Les 10 fonctionnalités les plus sous-employées du SD-WAN
Le SD-WAN ne sert pas uniquement d'alternative au mécanisme MPLS de transport de données basé sur la commutation de labels (MultiProtocol Label Switching) : le provisionnement sans intervention humaine (ZTP), le routage applicatif (application aware routing) et la microsegmentation ne sont qu'un exemple des fonctionnalités que peuvent offrir les produits et services SD-WAN.
Les premiers produits SD-WAN permettaient aux entreprises de démanteler leurs liaisons MPLS coûteuses et rigides, de connecter les succursales directement au cloud et d'optimiser le trafic WAN. Mais de façon générale, il manquait aux premières offres SD-WAN des fonctionnalités de pare-feu intégrés, de routage applicatif et d'analyses de données avancées. Peu à peu, les fournisseurs de SD-WAN ont étoffé leurs produits pour y inclure un ensemble de fonctionnalités plus conséquent. Cependant, beaucoup d'entreprises n'exploitent toujours pas les fonctionnalités offertes par les récents produits SD-WAN et les services managés.
Alors qu'attendent les responsables IT pour se précipiter sur ces fonctionnalités ? Soit, les fournisseurs n'ont pas su informer les utilisateurs potentiels des avantages et de la facilité d'utilisation de ces fonctionnalités avancées. Soit les cloisonnements organisationnels entre équipes réseau et sécurité n'ont pas permis aux entreprises d'activer le pare-feu de nouvelle génération ou le système de prévention des intrusions fourni éventuellement avec leur appliance SD-WAN. Souvent, les professionnels du réseau s'appuient sur des méthodes et des procédures standard qui ont fait leur preuve et qui leur permettent de faire leur travail avec brio. Mais certains hésitent peut-être à changer leurs méthodes de travail, à adopter par exemple le provisionnement sans intervention humaine, et à prendre un risque qui pourrait se retourner contre eux au cas où quelque chose tournerait mal. Cependant, les entreprises doivent savoir quels avantages peuvent leur apporter ces fonctions SD-WAN sous-employées. Après tout, elles payent pour l'appliance SD-WAN ou le service managé. Alors, autant optimiser leurs usages !
1. Le provisionnement sans intervention humaine (ZTP)
Traditionnellement, pour déployer les équipements réseau des succursales, il faut transporter l'appareil physique dans un espace prévu à cet effet, le configurer, le tester, puis l'expédier à la succursale, où un professionnel du réseau le mettra en service. Pour les entreprises qui déploient des dizaines ou des centaines de dispositifs SD-WAN dans une zone géographique étendue de surcroît, ce processus manuel peut s'avérer long et intensif. Le provisionnement sans intervention humaine (ZTP - Zero-touch provisioning), présent en standard sur la plupart des appareils SD-WAN, configure automatiquement l'appareil livré prêt à l'emploi par le constructeur. Selon Kunal Thakkar, responsable de l'ingénierie réseau chez Apcela, un concepteur et gestionnaire de réseaux SDN optimisés pour le cloud, « l'appareil a uniquement besoin d'une connexion Internet pour appeler la maison mère, et il est entièrement et rapidement configuré, de manière efficace et standardisée sur la base de modèles prédéfinis ».
2. Permutation de la clé de cryptage
Les entreprises sous contrat avec l'administration, comme des entreprises aéronautiques et de défense, ou les entreprises ayant des obligations de conformité PCI (Payment Card Industry Data Security Standard), soit à peu près tout le monde, ont obligation de renouveler leurs clés de cryptage régulièrement (généralement tous les 90 jours). S'il est réalisé manuellement, ce processus, qui implique des politiques complexes de contrôle des changements et nécessite parfois des temps d'arrêt planifiés, peut vite devenir fastidieux. Heureusement, les plates-formes SD-WAN permettent de remplacer la permutation classique de clés basée sur le VPN par un système automatisé. Et il est possible de programmer ce système pour effectuer des permutations toutes les minutes, si nécessaire, sans aucune interruption du plan de trafic des données. La sécurité s'en trouve améliorée, il n'y a aucun temps d'arrêt, et le processus n'a besoin d'aucune intervention manuelle.
3. VPN multiplexés
Beaucoup de situations imposent aux entreprises de séparer les différents types de trafic les uns des autres. Par exemple, en cas de fusion ou d'acquisition, si la nouvelle entreprise peut devenir une seule entité sur le papier, chaque unité peut continuer à fonctionner indépendamment pour des raisons commerciales, de conformité ou de sécurité. Si l'entreprise décide de passer par la suite au SD-WAN, elle peut envisager d'acquérir deux séries de dispositifs physiques. Mais la technologie SD-WAN permet de multiples services VRF (Virtual routing and forwarding) et le multiplexage de plusieurs liens VPN avec une seule couche de superposition, ce qui n'était pas possible avec les technologies VPN précédentes. En définissant simplement des politiques, des entreprises tentaculaires et complexes ayant plusieurs unités commerciales peuvent isoler le trafic. « La technologie SD-WAN est capable de créer jusqu'à 16 VPN virtuels, fonctionnant tous sur les mêmes liens WAN physiques », a encore expliqué M. Thakkar.
4. Routage applicatif
Les produits SD-WAN peuvent inspecter le trafic au niveau de la couche « Layer 7 » afin d'appliquer des politiques de routage granulaires pour des applications spécifiques. En fait, certains appareils peuvent identifier plus de 3000 applications distinctes et comprendre les exigences de performance de chaque application. Cette fonction permet aux entreprises d'optimiser le coût des télécommunications à un niveau granulaire en surveillant constamment en temps réel la latence, le délai, la fluctuation du signal (la gigue) et d'autres caractéristiques des applications sensibles, et basculer au besoin les applications vers la méthode de transport la plus rentable qui respecte les seuils de performance. Selon Ashwath Nagaraj, directeur technique d'Aryaka Networks, « le routage applicatif n'est pas aussi largement déployé qu'il pourrait l'être ». Une des explications possibles, c'est que l'inspection du trafic de la couche « Layer 7 » s'accompagne d'un certain niveau de surcharge de performance, et cela suppose que les entreprises prennent le temps pour définir des politiques pour chaque application. Et l'effort est payant : Ashwath Nagaraj fait valoir que le routage applicatif peut apporter des avantages considérables en termes de performances et de coûts.
5. API programmatiques
Selon Raviv Levi, directeur senior de la gestion des produits chez Cisco Meraki, « l'utilisation des API peuvent aider les entreprises à orchestrer et à automatiser les fonctionnalités tout au long du cycle de vie du SD-WAN ». Même si cette possibilité est actuellement sous-utilisée, il constate que les responsables IT manifestent de plus en plus d'intérêt pour les API parce qu'ils commencent à comprendre qu'avec les API, « de grandes entreprises peuvent s'approprier et contrôler le réseau comme jamais auparavant ». Les API leur permettent de personnaliser et d'automatiser la configuration initiale des équipements SD-WAN, de mettre à tout moment les configurations à l'échelle, d'automatiser le processus de ticket de dépannage et de récolter des données sur les performances du WAN, à la fois pour l'optimisation du trafic en temps réel et pour la surveillance et la gestion à plus long terme de l'infrastructure. Par exemple, les entreprises peuvent utiliser des API pour programmer des appareils afin qu'ils effectuent des sondages plus fréquents que ceux prévus par les paramètres par défaut. Grâce aux API, les entreprises peuvent configurer leur infrastructure SD-WAN pour collecter automatiquement des données qui pourront servir dans des fonctions comme la gestion des groupes d'utilisateurs, la consultation des journaux d'audit, la collecte d'inventaires d'appareils, la surveillance en temps réel et le dépannage des appareils connectés au réseau.
6. Connectivité cloud optimisée
L'un des principaux avantages du SD-WAN, c'est qu'il permet de connecter le trafic des succursales directement au cloud, plutôt que de le renvoyer au datacenter. Mais souvent, les administrateurs réseau ont une visibilité limitée ou nulle sur les caractéristiques de performance du réseau entre l'utilisateur final et les applications SaaS dans le cloud. Cependant, des fournisseurs proposent désormais une fonctionnalité - Cisco Viptela propose par exemple Cloud OnRamp - basée sur des API programmatiques pour mesurer les performances des applications SaaS ou les services IaaS d'Amazon Web Services et de Microsoft Azure. Dans un scénario IaaS, une instance virtuelle du routeur SD-WAN mesure en permanence les performances de l'application dans le domaine du fournisseur de services cloud, offrant aux administrateurs réseau une visibilité sur les performances des applications comme jamais auparavant. Dans un scénario SaaS, le dispositif SD-WAN se connecte au point de présence SaaS le plus proche et prend des décisions en temps réel pour choisir le chemin le plus performant. Selon Rohan Grover, directeur principal de la gestion des produits, SD-WAN et routage d'entreprise chez Cisco, les utilisateurs finaux d'applications de productivité répandues comme Office 365 ont constaté une amélioration de 40 % des performances.
7. Analyse des données
L'usage de l'analyse des données pour résoudre les problèmes de performance du réseau et planifier la capacité du réseau à long terme est aussi une fonction sous-employée des systèmes SD-WAN. Si vous avez opté pour un service managé ou pour le DIY, vous disposez d'une multitude de données de santé sur le trafic WAN de bout en bout. Avec l'analyse des données, plus besoin de rechercher le coupable entre l'entreprise cliente, le fournisseur de services cloud, l'IPS, le fournisseur du dernier kilomètre, etc.
8. Microsegmentation de bout en bout
De plus en plus d'entreprises ont recours à la microsegmentation pour sécuriser les applications exécutées dans les datacenters et les environnements cloud et isoler les charges de travail en fonction des politiques. Avec la microsegmentation, les entreprises ont plus de contrôle sur leur trafic Est-Ouest, et, en cas de violation, elle limite les mouvements latéraux potentiels des pirates. La popularité croissante de logiciels overlays de type SDN et NFV a ouvert la voie à la microsegmentation. Il est donc tout à fait naturel que la microsegmentation soit une fonction de superposition SD-WAN. Selon Sunil Khandekar, CEO de Nuage Networks, l'avantage de la microsegmentation, c'est que, « si un noeud de branche est attaqué, un serveur central gérant les politiques peut automatiquement prendre des mesures pour mettre la branche en quarantaine du reste du réseau ».
9. Chaînage des services
Auparavant, quand le trafic de la succursale était re-routé vers le datacenter via des liaisons MPLS sécurisées, il n'était pas nécessaire d'ajouter des fonctions de réseau et de sécurité supplémentaires au niveau de la succursale. Cependant, parce que les succursales sont désormais connectées directement à Internet, plusieurs dispositifs de succursales peuvent être équipés de pare-feu, de boîtiers NAT et de systèmes de prévention des intrusions. Comme l'explique M. Khandekar, « le chaînage des services permet aux entreprises de réduire l'encombrement des succursales ». Elles peuvent créer une chaîne de services réseau connectés et automatiser le traitement des différents flux de trafic en fonction des exigences de trafic pour la sécurité, la latence ou la qualité de service.
10. Connectivité fixe sans fil
Même si ce n'est pas spécifiquement une fonction du SD-WAN, les experts affirment que les entreprises qui établissent des liaisons avec leurs succursales devraient envisager la mise en place d'une liaison sans fil fixe, surtout si la vitesse de déploiement est leur priorité absolue. Les entreprises avec une faible empreinte régionale devraient pouvoir demander facilement à leur fournisseur d'accès Internet des liaisons WAN. Mais pour les entreprises dont les sites ruraux ne sont pas desservis par le haut débit traditionnel, ou pour les entreprises ayant besoin de connecter rapidement une nouvelle boutique ou un site d'entreprise temporaire en SD-WAN, un réseau sans fil fixe peut leur sauver la mise.
« Si les premiers déploiements de SD-WAN consistaient surtout à fournir une connectivité de base et à réduire les coûts, le SD-WAN est désormais considéré comme une plate-forme d'automatisation de réseau pour soutenir la transformation numérique », a encore déclaré M. Khandekar. « Et le déploiement de ces fonctionnalités sous-employées peut aider les entreprises IT à aligner leur WAN sur les besoins de l'entreprise ».
Illustration Pixabay