SD-WAN: Lorsque internet

devient le nouveau réseau

L’évolution des réseaux d’entreprise pour la génération cloud

LIVRE BLANC NETWORK AND APP SECURITY

Introduction
La plupart des réseaux étendus (Wide Area Networks ou WAN)
fonctionnent toujours avec la même architecture élémentaire
qui était considérée à la pointe de la technologie il y a plus
d’une décennie. Le trafic est toujours retransmis vers un hub
central via des lignes MPLS coûteuses pour l’application de la
politique de sécurité. Cependant, alors que la transformation
numérique entraîne une adoption croissante des applications
et des données hébergées dans le cloud et augmente la
dépendance à leur égard, cette architecture traditionnelle
devient de plus en plus lourde.
Elle crée une latence, rend les mises à niveau de bande
passante très coûteuses, nécessite des semaines
d’organisation pour la connexion de nouveaux emplacements,
et ralentit les applications cloud essentielles tout en les rendant
moins fiables.
Toute utilisation d’applications ou de services cloud –
notamment Microsoft Office 365, l’un des exemples au
développement le plus rapide – se heurte aux limites d’une
architecture WAN pré-cloud.
Transformation numérique et demande de
connectivité au cloud, un point d’inflexion
stratégique
Comme le prouvent les points soulevés ci-avant, nous avons
aujourd’hui atteint un « point d’inflexion stratégique », un terme
mis en avant dans l’ouvrage précurseur d’Andy S.Grove, « Seuls
les paranoïaques survivent ». Les entreprises doivent ainsi
accepter et mettre en œuvre « des changements à grande
échelle dans leur manière d’opérer ».
Il est en effet inévitable que les fonctions opérationnelles
soient déplacées vers le cloud. Avec pour conséquence des
répercussions sur les fournisseurs de services câblés et la
délocalisation de l’activité des clients depuis les centres de
données sur site traditionnels. Le réseau d’entreprise doit donc
s’adapter à cette évolution, afin de bénéficier des réseaux
cloud ou même de passer à des offres SaaS, telles que
Salesforce.

Les données auparavant stockées au cœur du réseau des

entreprises sont désormais accessibles uniquement via le
cloud. Ainsi, la totalité de l’infrastructure de retransmission, y
compris les lignes MPLS louées en soutien, devient un coûteux
vestige d’une autre époque.

Cela introduit inutilement une latence susceptible de

sérieusement dégrader les performances des applications cloud.
Sans compter qu’investir des sommes colossales pour adapter
un réseau MPLS est totalement vain, du fait de la latence induite
intrinsèquement par l’architecture de retransmission.

Barracuda Networks • LIVRE BLANC • SD-WAN: Lorsque internet devient le nouveau réseau NETWORK AND APP SECURITY
Adoption du cloud grâce à la technologie SD-WAN
Une nouvelle gamme de produits exploitant la technologie SD-
WAN est apparue au cours des dernières années, dans le but
d’optimiser les performances des réseaux et l’adoption du cloud.
La généralisation du terme SD-WAN date du rapport de Gartner
intitulé « Technology Overview for SD-WAN » (« Vue d’ensemble
de la technologie SD-WAN »), paru en 2015.
Pour contribuer à remplacer le réseau étendu (WAN)
traditionnel fondé sur la technologie MPLS et à améliorer le flux
de trafic, les analystes du secteur indiquent que les produits
SD-WAN doivent au minimum réunir les conditions suivantes :
être capables de remplacer les routeurs WAN
traditionnels et de fournir plusieurs méthodes
de connectivité.
assurer la répartition de charge sur plusieurs
connexions WAN ; évaluer la qualité des
connexions WAN et sélectionner la mieux
adaptée au type d’application.
simplifier grandement la gestion, la
configuration et l’orchestration (déploiement)
des réseaux SD-WAN, avec une « gestion
centrale à la source ».
hautes performances requièrent un point d’accès Internet
direct vers le cloud dans chaque succursale. Cela implique
également que chaque succursale soit aussi sécurisée que le
précédent firewall du siège social, sans quoi tout le processus
est vain.
Dépourvus de la sécurité d’un firewall complet, les premiers
produits SD-WAN ont résolu le problème de plusieurs
manières. Par exemple, en chaînant les services avec les
solutions de sécurité de nouvelle génération existantes, en
externalisant l’application de la sécurité vers le cloud ou même
en fournissant une sécurité élémentaire par firewall et IPS en
interne. Ces approches n’étaient cependant « pas suffisamment
sécurisées » ou étaient contraires à l’exigence essentielle
d’une « gestion centralisée à la source ».
Pour relever ces défis, un nouveau genre de produits SD-WAN
est apparu en 2017 et 2018, communément désigné sous le
terme de « SD-WAN sécurisé ».
Ces nouveaux produits offrent tous les avantages d’une
connectivité SD-WAN complète et combinent les niveaux
de sécurité d’un firewall de nouvelle génération, y compris
le contrôle de milliers d’applications couramment utilisées
et Advanced Threat Protection. Ces produits permettent
par ailleurs la gestion centralisée de tous les paramètres de
réseau, de routage et de sécurité, simplifiant encore davantage
la gestion des réseaux WAN.

fournir des connexions VPN sécurisées et des

services de réseaux supplémentaires.

Un marché SD-WAN de 8 milliards USD d’ici 2021

(taux annuel composé : 69,6 %)*
*https://www.idc.com/getdoc.jsp?containerId=prUS42925117

Du SD-WAN au SD-WAN sécurisé

De plus en plus d’entreprises adoptent les réseaux étendus
à définition logicielle (SD-WAN). Offrant une amélioration
spectaculaire des performances des applications, une
réduction significative des coûts de connectivité MPLS et,
jusqu’à présent, une gestion beaucoup plus simple et plus
souple, ils présentent des avantages trop importants pour être
ignorés.

La technologie SD-WAN s’impose de fait comme le nouveau

standard pour les entreprises qui exploitent des charges de
travail hébergées dans le cloud, surtout les services SaaS
comme Office 365 et Salesforce. Pour les cas d’utilisation SaaS
les plus courants et les plus importants, les réseaux SD-WAN

Barracuda Networks • LIVRE BLANC • SD-WAN: Lorsque internet devient le nouveau réseau NETWORK AND APP SECURITY
La question Office 365 (et la réponse) Les problèmes de retransmission par MPLS
avec Office 365
La combinaison d’une sécurité avancée et de la technologie
SD-WAN en une solution unique présente des avantages Latence
majeurs pour les applications cloud comme Office 365. Comme
Problèmes quotidiens signalés 33%
l’indique explicitement Microsoft, un accès rapide et direct au
cloud n’est pas suffisant. Les appareils doivent aussi assurer Problèmes hebdomadaires signalés 70%
une gestion spéciale du protocole Office 365.
Bande passante

Problèmes quotidiens signalés 30%

« Microsoft recommande
Problèmes hebdomadaires signalés 69%
vivement que l’interception
SSL ne soit pas effectuée sur le
trafic d’Office 365. » « L’enquête « Challenges with
Office 365 Deployment » («
« Les analyses antivirus/ Défis liés au déploiement
anti-malware sont également d’Office 365 »), réalisée
exécutées par Office 365, et ne au premier trimestre
sont donc pas nécessaires en 2017, montre un taux
ligne ». élevé d’implémentations
Source: Microsoft
problématiques d’Office 365
avec retransmission MPLS
pour le SD-WAN. »
Les solutions SD-WAN sécurisées doivent pouvoir établir une
distinction fiable entre Office 365 et les autres types de trafic. Source: TechValidate et Zscaler
Elles doivent ensuite désactiver de manière sélective l’antivirus
et l’interception SSL pour ces sessions. Sinon, Office 365
deviendrait inutilisable. Il est évident que l’accès aux applications cloud nécessite
aujourd’hui des solutions SD-WAN sécurisées. Et en particulier
D’autre part, le téléchargement de pièces jointes à partir
des solutions qui combinent les avantages de la technologie
d’une entrée doit toujours être soumis à une analyse antivirus,
SD-WAN à des niveaux de sécurité équivalents à ceux
même si la session utilise une connexion HTTPS apparemment
d’un firewall haut de gamme au siège social. Par ailleurs,
sécurisée. Après tout, qui pourrait être sûr à 100 % qu’une
ces solutions SD-WAN sécurisées doivent non seulement
pièce jointe à un bon de commande envoyé par e-mail ne
sélectionner la liaison Internet montante la plus adaptée pour
contient pas de macrovirus ? Surtout dans la mesure où les
garantir les meilleures performances et la meilleure expérience
clients Salesforce ont signalé l’absence de toute analyse
utilisateur, mais également détecter de manière fiable le type
antivirus sur les pièces jointes téléchargées.
d’application et ajuster les stratégies de sécurité en fonction.

Barracuda Networks • LIVRE BLANC • SD-WAN: Lorsque internet devient le nouveau réseau NETWORK AND APP SECURITY
Navigation entre les plans avec un
SD-WAN sécurisé
Un aspect crucial du SD-WAN sécurisé est qu’il dissocie le plan
de données du plan de contrôle et du plan de gestion.
Cela simplifie la gestion du réseau, permet l’orientation
dynamique des chemins et minimise le besoin de gérer des
passerelles et des routeurs individuels.
Infrastructure 100% géré de manière centralisée
La gestion du SD-WAN à partir d’un tableau de bord unique
permet alors de contrôler le réseau, quel que soit son degré de
dispersion. En cas de faille, vous pouvez limiter le nombre de
surfaces d’attaque potentielles et définir des règles granulaires
pour les utilisateurs et les applications, tout en maintenant
la qualité de service. Cette unification des systèmes réseau
aboutit également à un chiffrement de bout en bout, ce qui
renforce encore la sécurité.
Le lièvre contre la tortue
Bien sûr, la technologie WAN traditionnelle a encore toute
sa place. Il est possible que les priorités de votre entreprise
reposent davantage sur des connexions solides que sur la
rapidité des opérations. Peut-être êtes-vous avant tout attaché
au fait que vos clients puissent simplement accéder au bon
emplacement.
Et puis la technologie MPLS et le SD-WAN sécurisé
cohabiteront au moins dans les prochaines années.
Mais vous pouvez aussi exploiter plusieurs réseaux distribués
complexes, pour lesquels la sécurité doit être équivalente à
celle en place au niveau du siège social. Peut-être voulez-vous
éviter les problèmes de bande passante aux périodes de forte
demande. Il se peut également que votre organisation soit en
concurrence avec de nouveaux acteurs innovants chamboulant
le secteur. En d’autres termes, vous voudriez que votre
Barracuda Networks • LIVRE BLANC • SD-WAN: Lorsque internet devient le nouveau réseau
entreprise survive et s’épanouisse à l’ère moderne. Pour cela, il
est temps de vous tourner vers le SD-WAN sécurisé.
MPLS
VPN Backup
Broadband 1
Broadband 2
WAN traditionnel vs SD-WAN
WAN traditionnel
• Connecte plusieurs réseaux locaux (LAN) à l’aide du MPLS
(Multi-Protocol Label Switching) semi-privé fourni par le
fournisseur des routeurs.
• Réseau VPN de remplacement, avec une ligne secondaire
inutilisée la plupart du temps.
• Non disponible à tous les emplacements.
• Architecture en étoile avec application de la sécurité au point
d’accès central.
• Haute disponibilité des paquets, latence réduite, risques
minimes de perte de signal ou de qualité lors de l’utilisation
de bureaux virtuels ou d’applications VoIP.
• Gestion et configuration plus complexes de la connectivité
et temps de déploiement long pour les nouveaux
emplacements.
• CAPEX moyennes, OPEX très élevées.
SD-WAN
• Accès direct au cloud depuis tous les emplacements WAN.
• Politiques de sécurité gérées de manière centrale et
appliquées à tous les emplacements WAN.
• Combine plusieurs MPLS, Internet haut débit et cellulaire/LTE.
• Mesure automatiquement toutes les liaisons montantes et
sélectionne la meilleure méthode de connectivité en fonction
du type d’application.
• Gestion centralisée du réseau, du routage et de la sécurité
via un tableau de bord unique, sans qu’il ne soit nécessaire
de déployer du personnel.
• Déploiement rapide de nouveaux emplacements WAN.
NETWORK AND APP SECURITY
• CAPEX plus élevées pour le matériel, OPEX basses pour les Avec d’autres fournisseurs, cela signifie acheter, gérer et
lignes Internet. maintenir deux solutions à chaque emplacement : une appliance
SD-WAN pour se connecter au WAN et un firewall réseau pour
• Coût total du WAN bien plus bas.
effectuer des contrôles de sécurité. Les firewalls CloudGen de
Barracuda Networks sont les seuls à assurer connectivité SD-
Questions à poser à tout fournisseur de WAN et sécurité avancée. Le produit peut en outre être déployé
solution SD-WAN physiquement sur site ou en tant qu’appliance virtuelle dans le
cloud.
• Votre solution SD-WAN inclut-elle des niveaux de
sécurité certifiés ICSA Enterprise pour la connexion Les firewalls CloudGen redéfinissent le rôle du firewall, passant
directe à Internet ? d’une solution de sécurité purement périmétrique à une solution
d’optimisation de réseau distribué :
• Votre solution peut-elle protéger le trafic essentiel en
dirigeant de manière dynamique le trafic moins important • s’adapte à un nombre infini d’emplacements et d’applications ;
vers différentes liaisons montantes ?
• régule le trafic ;
• Demandez-vous des frais mensuels ou en fonction de la
• fournit des fonctionnalités SD-WAN pour acheminer le trafic de
bande passante pour les fonctionnalités SD-WAN ?
manière économique sur le réseau étendu tout en améliorant
• L’ensemble des fonctionnalités de routage et de mise en les performances ;
réseau de la sécurité sont-elles disponibles pour toutes les
• minimise considérablement les coûts du WAN en remplaçant les
appliances, cloud et images de machines virtuelles ?
lignes MPLS louées onéreuses par des tunnels VPN intelligents
• Proposez-vous une confidentialité totale lors du déploiement et haut débit peu coûteux, offrant ainsi une compression du
rapide « Zero Touch » ou doit-on dévoiler des informations trafic au travers de plusieurs liaisons montantes.
d’identification ?
Antivirus,
URL et
protection SD-WAN,
Comment Barracuda Networks peut vous aider ? contre le Optimisation
courrier WAN, Link Accès à
Si vous possédez des succursales et des sites distants qui Pare-feu indésirable Balancer distance

doivent exécuter des applications SaaS ou se connecter à

votre réseau, Barracuda peut vous permettre d’améliorer
considérablement les performances de vos applications et
de réduire les coûts de votre WAN. L’approche traditionnelle
consistant à transférer le trafic vers un site principal via des
lignes MPLS louées coûteuses ne permet pas d’obtenir des prix Barracuda
Firewall Control Center

et des performances optimaux à l’ère du cloud.

Les firewalls CloudGen de Barracuda Networks établissent des
connexions Internet directes pour une accessibilité optimisée
au cloud. Le SD-WAN sécurisé maintient un VPN entièrement
maillé via n’importe quel type de liaison montante, y compris via
plusieurs connexions haut débit moins coûteuses.
Sécurité validée
NSS Labs Inc., une société mondialement reconnue comme la
source la plus fiable de conseils en cybersécurité indépendants
et factuels, a testé les fonctionnalités de sécurité et SD-WAN
des firewalls CloudGen de Barracuda Networks.

Les résultats détaillés sont disponibles auprès de

Lorsque le SD-WAN ne suffit pas NSS Labs Inc. :
www.research.nsslabs.com/reports
Les SD-WAN sécurisés sont une alternative de plus en plus
populaire et rentable aux connexions réseau câblées et
aux infrastructures MPLS. Cependant, les firewalls restent
nécessaires pour sécuriser les connexions réseau.

Barracuda Networks • LIVRE BLANC • SD-WAN: Lorsque internet devient le nouveau réseau NETWORK AND APP SECURITY
Résumé
Les firewalls CloudGen de Barracuda Networks associent une
gamme complète de fonctionnalités de sécurité avancées
à des fonctionnalités de prise en charge et d’optimisation
du réseau SD-WAN. Les dispositifs SD-WAN traditionnels
ne gèrent que le routage réseau et obligent à acheter des
firewalls distincts, souvent auprès de différents fournisseurs,
afin d’assurer la sécurité du réseau. Les firewalls CloudGen
sont des dispositifs tout-en-un qui combinent les deux produits
en une seule solution. Vous profitez ainsi d’un firewall réseau
de génération cloud pour assurer la sécurité, ainsi que d’un
dispositif de commande SD-WAN pour une connectivité peu
coûteuse.

Les firewalls CloudGen facilitent la création de passerelles

sécurisées entre plusieurs connexions WAN et opérateurs.
Cela permet de minimiser les coûts administratifs tout en
optimisant les structures de coûts. La répartition de charge
avancée permet également de distribuer les tunnels VPN
chiffrés sur plusieurs connexions WAN simultanément. Les
technologies intégrées de compression, de mise en cache et
d’optimisation WAN augmentent considérablement la bande
passante disponible. Ces fonctionnalités réduisent le besoin de
recourir à la location de lignes coûteuses, consolident plusieurs
fonctions de sécurité en un seul dispositif et créent un cadre de
gestion unifié. Tout cela aboutit à des économies significatives
pour l’organisation.

LIVRE BLANC • FR 1.0 • Copyright 2019 Barracuda Networks, Inc. • barracuda.com

Barracuda Networks et le logo Barracuda Networks sont des marques déposées de Barracuda Networks, Inc. aux États-Unis. Tous les autres noms appartiennent à leurs propriétaires respectifs.