Sécurité du SD-WAN

La sécurité du WAN et les défis auxquels l’entreprise est confrontée

Un bon point de départ pour expliquer pourquoi le SD-WAN cloud natif est si convaincant du point de vue de la sécurité se résume aux lacunes de deux anciennes solutions WAN : le MPLS et le SD-WAN basé sur appliance.

Le MPLS a été conçu pour fournir des connexions dédiées, fiables et performantes entre deux points de terminaison avant que le cloud et la mobilité ne se répandent de manière globale. Cependant, il n’y a pas de cryptage sur les circuits MPLS, et les fonctionnalités de sécurité telles que l’inspection du trafic, l’IPS (Intrusion Prevention System) et les logiciels anti-malware doivent être étagées séparément. Le SD-WAN basé sur appliance offre en général le cryptage, qui résout l’un des problèmes associés au MPLS, mais c’est toujours la même histoire après cela. Les appliances SD-WAN ne sont pas des appliances de sécurité. Par exemple, pour obtenir la fonctionnalité de pare-feu nouvelle génération (NGFW), vous devez ajouter une appliance discrète à la périphérie du réseau.

Pour le MPLS et le SD-WAN basés sur appliance, l’approche « ajout d’appliances pour ajouter de la sécurité » présente un certain nombre de lacunes, notamment :

• Difficile à faire évoluer. Plus vous ajoutez d’appliances et plus le réseau devient complexe. Non seulement chaque appliance supplémentaire implique d’investir plus de temps, mais elle introduit plus de potentiel d’omissions qui entraînent des failles coûteuses. Une seule appliance mal configurée peut créer un risque de sécurité majeur et la configuration manuelle favorise les omissions et les erreurs.
• Cher. Chaque appliance distincte doit être acquise, autorisée, mise en place et entretenue, et les coûts s’accumulent rapidement.
• Limité en termes de cloud et de mobilité. Les architectures basées sur appliance des appareils sont structurellement centrées sur les sites. Il n’existe aucun moyen simple d’ajouter la prise en charge de la plupart des appliances dans le cloud, du point de vue de la sécurité comme de la connectivité.

Pourquoi la sécurité du SD-WAN avec les logiciels cloud natifs et la sécurité en tant que service changent la donne

L’infrastructure réseau cloud native prenant en charge le Cato SASE Cloud fait passer la sécurité SD-WAN au niveau supérieur en intégrant des fonctionnalités de sécurité à la structure de WAN sous-jacente. Conçue dès le départ avec les réseaux d’entreprise modernes à l’esprit, l’infrastructure cloud native de Cato rend inutile la plupart des intégrations matérielles propriétaires en incorporant des fonctionnalités de sécurité, réduit la complexité en fournissant une interface de gestion unique, et réduit l’expertise technique et l’investissement en temps requis pour la gestion du WAN.

De plus, des inspections du trafic TLS ont lieu aux points de présence (PoP) sur la dorsale privée mondiale de Cato, ce qui contribue à sécuriser efficacement le trafic vers et depuis le cloud. En outre, avec le périmètre défini par logiciel de Cato, la prise en charge des utilisateurs mobiles devient simple et évolutive.

En bref, en déplaçant les fonctions de sécurité vers le cloud, Cato offre un modèle de sécurité en tant que service qui apporte l’évolutivité, des économies d’échelle et l’agilité du cloud à la sécurité SD-WAN.

Fonctionnalités de sécurité SD-WAN basées sur le cloud de niveau entreprise

Maintenant que nous comprenons les avantages architecturaux de la sécurité SD-WAN basée sur le cloud, explorons certaines des fonctionnalités spécifiques qui différencient le Cato SASE Cloud.

• NGFW. Le pare-feu de nouvelle géneration de Cato inspecte le trafic WAN et Internet et permet la mise en œuvre de politiques de sécurité granulaires basées sur les entités, le temps et le type de trafic du réseau. Le moteur d’inspection approfondie des paquets du NGFW classe les applications ou les services liés à un flux de trafic donné sans décrypter les charges utiles. Cela aide le NGFW à atteindre la pleine sensibilisation aux applications et à contextualiser le trafic pour une application plus granulaire des politiques.
• Passerelle Web sécurisée (SWG). Les logiciels malveillants, l’hameçonnage et les attaques similaires provenant d’Internet constituent une menace réelle pour les WAN d’entreprise. La SWG se focalise sur le contrôle d’accès Web pour empêcher les téléchargements de logiciels suspects ou malveillants. Il existe des politiques prédéfinies pour un certain nombre de catégories de sites Web et les entreprises peuvent entrer leurs propres règles personnalisées pour optimiser plus encore la sécurité Web au sein du WAN.
• Anti-malware. Pour offrir des fonctionnalités anti-malware de niveau entreprise, le Cato SASE Cloud adopte une approche à deux volets. Tout d’abord, un moteur basé sur la signature et heuristique qui est mis à jour avec les dernières informations provenant des bases de données de menaces globales analyse le trafic pour détecter les logiciels malveillants. Deuxièmement, Cato a noué un partenariat avec SentinalOne, le leader de la sécurité des informations, pour intégrer l’intelligence artificielle et l’apprentissage automatique afin d’identifier les logiciels malveillants inconnus qui peuvent échapper aux contrôles basés sur la signature.
• IPS. Le système de prévention des intrusions de Cato offre une sécurité SD-WAN contextuelle. Les clients bénéficient de l’échelle du réseau Cato sous la forme d’un IPS plus robuste. Cato Research Labs utilise le Big Data pour optimiser les performances de l’IPS et réduire les faux positifs et les faux négatifs.
• Service managé de détection et traitement des menaces (MDR). Avec le MDR, les entreprises peuvent confier la détection des points de terminaison compromis au centre des opérations de sécurité (SOC) de Cato. Avec le MDR, les entreprises réduisent non seulement la charge de soutien qui pèse sur les équipes internes, mais elles minimisent l’un des principaux facteurs de dommages créés par les logiciels malveillants : le temps d’arrêt. Avec le MDR, le SOC de Cato s’efforce d’identifier et de contenir rapidement les menaces, ainsi que de fournir des conseils sur les mesures correctives. L’équipe du SOC publie également des rapports mensuels qui aident à quantifier les incidents de sécurité du réseau.

Cato offre une sécurité SD-WAN moderne et évolutive

Comme nous l’avons vu, les complexités et les coûts liés à l’acquisition, la mise en place, la correction et la maintenance d’une flotte d’appliance sont éliminés grâce à la sécurité en tant que service. Le SD-WAN basé sur le cloud offre un certain nombre d’avantages inhérents que les appliances SD-WAN et MPLS ne peuvent tout simplement pas offrir. En effet, les logiciels cloud natifs et le modèle de sécurité en tant que service permettent à Cato d’adopter une approche convergente de la connectivité et de la sécurité. En conséquence, les utilisateurs bénéficient d’une vision sur les informations de sécurité, des opérations et de l’entreprise.

Jeroen Keet, architecte réseau et système chez Kyocera Senco et client de Cato confirme ce fait : « Les entreprises qui adoptent le cloud devraient examiner Cato de plus près. La connectivité, la sécurité et l’intelligence intégrés constituent un pas en avant évolutif pour toutes les entreprises. Si vous souhaitez utiliser toutes les fonctionnalités que Cato Networks a à offrir, il vous apportera des avantages significatifs en matière de gestion financière, fonctionnelle et informatique. »

Si vous souhaitez en savoir plus sur la façon dont Cato révolutionne la sécurité du SD-WAN ou si vous avez besoin d’aide pour choisir une solution de connectivité WAN qui répond à vos besoins, contactez-nous. Si vous n’êtes toujours pas convaincu et souhaitez voir Cato SASE Cloud en action, vous pouvez programmer une démonstration pour le voir fonctionner en direct.