1er juin 2022
Par Michael Schneider - Directeur principal, Gestion des produits, Skyhigh Security
"Les fonctionnalités sont agréables à avoir, mais en fin de compte, tout ce qui nous importe lorsqu'il s'agit de la sécurité de notre site web et de notre cloud, c'est l'architecture". - n'a jamais dit aucun client.
Le fait est que personne n'aime parler d'architecture lorsqu'il s'agit d'acheter la technologie de cybersécurité la plus récente et la plus performante, et la plupart des organisations se sont contentées de continuer à intégrer de nouveaux outils et capacités de sécurité dans leurs architectures traditionnelles existantes. Cependant, les projets de transformation numérique, notamment la migration vers le cloud et l'accès mobile omniprésent, ont révélé des fissures architecturales, et de nombreuses entreprises ont vu le barrage se rompre avec l'explosion de la demande d'accès à distance au cours des derniers mois. En conséquence, les organisations se rendent compte que la transformation numérique exige une transformation architecturale correspondante du réseau et de la sécurité.
Le cadre Secure Access Service Edge (SASE) fournit aux organisations un modèle pour réaliser cette transformation en réunissant les technologies de réseau et de sécurité en un seul service fourni par le cloud qui garantit un accès rapide, sécurisé, fiable et rentable aux ressources du web et du cloud. Dans ce blog, nous nous concentrons sur les bureaux distants et la combinaison des capacités SD-WAN et Secure Web Gateway de nouvelle génération que Skyhigh SSE peut permettre pour la transformation numérique.
L'informatique dématérialisée et le dilemme architectural
Dans le passé, les organisations étaient largement concentrées sur un nombre limité de sites. Les applications et les données étaient hébergées sur des serveurs dans un centre de données central sur le réseau local - généralement au siège ou à proximité. Les utilisateurs travaillaient généralement au bureau, de sorte qu'ils se trouvaient également au bureau et accédaient aux ressources de l'entreprise sur le même réseau. Ce réseau était entouré d'un périmètre de contrôles de sécurité capables d'inspecter tout le trafic entrant ou sortant de l'organisation, afin de protéger les ressources fiables tout en empêchant les malfaiteurs d'y pénétrer. Les utilisateurs distants et les succursales étaient logiquement connectés à ce réseau central par le biais de technologies telles que VPN, MPLS et lignes louées, de sorte que le périmètre de sécurité du réseau pouvait être maintenu.
Si cette approche a suffi pendant des années, la transformation numérique a engendré des défis majeurs. Les applications et le stockage des données ont migré vers le nuage et ne résident donc plus sur le réseau de l'entreprise. La logique voudrait que l'approche optimale soit que les utilisateurs et les bureaux distants aient un accès direct aux ressources en nuage sans avoir à repasser par le réseau de l'entreprise. Mais cela aurait pour conséquence de contourner complètement le périmètre de sécurité informatique de l'organisation, ce qui se traduirait par une perte de visibilité et de contrôle de la sécurité, entraînant des risques inacceptables en matière de sécurité et de conformité.
Partout, les architectes réseau et sécurité sont confrontés au même dilemme : quel est le meilleur moyen de permettre la transformation numérique sans faire de compromis majeurs ? Les organisations ont généralement suivi l'une des quatre approches architecturales suivantes, en fonction de leur volonté d'adopter de nouvelles technologies et de les réunir.
Nous allons examiner ces quatre options et les évaluer sur la base de quatre facteurs : la sécurité, la vitesse, la latence et le coût. Les résultats montreront qu'il n'y a qu'une seule façon d'obtenir un accès rapide, sécurisé et rentable aux ressources web et en nuage.
Approche 1 : STATUS QUO
En raison du risque de perdre la visibilité et le contrôle de la sécurité, de nombreuses organisations ont refusé d'autoriser la réarchitecture "direct-to-cloud". Ainsi, même lorsque des liaisons internet à haut débit pourraient connecter les utilisateurs directement aux ressources web et en nuage, cette approche nécessite que l'ensemble du trafic soit toujours acheminé par des liaisons MPLS plus lentes vers le réseau de l'entreprise, puis qu'il reparte par un seul tuyau internet agrégé pour accéder aux ressources web et en nuage. Si cette approche permet théoriquement de maintenir la visibilité et le contrôle de la sécurité, elle a un coût élevé.
Tout d'abord, l'expérience de l'utilisateur est fortement entravée par des performances médiocres. La bande passante souffre de la lenteur de la liaison MPLS vers le siège de l'entreprise, ainsi que de l'encombrement de la connexion internet de l'entreprise. En outre, les sauts de réseau supplémentaires et l'augmentation de la concurrence sur le réseau entraînent une latence élevée - ce phénomène a été considérablement amplifié au cours des derniers mois, car le volume de trafic distant transitant par le réseau de l'entreprise a explosé bien au-delà des prévisions initiales. Ces facteurs ne tiennent même pas compte de l'impact potentiel des interruptions de service provoquées par l'introduction d'un point de défaillance unique dans l'architecture du réseau.
Outre les performances médiocres, cette approche a un coût financier nettement plus élevé. Les lignes MPLS multiples reliant les succursales au centre de données de l'entreprise sont considérablement plus coûteuses que la connectivité internet publique. En outre, pour pouvoir acheminer le trafic de TOUS les utilisateurs, les entreprises doivent augmenter considérablement leurs investissements dans la capacité de leur réseau central et de leur infrastructure de sécurité, ainsi que dans la largeur de bande de l'internet partagé.
Il nous faut donc trouver une réponse à long terme aux défis de la vitesse, de la latence et du coût. Ce sont ces considérations qui ont conduit de nombreux architectes réseau à déployer le SD-WAN.
Approche 2a : PASSER DIRECTEMENT AU NUAGE AVEC LE SD-WAN
La première étape de la mise en place d'une architecture prête pour l'informatique en nuage consiste à supprimer le goulot d'étranglement créé par l'obligation d'acheminer l'ensemble du trafic par des lignes MPLS lentes vers le réseau central, puis de le renvoyer vers l'informatique en nuage. La technologie SD-WAN peut vous aider à cet égard. En déployant un équipement SD-WAN à la périphérie du réseau de la succursale, il est possible de créer des politiques de trafic optimisées qui acheminent le trafic directement vers les ressources web et cloud en utilisant des connexions internet rapides et abordables, tout en utilisant la même connexion internet pour envoyer uniquement le trafic destiné au centre de données directement vers le réseau de l'entreprise par le biais d'un ensemble dynamique de tunnels VPN. L'optimisation du réseau étendu et la qualité de service, ainsi que diverses autres fonctions de sécurité et de réseau périphérique, telles que le filtrage de pare-feu, qui sont mieux adaptées pour être exécutées à la périphérie du réseau, offrent à l'utilisateur l'expérience la plus rapide et la plus fiable, tout en minimisant la charge de trafic sur le réseau central.
En utilisant le SD-WAN, les architectes de réseau peuvent réaliser des économies substantielles en éliminant les liaisons MPLS coûteuses vers le centre de données de l'entreprise. En outre, les utilisateurs ne sont pas limités par la bande passante beaucoup plus lente de ces lignes MPLS.
Cependant, ce modèle présente des inconvénients majeurs. Bien que les solutions SD-WAN soient dotées d'un certain nombre de fonctionnalités de contrôle des flux qui peuvent être distribuées à chaque site distant - y compris le pare-feu, la protection DNS et l'obscurcissement des données - elles n'ont pas les mêmes capacités de protection des données et des menaces que les organisations ont intégrées dans la sécurité du périmètre de leur réseau. Par conséquent, les architectes doivent toujours acheminer l'ensemble du trafic Internet vers le centre de données, même si ce trafic est finalement destiné à retourner sur l'Internet ! Ainsi, bien que la vitesse et la rentabilité de cette connexion soient grandement améliorées par rapport à l'ancien modèle, la nécessité de continuer à acheminer le trafic présente les mêmes problèmes de latence et d'encombrement.
Approche 2b : En haut de l'échelle Security Service Edge
Ainsi, si les voies de circulation doivent retourner au centre de données de l'entreprise pour que les organisations maintiennent la visibilité et le contrôle de la sécurité, mais que la majorité des ressources auxquelles les utilisateurs accèdent se trouvent dans le nuage, ne serait-il pas logique de placer les contrôles de sécurité dans le nuage, une voie de circulation plus directe et plus sûre ? Entrez dans Skyhigh Security Service Edge.
Skyhigh SecurityLe site Next-Gen Secure Web Gateway de Skyhigh SSE fournit une périphérie sécurisée à grande échelle, rapide comme l'éclair, fiable à 99,999 % et basée sur le cloud. En faisant converger les technologies SWG, CASB, DLP et Remote Browser Isolation , Skyhigh SSE garantit que les utilisateurs et les bureaux distants bénéficient des niveaux les plus sophistiqués de protection contre les menaces, les données et les applications en nuage, ainsi que de capacités uniques de gestion proactive des risques qui dépassent même ce qui est possible dans un cadre de sécurité traditionnel sur site.
Tout aussi important que les capacités de sécurité avancées est le fait que Skyhigh SSE est construit sur une base rapide, fiable et évolutive. Grâce à un réseau mondial de points de présence (POP) et à des relations de peering uniques, Skyhigh SSE peut étendre une périphérie sécurisée à grande échelle partout où les utilisateurs en ont besoin. Malgré une augmentation de 240 % du trafic au printemps 2020, Skyhigh Security a été en mesure de maintenir une disponibilité de 99,999 % et de respecter toutes les exigences de latence stipulées dans nos accords de niveau de service. Les organisations ont pu compter sur notre infrastructure dans les moments les plus difficiles et peuvent continuer à le faire à l'avenir.
En s'abonnant à une connexion Internet publique abordable sur le site de la succursale et en se connectant à Skyhigh SSE, les clients peuvent obtenir bon nombre des avantages souhaités. Ses capacités complètes de protection des données, des menaces et des applications en nuage répondent largement aux exigences en matière de sécurité. Et pour la majorité du trafic utilisateur destiné au web ou au cloud, la connexion directe à l'internet garantit un accès rapide et à faible latence.
Cependant, sans le déploiement du SD-WAN en conjonction avec Skyhigh SSE, les organisations ont toujours besoin de ces liaisons MPLS lentes et coûteuses pour maintenir la connectivité avec leurs applications et ressources de centre de données héritées. Par conséquent, les clients ne seront pas en mesure de réaliser des économies, et ces connexions aux ressources du centre de données souffriront des mêmes problèmes de vitesse et de latence. C'est là que nous arrivons enfin à l'architecture de sécurité idéale pour le cloud, en associant Skyhigh SSE au SD-WAN.
Approche 3 : Skyhigh Security SSE + SD-WAN = SASE
En réunissant Skyhigh SSE et SD-WAN dans une solution intégrée de manière transparente, les organisations peuvent fournir SASE et construire une architecture de sécurité réseau adaptée à l'ère du cloud. Skyhigh Security permet aux clients de faire converger facilement Skyhigh SSE avec pratiquement n'importe quelle solution SD-WAN grâce à un support natif robuste pour la connectivité SD-WAN, en tirant parti des protocoles Dynamic IPSec et GRE standard de l'industrie. Grâce à cette intégration, les clients bénéficient de la gamme complète des capacités essentielles de SASE, le SD-WAN fournissant la fonctionnalité réseau intégrée et SSE les capacités de sécurité. Skyhigh Security a aidé ses partenaires de distribution à mener à bien des projets SWG SD-WAN-cloud communs avec de nombreux fournisseurs SD-WAN majeurs sur le marché, et a forgé des alliances étroites avec les leaders de l'industrie par le biais de son programme de partenaires d'intégration.
Comment une solution combinée UCE-SD-WAN répond-elle aux quatre exigences architecturales ? La sécurité est clairement prise en compte par les capacités de protection contre les menaces, les données et les applications en nuage de Skyhigh Security, ainsi que par les capacités de pare-feu distribué fournies par le SD-WAN. En utilisant une seule connexion internet rapide, le SD-WAN est capable d'acheminer intelligemment et efficacement le trafic directement vers les ressources en nuage ou vers le centre de données de l'entreprise. Skyhigh SSE assurant la sécurité directement dans le nuage, le SD-WAN peut acheminer le trafic web et le trafic lié au nuage directement, sans latence excessive. La suppression des lignes MPLS coûteuses permet de réaliser des économies, et comme la majorité du trafic n'a plus besoin de passer par le centre de données de l'entreprise, des économies supplémentaires peuvent être réalisées en réduisant la bande passante du réseau central et la capacité de l'infrastructure.
Créez dès aujourd'hui une architecture de sécurité réseau prête pour l'informatique en nuage
La transformation numérique représente la prochaine grande révolution technologique, et la capacité des organisations à passer au cloud et à donner à leur main-d'œuvre distribuée un accès rapide, sécurisé, simple et fiable déterminera probablement leur succès dans cette nouvelle ère. SASE représente la meilleure façon d'obtenir une architecture directe vers le nuage qui ne fait aucun compromis sur la visibilité et le contrôle de la sécurité, la performance, la complexité ou le coût. En intégrant de manière transparente notre solution Skyhigh SSE au SD-WAN, il n'a jamais été aussi facile pour les entreprises de fournir des SASE aux bureaux distants. En conséquence, les utilisateurs bénéficieront d'une plus grande productivité, le personnel informatique d'une plus grande efficacité opérationnelle et les entreprises d'une réduction exceptionnelle des coûts grâce à une infrastructure consolidée et à un trafic réseau optimisé.
Retour à Blogs