs réseau ont longtemps mis en œuvre les VLAN pour segmenter le réseau au niveau de la couche 2 du modèle OSI. Par exemple, les systèmes connectés par les ports d’un VLAN ne peuvent pas communiquer directement avec les ports d’un autre VLAN, ils y accèdent via un routeur ou un pare-feu.

Les VLANs créent des domaines réseau distincts qui superposent plusieurs réseaux locaux logiques à un réseau physique commun. Les équipes réseau peuvent utiliser les VLANs pour séparer le trafic de ces diverses manières :

  • pour différents départements ;
  • pour différentes classes d’appareils, comme le trafic VoIP des téléphones IP ;
  • pour différents domaines de sécurité, par exemple un VLAN pour le trafic associé à la gestion du réseau.

Les VLANs ont ouvert la voie au SD-LAN en brisant le couplage étroit entre l’utilisation logique du réseau et l’infrastructure matérielle du réseau.

SD-LAN

Un VLAN est un mécanisme de couche 2 entièrement incorporé dans les en-têtes des trames Ethernet et mis en œuvre au niveau d’un port de commutation. La technologie SD-LAN généralise cette idée afin qu’elle ne dépende pas uniquement d’Ethernet ou d’autres protocoles de couche 2. Elle virtualise complètement le réseau local, de sorte que le contrôle des politiques n’est plus assuré par les switches, mais par tout contrôleur des règles, où qu’il se trouve.

Un système SD-LAN pleinement réalisé prend en compte des critères au-delà de la couche 2 pour prendre des décisions en matière d’accès et de visibilité. Il doit tenir compte de l’identité de l’utilisateur, du processus, du programme et du dispositif, par exemple. Il peut également prendre en compte les adresses IP, l’emplacement physique des appareils et même l’heure de la journée. Quels que soient les facteurs pris en compte par le système, les ingénieurs réseau peuvent les utiliser pour définir des politiques qui régissent l’accès au réseau de données et la portée des activités autorisées sur les nœuds du réseau.

SD-LAN et confiance zéro

L’aspect le plus passionnant du SD-LAN est son utilité pour la mise en œuvre d’une architecture d’accès réseau à confiance zéro (ZTNA). Avec une stratégie SD-LAN complète, l’approche de base de la confiance zéro, qui consiste à tout bloquer sauf ce qui est explicitement autorisé, peut être mise en œuvre au niveau du réseau du campus.

L’aspect le plus passionnant du SD-LAN est son utilité pour la mise en œuvre d’une architecture d’accès réseau à confiance zéro (ZTNA).

Avec une politique de confiance zéro en place, un SD-LAN empêcherait, par défaut, la plupart du trafic réseau latéral, tel que l’ordinateur portable A communiquant avec l’ordinateur portable B. Cela empêcherait, à son tour, une vaste gamme de logiciels malveillants de se propager dans un environnement à partir d’un appareil compromis.

Prenons, par exemple, le scénario désormais tristement classique d’un malfaiteur utilisant des objets connectés corrompus (caméras intelligentes, etc.) pour attaquer des postes de travail. Le SD-LAN arrête ce processus. Les caméras, horloges murales et autres distributeurs automatiques corrompus ne peuvent voir et communiquer qu’avec leur poste de gestion, et non un segment de réseau entier. Ces objets connectés ne sont même pas en mesure de compromettre leur poste de gestion, si les ports, les protocoles ou les volumes de trafic impliqués dans l’attaque enfreignent les règles d’accès de la connexion.

Les avantages du SD-LAN

Le SD-LAN présente un certain nombre d’avantages. Sur le plan opérationnel, la présence d’un contrôleur doté d’APIs offre la possibilité d’une automatisation plus large et plus efficace des opérations du réseau local.

L’amélioration de la gestion s’étend à une meilleure capacité à découvrir, cartographier et auditer l’état actuel du réseau. Par exemple, les équipes réseau peuvent suivre ce qui se trouve sur le réseau, comment chaque entité se comporte et ce qui a dévié de la politique décidée par l’entreprise.

Et, comme l’indique le potentiel de mise en œuvre de la confiance zéro, le SD-LAN offre la possibilité d’améliorer considérablement la posture de sécurité de base des réseaux d’entreprise. Des améliorations notables sont possibles même si une entreprise ne va pas jusqu’à la confiance zéro.

Les défis du SD-LAN

Les défis sont également nombreux avec le SD-LAN. Voici quelques difficultés à surmonter :

  • Parvenir à exploiter l’infrastructure en place pour mettre en œuvre un SD-LAN ;
  • Les dépenses liées à la mise à niveau de tout ce qui ne peut pas être correctement intégré ;
  • Trouver le temps nécessaire au personnel pour redévelopper les compétences de base et exploiter tout le potentiel du SD-LAN.

Et, comme dans le cas d’une stratégie plus générale de confiance zéro, lorsque l’on cherche à mettre en œuvre le SD-LAN dans le réseau des bureaux, le principal défi pour la plupart des entreprises est de comprendre quelles politiques elles doivent mettre en œuvre – le fameux qui doit parler à qui.

Pour approfondir sur LAN, Wifi

Close