Sécuriser les ressources informatiques entre quatre murs est déjà difficile, mais c’est un défi d’un autre ordre lorsqu’il s’agit de sécuriser un réseau étendu (WAN) avec des liens qui s’étendent dans le monde entier, fournis par un éventail de prestataires de services et prenant en charge un mélange d’appareils de sécurité des points d’extrémité.
Le tableau de la sécurité devient encore plus sombre lorsque vous intégrez un SD-WAN pour compléter des réseaux MPLS vieillissants, car la plupart des SD-WAN utilisent exclusivement l’Internet public pour le transport.
La plupart, mais pas tous.
Il s’agit là d’un élément important à prendre en compte lorsque vous évaluez les implications en termes de sécurité des différentes options SD-WAN.
Si vous remplacez l’internet public par un réseau privé défini par logiciel sur le kilomètre intermédiaire, cela équivaut à ajouter une couche de sécurité supplémentaire.
En fait, une approche de défense multicouche en profondeur est la meilleure façon d’aborder la sécurité SD-WAN.
Il existe tout simplement trop de types de menaces et de vecteurs d’attaque pour qu’une seule « réponse » de sécurité soit efficace.
Vous devez partir du principe que certaines défenses ne fonctionneront pas tout le temps et disposer de couches de défense supplémentaires.
Voici les meilleures pratiques pour les déploiements de sécurité SD-WAN :
1. Contenir votre réseau
Si votre SD-WAN utilise uniquement l’Internet public pour le transport sur le kilomètre intermédiaire, vous partez avec un désavantage, en particulier pour les liaisons internationales.
Il n’y a aucun moyen de savoir quelles liaisons votre trafic va traverser et qui a accès à quelles installations (sans parler de la baisse de performance que vous obtiendrez en utilisant l’Internet public « best effort » pour le transport SD-WAN).
L’autre solution consiste à souscrire à un service SD-WAN fourni sur un réseau mondial privé, géré et sécurisé, comme le Global SD-WAN d’Aryaka.
L’utilisation d’un réseau privé pour le kilomètre intermédiaire minimise considérablement les vecteurs d’attaque en éliminant l’exposition à l’Internet public.
2. Compartimentez votre trafic
La première chose à faire est d’éviter l’internet public, et la deuxième est de veiller à ce que votre trafic soit compartimenté d’une manière véritablement multi-locataire, avec des tunnels dédiés qui empêchent votre trafic de se mélanger à celui d’autres entreprises.
3. Ne mettez pas tous vos œufs dans le même panier
La diversité est une vertu essentielle dans une stratégie de sécurité multicouche et de défense en profondeur, mais certains fournisseurs de SD-WAN vantent les soi-disant « avantages » de la construction et de l’intégration de leur propre pile de sécurité.
Cette approche peut constituer un point de vulnérabilité pour de nombreuses entreprises.
La meilleure pratique consiste à disposer de plusieurs couches de sécurité fournies par plusieurs fournisseurs qui sont les meilleurs du secteur.
Cette approche atténuerait la vulnérabilité fondamentale associée à l’utilisation d’une pile de sécurité d’un seul fournisseur.
Aryaka travaille en partenariat avec Palo Alto Networks et Zscaler pour la sécurité en périphérie et dans le nuage, tous deux se concentrant exclusivement sur le réseau WAN mondial des entreprises.
Le code maison d’une petite entreprise n’est tout simplement pas comparable.
Si vous êtes une grande ou moyenne entreprise internationale, vous devez impérativement disposer d’une sécurité intégrée de premier ordre provenant de plusieurs fournisseurs.
4. Insistez sur les options
Il va sans dire que vous avez besoin d’une couche de sécurité à la périphérie du réseau pour le trafic entrant et sortant, mais les fournisseurs de SD-WAN ont souvent des options limitées et essaient de dicter une stratégie spécifique plutôt que de s’adapter à vos préférences.
Chez Aryaka, c’est vous qui décidez de la sécurité.
Le CPE d’Aryaka dispose d’un pare-feu intégré, ce qui vous permet d’intégrer cette fonction dans l’appareil et de réduire l’encombrement de l’appareil dans la succursale.
Mais si vous avez besoin de plus de puissance, un pare-feu Palo Alto de nouvelle génération peut être déployé sur site.
Vous pouvez également diriger le trafic vers une solution Palo Alto Networks ou Zscaler basée sur le cloud.
Si vous avez migré des applications vers le cloud, vous pouvez utiliser un pare-feu virtuel de Zcaler pour les environnements AWS ou Azure.
5. Ajouter des systèmes d’alerte précoce
Assurez-vous que votre fournisseur SD-WAN est en mesure de vous proposer un portail qui vous permet de surveiller votre réseau mondial à partir d’une seule et même fenêtre.
Des pics de trafic inhabituels ou des connexions multiples provenant d’une partie inattendue du réseau ou du monde peuvent être des indicateurs d’activités malveillantes qui nécessitent un examen plus approfondi.
Cela vous permettrait de mettre les utilisateurs en quarantaine et d’empêcher la propagation d’une attaque.
Il est évident que la sécurité à 100 % n’existe pas et c’est pourquoi un modèle de défense en profondeur est essentiel.
Recherchez des fournisseurs SD-WAN capables de fournir des services sur un réseau sécurisé, privé et géré, et d’offrir les meilleures options pour chacune des multiples couches de sécurité nécessaires à la protection de votre réseau mondial et de vos données critiques !