La technologie SD-WAN (Software-defined WAN) applique des concepts de réseaux définis par logiciel (SDN) dans le but de distribuer le trafic réseau à travers un réseau étendu (WAN). Les SD-WAN fonctionnent automatiquement, en utilisant des politiques prédéfinies pour identifier l'itinéraire le plus efficace pour le trafic d'application passant des succursales au siège, au site cloud et à l'Internet. Il est rarement nécessaire de configurer manuellement vos routeurs dans les succursales. Un contrôleur centralisé gère le SD-WAN et envoie des informations sur les politiques à tous les appareils connectés. Les équipes informatiques peuvent programmer les appareils de périphérie de réseau à distance, en utilisant un système de provisionnement à faible ou zéro contact.
La technologie SD-WAN crée généralement une couche virtuelle agnostique en matière de transport. Pour ce faire, on fait abstraction des connexions WAN publiques ou privées sous-jacentes, telles que l'internet à large bande, la fibre optique, la technologie d'évolution à long terme (LTE), le sans-fil ou la commutation multiprotocole par étiquette(MPLS). Un SD-WAN overlay permet aux organisations de continuer à utiliser leurs propres liaisons WAN existantes. La technologie SD-WAN centralise le contrôle du réseau, ce qui permet de réduire les coûts et de gérer le trafic en temps réel sur les liens existants ( application ).
Les cas d'utilisation SD-WAN les plus courants se répartissent dans les catégories suivantes :
Le SD-WAN utilise une architecture réseau abstraite composée de deux parties distinctes :
Une architecture SD-WAN se compose des éléments suivants :
Les implémentations SD-WAN s'appuient sur un large éventail de technologies, notamment
Contrôleur
Un contrôleur centralisé qui gère le déploiement du SD-WAN. Le contrôleur applique les politiques de sécurité et de routage, surveille la superposition virtuelle et les mises à jour logicielles, et fournit des rapports et des alertes.
Réseaux définis par logiciel (SDN)
Permet d'activer les composants clés de l'architecture, notamment la superposition virtuelle, le contrôleur centralisé et l'abstraction des liens.
Réseau étendu (WAN)
Responsable de la connexion d'installations géographiquement séparées ou de plusieurs réseaux locaux, à l'aide de connexions sans fil ou câblées.
Fonctions de réseau virtuelles (VNF)
Fonctions de réseau de première ou de tierce partie, telles que les tâches de mise en cache et le pare-feu. Les VNF sont généralement utilisés pour réduire le nombre d'appareils physiques ou pour accroître la flexibilité et l'interopérabilité.
Largeur de bande des produits de base
La technologie SD-WAN peut exploiter plusieurs connexions de bande passante et affecter le trafic à une liaison spécifique. Cela permet aux utilisateurs d'avoir un meilleur contrôle et de réaliser des économies en déplaçant le trafic des lignes MPLS traditionnelles coûteuses vers des connexions à bande passante à faible coût.
Technologie du dernier kilomètre
La technologie SD-WAN peut améliorer les connexions existantes du dernier kilomètre en utilisant plus d'une liaison de transport ou en utilisant simultanément plusieurs liaisons.
Examinons les principales différences entre les solutions WAN traditionnelles et les solutions SD-WAN.
WAN | SD-WAN |
L'équilibrage des charges et la reprise après sinistre sont disponibles, mais leur déploiement peut s'avérer complexe. | Équilibrage de la charge et reprise après sinistre intégrés avec un déploiement rapide ou sans intervention. |
Les changements de configuration prennent du temps et nécessitent un travail de configuration manuel, ce qui est source d'erreurs. | Changements de configuration en temps réel, automatisés pour éviter les erreurs humaines |
Les appareils périphériques doivent être configurés un par un, ce qui ne permet pas d'appliquer des politiques générales. | Utilisation de superpositions virtuelles : possibilité de répliquer instantanément les politiques sur un grand nombre d'appareils périphériques. |
Limité à une seule option de connectivité - les lignes MPLS traditionnelles | Peut utiliser de manière optimale les multiples options de connectivité (lignes à large bande gérées par MPLS et SDN). |
repose sur les VPN, qui fonctionnent bien avec un réseau IP unique, mais ne peuvent pas coexister avec des charges de travail à haut débit telles que la voix et la vidéo | Possibilité d'orienter le trafic vers différents types de application, en conservant la bande passante pour les application qui en ont le plus besoin. |
Nécessite un réglage manuel | Détecte automatiquement les conditions du réseau et peut optimiser dynamiquement le réseau étendu. |
Le SD-WAN peut utiliser des connexions Internet publiques pour toutes les transmissions intermédiaires, et bien que cela puisse être extrêmement rentable, ce n'est pas conseillé. Il n'y a aucun moyen de savoir par quels liens le trafic passera, ce qui pose des problèmes de sécurité et de performance.
Dans la mesure du possible, en particulier pour les communications sensibles ou critiques, préférez transmettre le trafic SD-WAN sur un réseau privé. Certains fournisseurs SD-WAN vous permettent d'utiliser leur propre réseau mondial sécurisé. Réservez la capacité de l'internet public aux charges de travail non critiques et non sensibles, ou aux scénarios de basculement lorsque le réseau privé est en panne.
Lorsque vous vous lancez dans un projet SD-WAN, informez les parties prenantes du processus de déploiement et expliquez que le SD-WAN vient s'ajouter à l'infrastructure réseau existante. Les dirigeants ne doivent pas considérer le SD-WAN comme un simple remplacement de la technologie réseau traditionnelle.
Expliquez clairement que vous devez conserver la technologie existante et l'intégrer aux nouveaux investissements SD-WAN. Une meilleure compréhension du contexte technique et des méthodes de déploiement vous permettra d'obtenir un meilleur soutien de la part des dirigeants.
Les solutions SD-WAN peuvent offrir une automatisation et un déploiement sans contact, mais vous devez vérifier qu'elles fonctionnent comme prévu. Les tests sont souvent négligés, mais ils constituent un élément essentiel d'un projet SD-WAN. Veillez à effectuer des tests approfondis avant, pendant et après la mise en œuvre. Un projet SD-WAN typique implique des tests sur une période de 3 à 6 mois, axés sur la qualité de service (QoS), l'évolutivité, la disponibilité et le basculement, ainsi que la fiabilité des outils de gestion.
Le modèle SD-WAN fonctionne à l'aide d'un réseau distribué, qui n'inclut généralement pas les contrôles de sécurité et d'accès nécessaires pour protéger les réseaux d'entreprise sur le site cloud.
Pour résoudre ce problème, Gartner a proposé un nouveau modèle de sécurité réseau appelé Secure Access Service Edge (SASE). SASE combine la fonctionnalité WAN avec des fonctions de sécurité telles que :
La combinaison de ces capacités de sécurité, conçues pour un environnement cloud, permet de garantir la sécurité du réseau SD-WAN.
Les solutions SASE offrent aux utilisateurs mobiles et aux succursales une connectivité sécurisée et une sécurité constante. Ils offrent une vue centralisée de l'ensemble du réseau, permettant aux administrateurs et aux équipes de sécurité d'identifier les utilisateurs, les appareils et les postes sur un SD-WAN distribué à l'échelle mondiale, d'appliquer des politiques d'accès et de sécurité, et de fournir des capacités de sécurité cohérentes sur plusieurs sites géographiques et plusieurs fournisseurs cloud.
Avant le SD-WAN, les connexions des bureaux distants étaient renvoyées vers le centre de données de l'entreprise, où elles étaient protégées par la pile de sécurité du réseau de l'entreprise. Avec l'avènement du SD-WAN, les connexions cloud et Internet connectées directement à l'Internet exposent les utilisateurs du WAN à des attaques sophistiquées.
Les solutions pare-feu as a Service et Secure Access Service Edge(SASE) protègent les connexions SD-WAN vers cloud application et l'Internet. Pour en savoir plus sur les solutions SASE de Check Point et sur la façon dont elles peuvent améliorer la sécurité du réseau étendu de votre entreprise, contactez-nous. Vous pouvez également demander une démonstration pour voir la solution SASE de Check Point en action.