La semaine dernière, j’ai parlé d’Aryaka HybridWAN et de son approche innovante pour fournir une connectivité Internet avec des accords de niveau de service (SLA) de classe entreprise aux succursales.
Bien sûr, dès que vous ouvrez des succursales à l’Internet, la sécurité est une préoccupation majeure.
En ce qui concerne la sécurité dans le SD-WAN, il est facile de constater qu’il existe deux approches génériques dans notre secteur :
- La posture de la solution intégrée, c’est-à-dire « Vous devriez acheter mon SD-WAN parce qu’il est également intégré à ma solution de sécurité intégrée, ce qui vous évite d’acheter la sécurité à quelqu’un d’autre. Croyez-moi, cela répond à vos besoins.
Cette attitude est assez répandue dans le monde du SD-WAN, mais il est clair qu’elle représente une stratégie de verrouillage et qu’elle peut être préjudiciable aux préférences et aux besoins particuliers des entreprises en matière de sécurité. - La posture de solution ouverte, c’est-à-dire « En tant que société SD-WAN, nous comprenons que la plupart des entreprises ont besoin d’adapter l’approche de sécurité multicouche qui répond à leurs besoins particuliers, c’est pourquoi nous fournirons certaines capacités de sécurité fondamentales – mais nous veillerons à maintenir une posture ouverte et à établir des partenariats avec un certain nombre d’entreprises de sécurité de premier plan afin que nos clients puissent vraiment adapter leur solution de sécurité ».
Aryaka est une société SD-WAN qui souscrit fermement à la posture Open Security Solution.
Pour quelles raisons ?
D’abord et avant tout, nous sommes une entreprise qui donne la priorité au client.
Notre rapport State Of The WAN 2019 a fermement établi que, si la sécurité est bien sûr une préoccupation majeure pour toutes les entreprises qui déploient un SD-WAN, la majorité d’entre elles ont besoin de pouvoir choisir.
Pour diverses raisons qui vont des préoccupations d’architecture d’entreprise aux besoins réglementaires, une solution de sécurité unique couvrira rarement les besoins de toutes les entreprises.
Plusieurs analystes du secteur ont également souligné à plusieurs reprises la nécessité d’une approche multicouche de la sécurité.
L’approche d’Aryaka en matière de sécurité est ouverte et directe : Tout d’abord, il y a l’aspect fondamental de la sécurité.
Dans une succursale, vous avez besoin d’un pare-feu de base et d’une segmentation basée sur des règles.
Nous intégrons ces deux fonctions dans notre dispositif d’agence, l’ANAP (Aryaka Network Access Point).
Nous appelons cette fonction Aryaka Zones, et nous l’incluons dans notre ANAP en tant que fonctionnalité de base gratuite.
Zones fournit un pare-feu avec état pour la sécurité d’accès de base, segmentant la succursale du monde extérieur.
En outre, dans les Zones, nous créons une segmentation interne stricte du trafic basée sur des politiques, ce qui signifie généralement une séparation stricte de l’internet public (WiFi invité, applications grand public, etc.), de la sécurité du cloud, de la DMZ et du trafic de l’entreprise.
Nos politiques sont flexibles et permettent de gérer jusqu’à 32 zones dans une succursale.
Vous pouvez utiliser les zones Aryaka non seulement pour la segmentation Est-Ouest, mais aussi pour imposer une communication restreinte et sécurisée entre les segments – à l’intérieur de la succursale ou d’une succursale à l’autre. Deuxièmement, Aryaka s’associe à des leaders de la sécurité en nuage tels que Zscaler, Palo Alto Networks, Symantec et d’autres, afin d’offrir un choix et une intégration facile.
Mais revenons à l’activation architecturale : La segmentation basée sur les VLAN est excellente, mais de nombreux cas d’application nécessitent une segmentation au niveau de la couche 3, appelée VRF (Virtual Routing and Forwarding).
Un cas d’utilisation classique de la segmentation de la couche 3 avec VRF est la multi-tenance.
Vous ne serez pas surpris si je vous dis que nous fournissons également cette fonction : elle est également incluse dans notre ANAP.
D’un point de vue architectural, lorsque vous mettez en œuvre une segmentation multicouche et que vous prenez en charge un cadre stratégique global, vous prenez en charge une architecture de micro-segmentation.
Écoutez-moi cependant : Aryaka ne fournit pas l’ensemble de la pile pour une solution de micro-segmentation soutenant une approche de la sécurité dite « Zero Trust ».
Nous fournissons l’activation architecturale aux niveaux L2 et L3.
Il existe des cadres d’identité et de politique de plus haut niveau, standard de facto de l’industrie, pour lier la capacité de micro-segmentation fondamentale L2/3 à un cadre global permettant d’assurer une posture dite de confiance zéro.
La micro-segmentation et la confiance zéro sont inséparables. Dès que vous parlez de l’une, les experts du secteur vous posent des questions sur l’autre.
Qu’est-ce que la confiance zéro ?
Comme pour beaucoup de choses de nos jours, il n’y a pas de norme industrielle, je vais donc simplifier : Il s’agit d’une posture de sécurité qui n’autorise rien ni personne à entrer dans l’entreprise à moins que son identité ne soit confirmée et que, lorsque l’accès lui est accordé, il ne soit mappé, via une politique, qu’à quelques micro-segments choisis dans le réseau.
On pourrait dire que la confiance zéro est le contre-mouvement du principe de connectivité universelle que les réseaux IP ont rendu possible.
La pile de connectivité universelle d’IP a permis une révolution industrielle, mais cette connectivité universelle est devenue un handicap.
Par conséquent, nous avons commencé à mettre en échec la connectivité universelle.
Les pare-feu sont apparus en premier.
La détection des intrusions a suivi.
La gestion unifiée des menaces a été l’étape suivante.
Mais si vous y réfléchissez bien, il s’agit là de postures défensives passives.
La confiance zéro représente un mouvement perturbateur et offensif dans l’architecture de sécurité de l’entreprise.
Encore une chose à propos de l’architecture Zero Trust : il est clair qu’elle nécessite une approche très ouverte de la part de chaque fournisseur de technologie impliqué dans la pile, car aucun fournisseur ne couvrira à lui seul tous les domaines de l’entreprise et toutes les couches de la pile technologique.
Il est clair que les fournisseurs de SD-WAN qui préconisent une solution de sécurité interne unique ne comprennent pas la direction que nous prenons en matière de sécurité d’entreprise.
Pour résumer : L’approche ouverte d’Aryaka en matière de sécurité multicouche offre le choix que les entreprises préfèrent et que les postures de sécurité zéro confiance émergentes exigent en tant que catalyseur fondamental.