Résumé des solutions

Les trois types de sécurité

nécessaires à tout SD-WAN

Introduction Les défis de sécurité découlant du SD-WAN

Les entreprises devenant de plus en plus distribuées,
les moyens traditionnels de connecter les succursales et
les travailleurs distants aux ressources dont ils ont besoin
ne parviennent pas à suivre le rythme de la migration
des applications et des données vers le cloud. Les réseaux
en étoile construits sur des connexions MPLS internes et des
VPN externes ne peuvent pas fournir de manière rentable
les performances nécessaires aux applications modernes
et hautement interactives du cloud, comme Microsoft
Office 365 et la vidéoconférence. Alors que l'utilisation des
lignes MPLS se poursuivra probablement pour les applications
commerciales spécialisées, de nombreuses organisations
migrent vers des architectures à accès direct à Internet.
À l'origine, la sécurité des entreprises était effectuée sous
la forme d'une pile d'appareils situés dans un bureau central –
souvent des appareils comme des firewalls, des passerelles
web et des courtiers en sécurité d'accès au cloud. Ces
appareils défendaient le siège social, ainsi que les succursales
et les utilisateurs distants qui se connectaient par son
intermédiaire au monde extérieur.
SaaS
(Office 365, etc.)
Web Cloud public
(AWS, Azure)

En combinant les liaisons haut débit avec les technologies

de réseaux étendus à définition logicielle (SD-WAN), les
entreprises et les agences gouvernementales offrent de
nouveaux niveaux de connectivité à leur personnel, afin
d'accélérer les initiatives de transformation numérique
et d'entreprise telles que :  Firewall/IPS
Passerelle Web
CASB
→ Adoption du cloud (applications SaaS tierces
et applications internes sur les plateformes cloud)
→ Capacité pour les applications utilisant fortement la vidéo
Filiale Travailleur
→ Consolidation des infrastructures lors des fusions distant
et acquisitions
→ Agilité et réduction des coûts pour ouvrir des succursales MPLS VPN
plus rapidement et plus efficacement QG/Data Center

Si le SD-WAN rend possibles de nouvelles formes

de collaboration et d'efficacité commerciale, il augmente
Avec la migration des applications et des données vers le
considérablement le nombre de points d'entrée que les
cloud, les organisations distribuées ont commencé à s'éloigner
voleurs et les hackers peuvent exploiter – élargissant ainsi
des technologies de mise en réseau redirigées comme les
la surface d'attaque de l'entreprise. De plus, les défenses
MPLS pour se tourner vers l'Internet haut débit et le SD-WAN
informatiques que les organisations avaient déployées pour
pour connecter les bureaux distants. Les utilisateurs distants
protéger leurs sièges sociaux et les sites distants au trafic
ont rapidement emboîté le pas, en utilisant directement les
redirigé ne sont pas forcément adaptées dans un monde
applications cloud sans se connecter au réseau interne via
distribué et essentiellement basé dans le cloud. En bref,
les VPN. Cela améliore considérablement les performances,
déployer un SD-WAN exige une nouvelle approche de
mais cela implique en échange de ne plus être protégé par
la sécurité.
les défenses traditionnelles des passerelles.

forcepoint.com
Les trois types de sécurité nécessaires à tout SD-WAN
SaaS
(Office 365, etc.)
Web Cloud public
(AWS, Azure)
SD-WAN
Firewall/IPS
Passerelle Web
CASB
Travailleur
Filiale
distant
QG/Data Center
Les SD-WAN renforcent la confidentialité,
pas la sécurité
La plupart des solutions SD-WAN cryptent le trafic envoyé
entre les sites distants et le cloud. Cela permet de protéger
la confidentialité en empêchant l'espionnage du trafic sur le
réseau, mais ne protège pas contre les agressions. Pour utiliser
un SD-WAN en toute sécurité, les entreprises doivent :  endroits et partout ailleurs, dans le cloud.
→ Empêcher les intrus d'accéder aux réseaux distribués
→ Empêcher les logiciels malveillants de s'infiltrer via
des pages web ou du contenu téléchargé
→ Contrôler quelles applications cloud peuvent être utilisées
Ces trois types de défense – sécurité du réseau, sécurité
du web et sécurité de l'accès au cloud – sont essentiels
à un SD‑WAN.
Sécurité réseau
Les firewalls constituent généralement la première ligne
de défense pour toute organisation distribuée. À l'origine,
ils se contentaient de contrôler l'accès en fonction de la
provenance et de la destination du trafic, mais les firewalls
nouvelle génération (NGFW) intègrent une prévention
avancée des intrusions et des défenses contre les logiciels
malveillants, qui fonctionnent sur tous les ports et tous les
protocoles. De nombreuses solutions SD-WAN dépendent
du déploiement d'un firewall distinct sur chaque site. Les
approches Secure SD-WAN plus récentes, dont Forcepoint
forcepoint.com/contact
forcepoint.com
a été le pionnier, combinent le réseau SD-WAN avec une
sécurité NGFW complète dans un seul boîtier, ce qui
élimine la nécessité d'acheter, de déployer et de gérer deux
couches technologiques distinctes. De nouvelles solutions
de sécurité, telles que Forcepoint Dynamic Edge Protection
(DEP), poussent cette consolidation encore plus loin, en
remplaçant les appareils sur site par des firewalls en tant que
service cloud.
Web Security
Les deux choses les plus courantes que les gens font
lorsqu'ils sont connectés à Internet sont de naviguer le
web et d'utiliser des applications cloud. Les passerelles
web sécurisées (SWG) ont été créées à l'origine pour que
les entreprises empêchent leur personnel d'accéder à des
sites web inappropriés depuis leur travail, et pour prouver
aux auditeurs que les politiques d'utilisation acceptable
étaient appliquées. Au fil du temps, lorsque les gens ont
commencé à utiliser le contenu des sites web, les passerelles
ont commencé à analyser les fichiers téléchargés pour
détecter et bloquer les logiciels malveillants. Aujourd'hui,
de nombreuses passerelles web jouent également un rôle
dans la prévention des pertes de données, en examinant
les fichiers qui vont dans l'autre direction – pour empêcher
l'envoi accidentel ou intentionnel de données sensibles.
Si les passerelles web ont commencé leur existence en tant
qu'appareils, elles sont rapidement passées dans le cloud et
sont souvent utilisées dans des environnements informatiques
hybrides, où l'application des règles se fait sur place à certains
Sécurité de l'accès au cloud
Les sites web qui permettaient aux gens de stocker et de
manipuler des données ont rapidement évolué pour devenir
de véritables applications cloud. Mais avec la dispersion des
données sur Internet, contrôler les applications pouvant être
utilisées est devenu un point de sécurité essentiel pour les
entreprises modernes. Les CASB (Cloud Access Security
Brokers) ont commencé en tant qu'outils de surveillance des
applications cloud utilisées par le personnel – souvent à l'insu
de l'entreprise. Connue sous le nom de Shadow IT, l'utilisation
d'applications cloud non sanctionnées est devenue une
épée à double tranchant : elle accélère la productivité des
individus, tout en mettant potentiellement en danger les
données sensibles. Les nouvelles générations de CASB
offrent désormais la possibilité d'appliquer des politiques de
protection des données, en prenant automatiquement des
mesures telles que le cryptage ou la mise en quarantaine des
données sensibles dans les applications sanctionnées comme
Microsoft Office 365. Bien que le CASB soit parfois déployé
sous forme d'appareil, il s'agit le plus souvent d'un service issu
du cloud.
2
Les trois types de sécurité nécessaires à tout SD-WAN
SaaS
(Office 365, etc.)
Web
Protection
dynamique des
périmètres
SD-WAN
Filiale
WiFi
QG/Data Center
La prochaine étape : unifier la sécurité des réseaux,
du web et des accès au cloud avec SASE
Même lorsque la sécurité des réseaux, du web et de l'accès
au cloud est fournie sous forme de service, la plupart des
entreprises cherchent à réduire le nombre de systèmes et
de prestataires avec lesquels elles doivent traiter. Le fait
d'avoir des produits disparates pour les sites et les travailleurs
éloignés crée des ouvertures pour les assaillants, coûte trop
cher et met à rude épreuve des ressources informatiques
limitées. En conséquence, les défenses qui étaient auparavant
fournies par un mélange hétéroclite de produits individuels
se rassemblent sous la forme d’une nouvelle approche
que Gartner appelle Secure Access Service Edge (SASE).
Les solutions SASE, telles que Forcepoint Dynamic Edge
Protection (DEP), offrent un moyen tout-en-un de fournir
une sécurité à jour en permanence pour le web, le réseau
et pour les applications en tant que service cloud.
forcepoint.com/contact
© 2020 Forcepoint. Forcepoint et le logo FORCEPOINT sont des marques déposées par Forcepoint.
Toutes les autres marques citées dans ce document appartiennent à leurs propriétaires respectifs.
[Three-Types-of-Security-for-SD-WAN-Solution-Brief-FR-FR] 20Apr2020
forcepoint.com
Cloud public
(AWS, Azure)
Travailleur
distant
Le DEP regroupe des fonctions de sécurité avancées telles
que le firewall, la prévention des intrusions, l'inspection du
contenu web, l'analyse des logiciels malveillants, le filtrage des
URL, l'accès aux applications, etc. en un seul service cloud
unifié. Cette approche convergente élimine les lacunes et les
redondances afin d'empêcher les assaillants de s'introduire
dans les entreprises à partir d'Internet, depuis de contenus
web ou d'applications cloud - de manière cohérente, quel
que soit l'endroit où les personnes travaillent.
Les solutions SASE comme Forcepoint DEP fournissent
une protection complète de l'accès au web, au réseau
et au cloud de manière cohérente dans toutes les filiales,
quel que soit le produit SD-WAN qu'elles utilisent. Grâce
à cette approche, les anciens réseaux MPLS peu performants
peuvent être remplacés par des connexions haut débit
rapides et peu coûteuses, de manière sûre, efficace et sans
mettre l'entreprise en danger.
3