Sécurité du SD-WAN

Selon les statistiques d’AV-TEST, The Independent IT-Security Institute, le mois d’août 2019 a vu une augmentation significative de la détection de nouveaux logiciels malveillants. En un mois, 14,44 millions de nouveaux logiciels malveillants ont été enregistrés par l’institut, ce qui porte leur nombre total à plus 938 millions. L’ampleur même de ces chiffres offre une perspective éclairante et aide à quantifier les menaces qui pèsent sur les réseaux d’entreprise.

Comme le WAN est le point d’entrée et de sortie des réseaux d’entreprise, sa sécurisation est essentielle pour atténuer les risques et améliorer la posture de sécurité. Cependant, les services cloud et les utilisateurs mobiles rendent les réseaux beaucoup plus dynamiques et difficiles à sécuriser qu’il y a dix ans.

Ces changements fondamentaux dans notre manière d’opérer exigent une nouvelle approche de la sécurité du WAN. Le SD-WAN et le MPLS (Multiprotocol Label Switching) basés sur des appliances ne sont tout simplement pas conçus pour répondre à ces cas d’utilisation. Heureusement, le SD-WAN basé sur le cloud offre aux entreprises une solution WAN holistique capable de relever les défis de la sécurité moderne à grande échelle avec des logiciels cloud natifs et la sécurité en tant que service.

Mais qu’est-ce qui rend différent le modèle de sécurité SD-WAN basé sur le cloud et de sécurité en tant que modèle de service ? Découvrons-le.

La sécurité du WAN et les défis auxquels l'entreprise est confrontée

Un bon point de départ pour expliquer pourquoi le SD-WAN cloud natif est si convaincant du point de vue de la sécurité se résume aux lacunes de deux anciennes solutions WAN : le MPLS et le SD-WAN basé sur appliance.

Le MPLS a été conçu pour fournir des connexions dédiées, fiables et performantes entre deux points de terminaison avant que le cloud et la mobilité ne se répandent de manière globale. Cependant, il n’y a pas de cryptage sur les circuits MPLS, et les fonctionnalités de sécurité telles que l’inspection du trafic, l’IPS (Intrusion Prevention System) et les logiciels anti-malware doivent être étagées séparément. Le SD-WAN basé sur appliance offre en général le cryptage, qui résout l’un des problèmes associés au MPLS, mais c’est toujours la même histoire après cela. Les appliances SD-WAN ne sont pas des appliances de sécurité. Par exemple, pour obtenir la fonctionnalité de pare-feu nouvelle génération (NGFW), vous devez ajouter une appliance discrète à la périphérie du réseau.

Pour le MPLS et le SD-WAN basés sur appliance, l’approche « ajout d’appliances pour ajouter de la sécurité » présente un certain nombre de lacunes, notamment :

  • Difficile à faire évoluer. Plus vous ajoutez d’appliances et plus le réseau devient complexe. Non seulement chaque appliance supplémentaire implique d’investir plus de temps, mais elle introduit plus de potentiel d’omissions qui entraînent des failles coûteuses. Une seule appliance mal configurée peut créer un risque de sécurité majeur et la configuration manuelle favorise les omissions et les erreurs.
  • Cher. Chaque appliance distincte doit être acquise, autorisée, mise en place et entretenue, et les coûts s’accumulent rapidement.
  • Limité en termes de cloud et de mobilité. Les architectures basées sur appliance des appareils sont structurellement centrées sur les sites. Il n’existe aucun moyen simple d’ajouter la prise en charge de la plupart des appliances dans le cloud, du point de vue de la sécurité comme de la connectivité.

Pourquoi la sécurité du SD-WAN avec les logiciels cloud natifs et la sécurité en tant que service changent la donne

L’infrastructure réseau cloud native prenant en charge le Cato SASE Cloud fait passer la sécurité SD-WAN au niveau supérieur en intégrant des fonctionnalités de sécurité à la structure de WAN sous-jacente. Conçue dès le départ avec les réseaux d’entreprise modernes à l’esprit, l’infrastructure cloud native de Cato rend inutile la plupart des intégrations matérielles propriétaires en incorporant des fonctionnalités de sécurité, réduit la complexité en fournissant une interface de gestion unique, et réduit l’expertise technique et l’investissement en temps requis pour la gestion du WAN.

De plus, des inspections du trafic TLS ont lieu aux points de présence (PoP) sur la dorsale privée mondiale de Cato, ce qui contribue à sécuriser efficacement le trafic vers et depuis le cloud. En outre, avec le périmètre défini par logiciel de Cato, la prise en charge des utilisateurs mobiles devient simple et évolutive.

En bref, en déplaçant les fonctions de sécurité vers le cloud, Cato offre un modèle de sécurité en tant que service qui apporte l’évolutivité, des économies d’échelle et l’agilité du cloud à la sécurité SD-WAN.

Fonctionnalités de sécurité SD-WAN basées sur le cloud de niveau entreprise

Maintenant que nous comprenons les avantages architecturaux de la sécurité SD-WAN basée sur le cloud, explorons certaines des fonctionnalités spécifiques qui différencient le Cato SASE Cloud.

  • NGFW. Le pare-feu de nouvelle géneration de Cato inspecte le trafic WAN et Internet et permet la mise en œuvre de politiques de sécurité granulaires basées sur les entités, le temps et le type de trafic du réseau. Le moteur d’inspection approfondie des paquets du NGFW classe les applications ou les services liés à un flux de trafic donné sans décrypter les charges utiles. Cela aide le NGFW à atteindre la pleine sensibilisation aux applications et à contextualiser le trafic pour une application plus granulaire des politiques.
  • Passerelle Web sécurisée (SWG). Les logiciels malveillants, l’hameçonnage et les attaques similaires provenant d’Internet constituent une menace réelle pour les WAN d’entreprise. La SWG se focalise sur le contrôle d’accès Web pour empêcher les téléchargements de logiciels suspects ou malveillants. Il existe des politiques prédéfinies pour un certain nombre de catégories de sites Web et les entreprises peuvent entrer leurs propres règles personnalisées pour optimiser plus encore la sécurité Web au sein du WAN.
  • Anti-malware. Pour offrir des fonctionnalités anti-malware de niveau entreprise, le Cato SASE Cloud adopte une approche à deux volets. Tout d’abord, un moteur basé sur la signature et heuristique qui est mis à jour avec les dernières informations provenant des bases de données de menaces globales analyse le trafic pour détecter les logiciels malveillants. Deuxièmement, Cato a noué un partenariat avec SentinalOne, le leader de la sécurité des informations, pour intégrer l’intelligence artificielle et l’apprentissage automatique afin d’identifier les logiciels malveillants inconnus qui peuvent échapper aux contrôles basés sur la signature.
  • IPS. Le système de prévention des intrusions de Cato offre une sécurité SD-WAN contextuelle. Les clients bénéficient de l’échelle du réseau Cato sous la forme d’un IPS plus robuste. Cato Research Labs utilise le Big Data pour optimiser les performances de l’IPS et réduire les faux positifs et les faux négatifs.
  • Service managé de détection et traitement des menaces (MDR). Avec le MDR, les entreprises peuvent confier la détection des points de terminaison compromis au centre des opérations de sécurité (SOC) de Cato. Avec le MDR, les entreprises réduisent non seulement la charge de soutien qui pèse sur les équipes internes, mais elles minimisent l’un des principaux facteurs de dommages créés par les logiciels malveillants : le temps d’arrêt. Avec le MDR, le SOC de Cato s’efforce d’identifier et de contenir rapidement les menaces, ainsi que de fournir des conseils sur les mesures correctives. L’équipe du SOC publie également des rapports mensuels qui aident à quantifier les incidents de sécurité du réseau.

Cato offre une sécurité SD-WAN moderne et évolutive

Comme nous l’avons vu, les complexités et les coûts liés à l’acquisition, la mise en place, la correction et la maintenance d’une flotte d’appliance sont éliminés grâce à la sécurité en tant que service. Le SD-WAN basé sur le cloud offre un certain nombre d’avantages inhérents que les appliances SD-WAN et MPLS ne peuvent tout simplement pas offrir. En effet, les logiciels cloud natifs et le modèle de sécurité en tant que service permettent à Cato d’adopter une approche convergente de la connectivité et de la sécurité. En conséquence, les utilisateurs bénéficient d’une vision sur les informations de sécurité, des opérations et de l’entreprise.

Jeroen Keet, architecte réseau et système chez Kyocera Senco et client de Cato confirme ce fait : « Les entreprises qui adoptent le cloud devraient examiner Cato de plus près. La connectivité, la sécurité et l’intelligence intégrés constituent un pas en avant évolutif pour toutes les entreprises. Si vous souhaitez utiliser toutes les fonctionnalités que Cato Networks a à offrir, il vous apportera des avantages significatifs en matière de gestion financière, fonctionnelle et informatique. »

Si vous souhaitez en savoir plus sur la façon dont Cato révolutionne la sécurité du SD-WAN ou si vous avez besoin d’aide pour choisir une solution de connectivité WAN qui répond à vos besoins, contactez-nous. Si vous n’êtes toujours pas convaincu et souhaitez voir Cato SASE Cloud en action, vous pouvez programmer une démonstration pour le voir fonctionner en direct.

FAQ sur le SD-WAN

  • Qu’est-ce qu’un SD-WAN ?

    Les périphériques SD-WAN (Software-defined Wide Area Network) reposent dans des emplacements de l’entreprise et forment une couche cryptée entre eux sur tout service de transport sous-jacent, y compris les services MPLS, LTE et Internet haut débit.

  • Quels sont les avantages du SD-WAN ?

    Réduction des coûts de la bande passante : La bande passante MPLS est coûteuse. Sur la base du « coût par bit », le MPLS est nettement plus cher que la bande passante de l’Internet public. Le surcoût dépend d’un certain nombre de variables, dont l’emplacement n’est pas le moindre. Cependant, les coûts du MPLS ne résultent pas seulement des frais de bande passante considérablement plus élevés. La fourniture d’une liaison MPLS prend souvent des semaines ou des mois, quand un déploiement SD-WAN comparable peut souvent être effectué en quelques jours. Dans les affaires, le temps c’est de l’argent, et la suppression du goulot d’étranglement qu’est le WAN peut être un énorme avantage concurrentiel.
    Un réseau de cconfiance sur un Internet non fiable : la possibilité de connecter des emplacements à plusieurs services de données s’exécutant dans des configurations active/active. Grâce à un basculement en moins d’un seconde, les sessions peuvent, en cas d’interruption, emprunter de nouveaux transports sans perturber l’application.
    Communications sécurisées : la connectivité cryptée sécurise le trafic en transit sur tout transport.
    Bande passante à la demande : la possibilité d’augmenter ou réduire instantanément la bande passante, afin que vous puissiez vous assurer que les applications critiques reçoivent la bande passante dont elles ont besoin lorsqu’elles en ont besoin.
    Activation immédiate de sites : configurez un nouveau bureau en quelques minutes au lieu de plusieurs semaines ou mois avec le MPLS. Les nœuds SD-WAN s’autoconfigurent et peuvent utiliser la 4G/LTE pour un déploiement instantané.

  • Quelles sont les principales tendances qui motivent l’adoption du SD-WAN ?

    Les entreprises ont construit leurs réseaux en utilisant des services de télécommunications traditionnels, tels qu’un service MPLS managé. Ces services sont coûteux, il faut des semaines ou des mois pour les activer, et il faut attendre chaque fois que le fournisseur de services effectue la moindre modification.
    Le SD-WAN offre une échappatoire à cela, en apportant agilité et rentabilité à la connectivité réseau informatique. Le SD-WAN relie des emplacements avec plusieurs connexions Internet, en les agrégeant avec une couche cryptée. Les politiques, le routage orienté applications et l’évaluation dynamique des liens dans la couche permettent une utilisation optimale des connexions Internet sous-jacentes.
    Enfin, le SD-WAN offre les bonnes caractéristiques de performances et de disponibilité en tirant parti de l’Internet public peu coûteux avec la sécurité et la disponibilité nécessaires à l’entreprise.

  • Quelles sont les limitations du SD-WAN ?

    Absence de dorsale mondiale : les appliances SD-WAN reposent sur l’infrastructure réseau sous-jacente. Cela signifie qu’elles ne peuvent à elles seules répondre au besoin d’une dorsale réseau performante et fiable.
    Absence de fonctionnalités de sécurité avancées : les appliances SD-WAN aident à répondre à de nombreux cas d’utilisation des réseaux modernes, mais pas aux exigences de sécurité. En conséquence, les entreprises doivent souvent gérer tout un patchwork d’appliances de sécurité et de réseau issues de différents fournisseurs (comme les CASB) pour répondre à leurs besoins. Cela entraîne une augmentation des coûts et de la complexité du réseau, car chaque appliance doit être acquise, mise en place et gérée par l’informatique interne ou par un MSP.
    Pas de prise en charge du personnel mobile. Les appliances SD-WAN sont conçues pour la connectivité site à site. Elles n’assurent pas la connexion sécurisée des utilisateurs mobiles