L'avenir des réseaux
Flexibilité et sécurité avec NaaS et SASE
Les organisations doivent moderniser leur réseau pour rester flexibles
Les réseaux d'entreprise traditionnels ont été conçus en fonction des contraintes rigides des bureaux physiques et des datacenter. Pendant des années, les entreprises se sont appuyées sur des solutions telles que la commutation multiprotocole par étiquette (MPLS) pour connecter leurs bureaux tout en se dotant d'outils de sécurité disparates et complexes. De plus, les solutions traditionnelles de connectivité réseau qui ne sont pas compatibles avec le cloud ont introduit une dépendance vis-à-vis des fournisseurs et des goulots d'étranglement qui limitent l'architecture.
Facteur de complexité supplémentaire, de nombreuses organisations ont signé des contrats pluriannuels pour des services réseau en partant du principe que les bureaux physiques seraient toujours la solution par défaut. À mesure que notre mode de travail évolue, les organisations ont tout intérêt à moderniser leur réseau le plus tôt possible afin de rester flexibles.
Un réseau moderne flexible peut être identifié par trois principales caractéristiques :
Élasticité du réseau. La faculté d'augmenter ou de diminuer facilement la capacité, afin que l'organisation puisse répondre rapidement à l'évolution des besoins de l'entreprise.
Protection intégrée. En adoptant un système de sécurité intégré à votre infrastructure de réseau, vous éviterez les pièges des outils de sécurité superposés, tels que les failles de sécurité et les performances réduites.
Prêt pour le Cloud. Intégrer les services cloud dans l'architecture réseau pour éviter les goulots d'étranglement liés aux performances des applications.
Créer des réseaux flexibles avec NaaS et SASE
Les deux principales technologies utilisées par les organisations pour se doter d'un réseau flexible et moderne sont le Network as a Service (NaaS) et le Secure Access Server Edge (SASE).
Lorsque les entreprises adoptent une solution NaaS, elles louent à un fournisseur des fonctions de mise en réseau fournies par Cloud. Cela évite aux entreprises d'avoir à entretenir leur propre infrastructure de réseau et remplace un certain nombre d'outils anciens comme les MPLS et les réseaux privés virtuels (VPN). Certaines solutions NaaS comprennent des fonctions de sécurité intégrées telles que des pare-feu de réseau, une protection contre les dénis de service distribués (DDoS), contre les attaques DDoS et plus encore.
De même, les solutions SASE combinent la mise en réseau définie par logiciel et la fonctionnalité de sécurité réseau dans une plateforme consolidée. La consommation de la sécurité du réseau en tant que service est un élément fondamental de SASE. À ce titre, les quatre composants de sécurité qui sont essentiels aux solutions SASE sont les passerelles web sécurisées, les courtiers de sécurité d'accès au Cloud, l'accès réseau Zero Trust et les pare-feu en tant que service (FWaaS).
Il convient de souligner que les NaaS et les SASE ne s'excluent pas mutuellement. En effet, certaines solutions SASE utilisent la technologie NaaS comme connectivité de base.
Cultiver l'élasticité du réseau en allant au-delà des limites de MPLS et SD-WAN
Les méthodes de connectivité actuelles, comme MPLS et SD-WAN, constituent des obstacles à l'élasticité des réseaux. Elles entravent l'adaptation rapide à des changements de main-d'œuvre à distance ou le regroupement de bureaux.
Les défis du MPLS
Les réseaux WAN MPLS ne sont pas adaptés à l'ère du SaaS et du Cloud. L'intégration d'un service Cloud public avec un WAN MPLS contraint une organisation à créer un réseau en étoile avec des tunnels vers les fournisseurs de Cloud public.
Il en résulte une réduction des performances car tout le trafic du site est transporté par un hub centralisé. Par exemple, un utilisateur à Londres peut constater, lorsqu'il accède à son courrier électronique, que le traffic est acheminé vers un site central à New York, et ce même si son fournisseur de courrier électronique possède un datacenter à Londres.
De plus, les services WAN MPLS lient les clients à des contrats pluriannuels et il est difficile de mettre à niveau ou de réduire rapidement la capacité. Ces contrats sont notoirement coûteux et entraînent des retards lors de l'ajout de nouveaux sites web.
Les défis du SD-WAN
Les réseaux WAN définis par logiciel (SD), quant à eux, utilisent des options de réseau étendu comme le service Internet à large bande pour aider à résoudre les problèmes de coût et de rigidité du MPLS. Toutefois, les réseaux SD-WAN présentent également des limites substantielles.
D'une part, les réseaux SD-WAN obligent les entreprises à configurer leur propre réseau et à y ajouter des outils de sécurité et d'autres services, tels que des équilibreurs de charge. Cela signifie que pour fournir des services de sécurité, les réseaux SD-WAN dépendent toujours d'une architecture en étoile et connaissent des goulots d'étranglement liés aux performances.
Les SD-WAN ne gèrent pas non plus les performances de bout en bout car, contrairement aux liaisons ou aux réseaux privés, ils sont essentiellement issus d'une technologie de pointe et ne contrôlent pas le « middle mile ». (Le middle mile relie le réseau local à des réseaux externes plus importants — tels que le réseau Internet ou d'autres fournisseurs de services réseau — par opposition aux utilisateurs finaux). Sans contrôle du middle mile, les organisations dépendent du réseau Internet, qui est susceptible d'être congestionné, ce qui a un impact sur les performances globales.
Comment NaaS et SASE créent l'élasticité du réseau
Comme les NaaS et les SASE autorisent les organisations à gérer leur infrastructure à l'aide d'un logiciel, elles peuvent facilement augmenter ou réduire leur capacité sans délai.
En outre, sans réacheminement du trafic, les employés bénéficient de meilleures performances lorsqu'ils accèdent aux applications Cloud, ce qui limite les obstacles à la productivité.
Adopter la protection intégrée
Les organisations doivent sécuriser et habiliter leur personnel et ce, n'importe où dans le monde. Pour y parvenir, une stratégie de sécurité globale qui élimine la complexité et les lacunes en matière de sécurité est nécessaire.
Cependant, de nombreuses entreprises dépendent de plusieurs solutions de sécurité basées sur des appareils, ce qui est source de complexité et de lourdeur. D'une part, l'utilisation de solutions distinctes telles que les concentrateurs VPN, les passerelles web sécurisées et les pare-feu de réseau constitue des politiques multiples et des informations fragmentées sur les menaces. Cette approche est non seulement coûteuse, mais elle crée également des « points d'étranglement » qui nuisent aux performances des applications et à la productivité des employés.
Alors que de nombreuses solutions NaaS proposent des fonctions de sécurité intégrées, les solutions SASE reposent sur ce concept. Grâce aux fonctions de sécurité intégrées au réseau, les organisations n'ont plus besoin de faire passer le trafic par une série d'appareils de sécurité. Cela réduit les sauts et les inspections de sécurité et améliore les performances des applications.
SASE réduit également les coûts opérationnels en consolidant les équipes techniques appliance qui doivent gérer et mettre à jour le réseau. De plus, les services de sécurité sont toujours à jour des dispositifs de protection les plus récents, ce qui permet de protéger votre organisation contre les tendances d'attaque émergentes ou en évolution. Les services de sécurité intégrés peuvent également mettre en commun leurs renseignements sur les menaces, garantissant ainsi une protection globale.
Concevoir des réseaux prêts pour le cloud
Selon un rapport récent, 92 % des entreprises ont une stratégie multi-cloud et 82 % ont une stratégie de Cloud hybride. Malheureusement, il est difficile de créer des réseaux qui supportent cette architecture.
Si certains fournisseurs proposent des options de mise en réseau multi-cloud, beaucoup ne s'intègrent pas aux réseaux étendus traditionnels. Cela oblige les organisations à trouver des solutions de substitution complexes pour intégrer les services de Cloud public dans leur architecture réseau. Certains fournisseurs de services Cloud rendent également difficile la connexion à d'autres fournisseurs de services Cloud ou à une infrastructure sur site, ce qui limite l'architecture et crée une dépendance vis-à-vis du fournisseur.
Les organisations doivent donc s'assurer que leur architecture de réseau et de sécurité est prête pour le Cloud et peut permettre de connecter une variété d'infrastructures basées sur le Cloud et sur site. Toutefois, dans la mesure où il s'agit d'un besoin émergent, de nouvelles stratégies sur la manière d'aborder cette question apparaîtront probablement au cours des prochaines années.
Réseaux prêts au cloud et SASE
Si de nombreuses solutions SASE offrent une connectivité à plusieurs services de Cloud public, les organisations doivent accorder une attention particulière à la plateforme sous-jacente utilisée pour fournir ces services. Une connectivité réseau inadéquate aux services de Cloud public peut forcer le trafic à passer par des interconnexions limitées, avec pour conséquence des points d'étranglement artificiels et une réduction des performances.
Les solutions SASE modernes, fournies à partir d'une plateforme globale dotée d'interconnexions denses avec tous les principaux services de Cloud public, peuvent garantir une connectivité rapide et sécurisée entre vos applications et les utilisateurs finaux.
Feuille de route pour la modernisation de votre réseau
Si le SASE est l'objectif final, la majorité des organismes n'y parviendront pas du jour au lendemain. Cependant, il existe quelques étapes que les organisations peuvent suivre pour commencer leur parcours.
Étape 1 : Ajouter et sécuriser les points d'accès à Internet
Le réseau Internet demeurera un élément essentiel des stratégies de réseau et les fournisseurs de SaaS continueront à optimiser les applications pour qu'elles soient utilisées sur Internet. L'ajout de points d'accès à Internet peu coûteux autorise les entreprises à transférer une partie du trafic des réseaux WAN traditionnels qui peuvent exister dans les succursales. La séparation du trafic SaaS directement vers l'Internet améliore immédiatement les performances des applications.
Les débouchés Internet peuvent également être combinés avec la technologie SD-WAN en périphérie pour transférer intelligemment le trafic entre les options de réseau disponibles. Cependant, les SD-WAN ne garantissent toujours pas les performances sur le « middle mile » et nécessitent un hub pour interconnecter les sites et les services de Cloud public. Pour s'affranchir de l'architecture en étoile, il faut un nouveau modèle de sécurité, dans lequel l'application des politiques est effectuée au niveau de chacun des appareils de la succursale.
Étape 2 : Adopter le NaaS
Le NaaS est de plus en plus disponible dans la plupart des centres de données, cette disponibilité s'étend jusqu'aux immeubles de bureaux. NaaS offre une connectivité réseau flexible et programmable, avec un contrôle des performances de bout en bout. L'augmentation et la réduction de la capacité et l'ajout de sites web sont plus faciles avec NaaS. En outre, les services NaaS peuvent être mis en place avec des connexions virtuelles sur Internet, en utilisant des technologies basées sur des normes telles que GRE et IPSec.
Les solutions NaaS permettent également de s'interconnecter facilement aux services de Cloud public à l'aide de connexions directes ou de connexions croisées. À court terme, le NaaS améliorera les performances des applications et, à long terme, il réduira considérablement les coûts de réseau.
Étape 3 : Adopter la sécurité « Zero Trust »
Les solutions modernes de type « Zero Trust » fonctionnent avec de multiples options de connectivité et protègent les utilisateurs qu'ils travaillent à distance ou au bureau. Cela se révélera indispensable lorsque que le travail hybride sera devenu la norme. La sécurité « Zero Trust » protège non seulement les utilisateurs contre les menaces Internet, mais empêche également la propagation latérale des logiciels malveillants que l'on observe souvent lors des attaques par rançongiciel.
Une fois que tous les sites ont été connectés via des ruptures Internet et/ou NaaS, et que tout le trafic d'application a été migré vers le nouveau réseau, il est possible de retirer un WAN MPLS existant. Il est préférable de commencer à planifier ce processus bien avant l'expiration d'un contrat.
Moderniser votre réseau
Cloudflare a mis en place une plateforme Cloud intégrée afin d'aider les entreprises à créer des réseaux modernes et flexibles.
Cloudflare Magic WAN remplace les réseaux WAN traditionnels par le réseau Cloudflare et offre une variété de fonctions de sécurité intégrées, comme un pare-feu de réseau et un accès réseau à Zero Trust (ZTNA). Magic WAN est le socle de connexion de Cloudflare One, une solution SASE, qui combine la fonctionnalité NaaS et les fonctions de sécurité Zero Trust en une plateforme unique et complète.
En utilisant ces solutions conjointement, les entreprises peuvent moderniser leurs réseaux en augmentant ou en réduisant facilement la capacité, en protégeant leur réseau avec une sécurité intégrée et en se connectant aux principaux fournisseurs de Cloud public et aux infrastructures sur site.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies d'aujourd'hui.
Conclusions essentielles
Cet article vous permettra de comprendre les points suivants :
Pourquoi l'élasticité du réseau permet aux organisations de mieux répondre à l'évolution des besoins de l'entreprise
Le système de sécurité réseau intégré réduit les lacunes en matière de sécurité
L'importance de la conception d'un réseau prêt pour le Cloud
Les mesures que les organisations peuvent prendre pour moderniser leurs réseaux
Ressources associées
Approfondir le sujet
Pour en savoir plus sur la façon dont Cloudflare One redéfinit le réseau étendu d'entreprise, consultez le 1451 Research Market Insight Report.