forcepoint.com

IntroductionLes entreprises devenant de plus en plus distribuées, les moyens traditionnels de connecter les succursales et les travailleurs distants aux ressources dont ils ont besoin ne parviennent pas à suivre le rythme de la migration des applications et des données vers le cloud. Les réseaux en étoile construits sur des connexions MPLS internes et des VPN externes ne peuvent pas fournir de manière rentable les performances nécessaires aux applications modernes et hautement interactives du cloud, comme Microsoft Office 365 et la vidéoconférence. Alors que l'utilisation des lignes MPLS se poursuivra probablement pour les applications commerciales spécialisées, de nombreuses organisations migrent vers des architectures à accès direct à Internet. En combinant les liaisons haut débit avec les technologies de réseaux étendus à définition logicielle (SD-WAN), les entreprises et les agences gouvernementales offrent de nouveaux niveaux de connectivité à leur personnel, afin d'accélérer les initiatives de transformation numérique et d'entreprise telles que : 

→ Adoption du cloud (applications SaaS tierces et applications internes sur les plateformes cloud)

→ Capacité pour les applications utilisant fortement la vidéo

→ Consolidation des infrastructures lors des fusions et acquisitions

→ Agilité et réduction des coûts pour ouvrir des succursales plus rapidement et plus efficacement

Si le SD-WAN rend possibles de nouvelles formes de collaboration et d'efficacité commerciale, il augmente considérablement le nombre de points d'entrée que les voleurs et les hackers peuvent exploiter – élargissant ainsi la surface d'attaque de l'entreprise. De plus, les défenses informatiques que les organisations avaient déployées pour protéger leurs sièges sociaux et les sites distants au trafic redirigé ne sont pas forcément adaptées dans un monde distribué et essentiellement basé dans le cloud. En bref, déployer un SD-WAN exige une nouvelle approche de la sécurité.

Les défis de sécurité découlant du SD-WANÀ l'origine, la sécurité des entreprises était effectuée sous la forme d'une pile d'appareils situés dans un bureau central – souvent des appareils comme des firewalls, des passerelles web et des courtiers en sécurité d'accès au cloud. Ces appareils défendaient le siège social, ainsi que les succursales et les utilisateurs distants qui se connectaient par son intermédiaire au monde extérieur.

Avec la migration des applications et des données vers le cloud, les organisations distribuées ont commencé à s'éloigner des technologies de mise en réseau redirigées comme les MPLS pour se tourner vers l'Internet haut débit et le SD-WAN pour connecter les bureaux distants. Les utilisateurs distants ont rapidement emboîté le pas, en utilisant directement les applications cloud sans se connecter au réseau interne via les VPN. Cela améliore considérablement les performances, mais cela implique en échange de ne plus être protégé par les défenses traditionnelles des passerelles.

Les trois types de sécurité nécessaires à tout SD-WAN

Résumé des solutions

Firewall/IPSPasserelle Web

CASB

SaaS(O�ce 365, etc.)

Cloud public(AWS, Azure)

Travailleurdistant

MPLS VPNQG/Data Center

Filiale

Web

2

forcepoint.comLes trois types de sécurité nécessaires à tout SD-WAN

forcepoint.com/contact

Les SD-WAN renforcent la confidentialité, pas la sécuritéLa plupart des solutions SD-WAN cryptent le trafic envoyé entre les sites distants et le cloud. Cela permet de protéger la confidentialité en empêchant l'espionnage du trafic sur le réseau, mais ne protège pas contre les agressions. Pour utiliser un SD-WAN en toute sécurité, les entreprises doivent : 

→ Empêcher les intrus d'accéder aux réseaux distribués

→ Empêcher les logiciels malveillants de s'infiltrer via des pages web ou du contenu téléchargé

→ Contrôler quelles applications cloud peuvent être utilisées

Ces trois types de défense – sécurité du réseau, sécurité du web et sécurité de l'accès au cloud – sont essentiels à un SD-WAN.

Sécurité réseauLes firewalls constituent généralement la première ligne de défense pour toute organisation distribuée. À l'origine, ils se contentaient de contrôler l'accès en fonction de la provenance et de la destination du trafic, mais les firewalls nouvelle génération (NGFW) intègrent une prévention avancée des intrusions et des défenses contre les logiciels malveillants, qui fonctionnent sur tous les ports et tous les protocoles. De nombreuses solutions SD-WAN dépendent du déploiement d'un firewall distinct sur chaque site. Les approches Secure SD-WAN plus récentes, dont Forcepoint

a été le pionnier, combinent le réseau SD-WAN avec une sécurité NGFW complète dans un seul boîtier, ce qui élimine la nécessité d'acheter, de déployer et de gérer deux couches technologiques distinctes. De nouvelles solutions de sécurité, telles que Forcepoint Dynamic Edge Protection (DEP), poussent cette consolidation encore plus loin, en remplaçant les appareils sur site par des firewalls en tant que service cloud.

Web SecurityLes deux choses les plus courantes que les gens font lorsqu'ils sont connectés à Internet sont de naviguer le web et d'utiliser des applications cloud. Les passerelles web sécurisées (SWG) ont été créées à l'origine pour que les entreprises empêchent leur personnel d'accéder à des sites web inappropriés depuis leur travail, et pour prouver aux auditeurs que les politiques d'utilisation acceptable étaient appliquées. Au fil du temps, lorsque les gens ont commencé à utiliser le contenu des sites web, les passerelles ont commencé à analyser les fichiers téléchargés pour détecter et bloquer les logiciels malveillants. Aujourd'hui, de nombreuses passerelles web jouent également un rôle dans la prévention des pertes de données, en examinant les fichiers qui vont dans l'autre direction – pour empêcher l'envoi accidentel ou intentionnel de données sensibles. Si les passerelles web ont commencé leur existence en tant qu'appareils, elles sont rapidement passées dans le cloud et sont souvent utilisées dans des environnements informatiques hybrides, où l'application des règles se fait sur place à certains endroits et partout ailleurs, dans le cloud.

Sécurité de l'accès au cloudLes sites web qui permettaient aux gens de stocker et de manipuler des données ont rapidement évolué pour devenir de véritables applications cloud. Mais avec la dispersion des données sur Internet, contrôler les applications pouvant être utilisées est devenu un point de sécurité essentiel pour les entreprises modernes. Les CASB (Cloud Access Security Brokers) ont commencé en tant qu'outils de surveillance des applications cloud utilisées par le personnel – souvent à l'insu de l'entreprise. Connue sous le nom de Shadow IT, l'utilisation d'applications cloud non sanctionnées est devenue une épée à double tranchant : elle accélère la productivité des individus, tout en mettant potentiellement en danger les données sensibles. Les nouvelles générations de CASB offrent désormais la possibilité d'appliquer des politiques de protection des données, en prenant automatiquement des mesures telles que le cryptage ou la mise en quarantaine des données sensibles dans les applications sanctionnées comme Microsoft Office 365. Bien que le CASB soit parfois déployé sous forme d'appareil, il s'agit le plus souvent d'un service issu du cloud.

Firewall/IPSPasserelle Web

CASB

SaaS(O�ce 365, etc.)

Cloud public(AWS, Azure)

Travailleurdistant

SD-WAN

QG/Data Center

Filiale

Web

3

forcepoint.comLes trois types de sécurité nécessaires à tout SD-WAN

forcepoint.com/contact

© 2020 Forcepoint. Forcepoint et le logo FORCEPOINT sont des marques déposées par Forcepoint. Toutes les autres marques citées dans ce document appartiennent à leurs propriétaires respectifs. [Three-Types-of-Security-for-SD-WAN-Solution-Brief-FR-FR] 20Apr2020

La prochaine étape : unifier la sécurité des réseaux, du web et des accès au cloud avec SASEMême lorsque la sécurité des réseaux, du web et de l'accès au cloud est fournie sous forme de service, la plupart des entreprises cherchent à réduire le nombre de systèmes et de prestataires avec lesquels elles doivent traiter. Le fait d'avoir des produits disparates pour les sites et les travailleurs éloignés crée des ouvertures pour les assaillants, coûte trop cher et met à rude épreuve des ressources informatiques limitées. En conséquence, les défenses qui étaient auparavant fournies par un mélange hétéroclite de produits individuels se rassemblent sous la forme d’une nouvelle approche que Gartner appelle Secure Access Service Edge (SASE). Les solutions SASE, telles que Forcepoint Dynamic Edge Protection (DEP), offrent un moyen tout-en-un de fournir une sécurité à jour en permanence pour le web, le réseau et pour les applications en tant que service cloud.

Le DEP regroupe des fonctions de sécurité avancées telles que le firewall, la prévention des intrusions, l'inspection du contenu web, l'analyse des logiciels malveillants, le filtrage des URL, l'accès aux applications, etc. en un seul service cloud unifié. Cette approche convergente élimine les lacunes et les redondances afin d'empêcher les assaillants de s'introduire dans les entreprises à partir d'Internet, depuis de contenus web ou d'applications cloud - de manière cohérente, quel que soit l'endroit où les personnes travaillent.

Les solutions SASE comme Forcepoint DEP fournissent une protection complète de l'accès au web, au réseau et au cloud de manière cohérente dans toutes les filiales, quel que soit le produit SD-WAN qu'elles utilisent. Grâce à cette approche, les anciens réseaux MPLS peu performants peuvent être remplacés par des connexions haut débit rapides et peu coûteuses, de manière sûre, efficace et sans mettre l'entreprise en danger.

Protectiondynamique des

périmètres

SaaS(O�ce 365, etc.)

Cloud public(AWS, Azure)

TravailleurdistantWiFi

QG/Data Center

Filiale

SD-WAN

Web