SD-WAN
SD-WAN est un acronyme pour « Software-Defined Wide Area Network », soit réseau étendu à définition logicielle, et est présenté dans les années 2020 comme la nouvelle évolution majeure des télécommunications[1].
Un SD-WAN facilite la gestion du réseau en séparant la partie matérielle du réseau de ses mécanismes de contrôle et de gestion. Ce concept est similaire à la manière dont le réseau à définition logicielle met en œuvre la virtualisation pour améliorer la gestion et l'exploitation des centres de données[2].
Une application majeure du SD-WAN consiste à permettre aux entreprises de construire des WAN de meilleure performance en utilisant un accès internet moins coûteux et disponible dans le commerce, permettant aux entreprises de remplacer, partiellement ou totalement, les technologies en connectivité WAN privées plus chères, à l'instar de la technologie MPLS[2].
L'entreprise américaine de recherche en marketing Gartner a annoncé en 2018 que d'ici 2023, plus de 90 % des initiatives de renouvellement des infrastructures WAN de pointe seront fondées sur des plateformes Customer Premises Equipment virtualisé ou des logiciels ou appareils SD-WAN[3].
Intérêt
modifierLe SD-WAN est une technologie de transport de paquets IP conçue pour :
- utiliser un ensemble de liens hétérogènes ;
- disposer d’une classification de flux applicative ;
- router les flux par application ;
- intégrer l’interconnexion avec les environnements Cloud ;
- permettre un contrôle et un déploiement centralisés ;
- gérer de manière intelligente les flux à destination d'internet ou des réseaux privés distants.
Le principal critère d'adoption du SD-WAN dans les réseaux d'entreprise est le gain économique résultant du remplacement d'un lien MPLS par un lien Internet.
Architecture Physique
modifierLe SD-WAN est un routeur qui se place directement sur le ou les sites d'une entreprise et prend en charge le lissage en temps réel du trafic réseau pour de meilleures performances.
Architecture Cloud
modifierL'architecture Cloud SD-WAN est une solution sur site comme la précédente. La différence principale est que chacune des surcouches logicielles présente sur les différents routeurs SD-WAN aura comme intermédiaire une passerelle Cloud mise à disposition par le fournisseur de la solution SD-WAN.
Cette architecture a de nombreux avantages :
- Une meilleure capacité de reprise sur incident assurée par des sauvegardes fréquentes de l'état du réseau assurée par les contrôleurs SD-WAN.
- Une surcouche de sécurité est apportée directement par le Cloud privé qui dispose de ses propres couches de pare-feu et de protocoles de sécurité.
Les fournisseurs SD-WAN disposent de passerelles vers les principaux fournisseurs d'application Cloud comme Google ou Microsoft.Ces passerelles apportent une plus-value en termes de performances. L'architecture Cloud offre également la possibilité de mettre en place des passerelles Cloud afin d'augmenter les performances des applications mises à disposition sur le Cloud de l'entreprise.
Utiliser un ensemble de liens hétérogènes
modifierSD-WAN gère des liens virtuels (overlays) créés au-dessus de réseaux IP existants[5]. De cette manière, les réseaux SD-WAN sont indépendants du réseau physique, qui peuvent mêler plusieurs technologies, en général L3VPN (MPLS) et Internet. Cette combinaison permet de disposer d'une grande fiabilité, d'un bon niveau de gestion de la bande passante (QoS) grâce au lien L3VPN et d'un débit important pour un coût modéré grâce au lien Internet.
Disposer d’une classification de flux applicative
modifierLes flux peuvent être classés par application grâce à un moteur DPI (deep packet inspection), plus évolué qu'un classement effectué sur les critères standardisés par l'ISO (ports UDP et TCP de la couche 4 du modèle OSI). Par exemple, un flux peer to peer pourra être séparé d'une consultation du site web comme Wikipedia, même si les deux flux utilisent le même canal de communication de la couche 7 (HTTP).
Router les flux par application
modifierUne fois cette classification effectuée, chaque flux applicatif est routé dans un lien virtuel en fonction de critères soit statiques (par exemple : utilisation du lien MPLS pour la voix et du lien Internet pour les données), soit dynamiques (bande passante disponible, latence maximale[6], taux de pertes de paquets…). Le SD-WAN permet d'attribuer la bande passante aux applications en ayant le plus besoin, selon des critères choisis en amont[7].
À cause de l'absence de normalisation sur la classification applicative et le routage applicatif, cette phase est propriétaire, d'où l'absence d'interopérabilité entre les solutions des constructeurs[8]. De plus, pour assurer la continuité et la symétrie de ce routage sur l'ensemble du réseau, les implémentations utilisent un système d'overlay pour limiter la dépendance avec l'infrastructure physique du réseau[9].
Intégrer l’interconnexion avec les environnements Cloud
modifierLes sites possédant un accès Internet peuvent accéder par un tunnel sécurisé directement à des environnements Cloud (AWS, Azure...), de plus en plus présents dans les réseaux d’entreprise, sans passer par un site passerelle.
Permettre un contrôle et un déploiement centralisés
modifierLa supervision du réseau et le management des tunnels et du routage sont centralisés sur un orchestrateur. L’administrateur réseau y accède depuis une interface sans avoir à configurer les équipements réseau un par un. En outre l'interface peut proposer des services additionnels (service chaining, sécurité...).
Sécurité
modifierLes solutions SD-WAN doivent inclure une protection des données sur le réseau suffisamment performantes pour garantir l’étanchéité des liaisons entre les utilisateurs et le service des applications Cloud qu’ils seront amenés à utiliser.
Des services de sécurité basique comme des pare-feux, de la segmentation de réseau, des VPN et des ACL sont disponibles dans la plupart des offres de SD-WAN. Puis via des services de NFV, des applications de sécurité plus importantes sont mises à disposition, comme par exemple, des antivirus et antimalware, des services de Data Loss Prevention (DLP), de Secure Web Gateway (SWG), un service de Cloud Access Security Broker (CASB) qui lui-même contient des pare-feux d’application Web (WAF) et des services d’authentification.
Les services de sécurité SD-WAN suivent majoritairement le modèle de sécurité dit Zero Trust, qui vise à ne faire confiance à personne par défaut. Ce mécanisme permet une étanchéité et un cloisonnement des données en se focalisant directement sur les accès aux applications plutôt qu’au niveau du réseau. Ceci est mis en place avec une nouvelle approche des restrictions d'accès vers les applications.
Optimisation et performance d'application
modifierL’utilisation d’un réseau SD-WAN ne doit pas affecter les performances des applications cloud mises à disposition sur celui-ci. Les différentes solutions proposées par les entreprises sur le marché mettent en avant les optimisations qui découlent du SaaS qui permettent une réduction des pertes de paquets, de la latence et de fluctuation du signal.
Les entreprises font également l'éloge des optimisations des protocoles TCP, HTTP et SSL, ainsi que des technologies de compression et déduplication visant à réduire le trafic réseau et les envois de données inutiles. Ceci étant couplé avec un système de mise en cache et d’optimisation de la latence afin de garantir une qualité de service et une expérience utilisateur optimale.
Fonctionnalités opérationnelles
modifierLes différentes solutions SD-WAN devraient toutes pouvoir garantir une gestion simple et efficace des utilisateurs et appareils connectés sur le réseau entreprise.
Pour ce faire, une centralisation des paramètres utilisateurs et appareils sur un contrôleur unique dans le réseau est nécessaire. Ce contrôleur pourra facilement ajouter ou supprimer des données de configurations pour un utilisateur/appareil. Il est également nécessaire qu’il dispose d’une liste des applications visibles sur le cloud ainsi qu’un état du réseau.
La solution devrait également permettre l’ajout d’une branche avec une politique de zero-touch administrator, c’est-à-dire, aucune action de l’administrateur sur les fichiers de configurations ne devrait être nécessaire lors de l’ajout ou du retrait d’une branche de réseau dans l’entreprise.
Facilité de déploiement
modifierLa simplicité et la rapidité du déploiement d’un SD-WAN sont des facteurs extrêmement importants dans l’étude des solutions de cette technologie.
De par la nature hétérogène des réseaux d’entreprise et des réseaux WAN, les solutions SD-WAN se doivent de pouvoir être mises en place avec une variété d'options pour la compatibilité entre hardware et software afin de permettre une transition vers le cloud sans problème. Les différents liens de connectique étant également hétérogènes (Ethernet, LTE et autres), il est important que ceux-ci soient intégrés dans le déploiement de manière fluide et efficace.
Scalabilité
modifierLe SD-WAN, doit pouvoir être déployé sur des réseaux à grande et petite échelle. Il se doit d’être simple d’utilisation et automatisé peu importe l’échelle du réseau, tout en pouvant prendre en charge des réseaux plus complexes et en étant rapide à déployer et à gérer.
Acteurs
modifierLes éditeurs
modifierIls s’adressent aux grossistes et distributeurs dans chaque pays afin de livrer en masse leurs logiciels. À l’exception de clients grands-comptes, les clients finaux achètent leurs solutions par l’intermédiaire de revendeurs ou d’intégrateurs.
Il existe aujourd'hui de nombreux éditeurs proposant une solution de Sd-Wan (ex : Ekinops, Sayse, Palo-Alto Cloud Genix, Vmware VeloCloud, Riverbed, Cisco Viptela, Fortinet, Versa-Networks, NacXwan, ...)[11].
Les intégrateurs
modifierIls s’adressent à des clients finaux en intégrant des solutions d’un ou plusieurs éditeurs dont ils assurent la commercialisation et la maintenance. Les opérateurs télécoms traditionnels ou alternatifs sont des intégrateurs de solutions tierces (exemples en France : Orange, SFR, Bouygues télécom, ...).
Les opérateurs SD-WAN nationaux ou internationaux
modifierIls s’adressent à des clients finaux ou partenaires en assurant l’infogérance de leur propre solution logicielle SD-WAN, ainsi que la gestion de toutes les liaisons de télécommunications filaires et sans fils. Le plus souvent « Pure Players » SD-WAN, ils agissent sur des territoires dans lesquels ils ont des accords télécoms (ex : Telerys Communication en France, Sayse en Europe et Aryaka dans le monde entier, ...).
Notes et références
modifier- Yves Pellemans, « SD-WAN : évolution, révolution, disruption ? », sur globalsecuritymag.fr, (consulté le )
- (en) Michael Cooney, « SD-WAN - What it means for enterprise networking, security, cloud computing », sur Network World, (consulté le )
- (en) Michael Vizard, « Gartner Report Highlights Different Vendor SD-WAN Strategies », sur sdxcentral, (consulté le )
- « Qu'est-ce qu'un SD-WAN ? | WAN défini par le logiciel (SD-WAN) », sur www.ibm.com (consulté le )
- (en) « SD-WAN: The Killer App For Enterprise SDN? », networkcomputing.com, (consulté le )
- (en) « How to address WAN jitter issues for real-time applications », networkworld.com, (consulté le )
- Thomas Desrues, « Réseau MPLS-VPN : il est temps de passer au SD-WAN », sur Informatique magazine, (consulté le )
- (en) « Adopting a Multi-Vendor SD-WAN Strategy | No Jitter », sur www.nojitter.com (consulté le )
- Juniper, Présentation du SD-WAN pour l'entreprise (lire en ligne), p. 7
- (en) FOREST Jonathan, SINGH Naresh, LERNER Andrew and ZENG Evan, « Critical Capabilities for WAN Edge Infrastructure » , (consulté le )
- (en) « SD-Wan Providers » (consulté en )