Le SD-WAN est une approche qui permet de séparer la couche underlay (couche de transport) de la couche overlay (couche applicative). Dans cet article, découvrez les bénéfices de ce réseau qui devient de plus en plus indispensable.
Le WAN (Wide Area Network) est un réseau qui permet de faire des connexions sur un large espace géographique, telles que des régions ou des pays. Grâce à ce réseau, les entreprises ont la possibilité de couvrir plusieurs sites, même si séparés de centaines de kilomètres.
Selon la définition de Gartner, le SD-WAN (Software Defined WAN) se positionne comme une solution de remplacement des réseaux WAN traditionnels. C’est une approche qui permet de séparer la couche underlay (couche de transport) de la couche overlay (couche applicative). Cette technologie dissocie les usages du moyen de communication.
Dans le SD-WAN, la méthode d’accès (MPLS, Internet…) et le média utilisé (fibre, cuivre, 4G, 5G…) redeviennent un moyen de transport et non une fin en soi. Ainsi, le contrôle et la gestion des flux sont séparés de la partie matérielle, ce qui permet une adaptation fine du transport des applications suivant les usages et le type de média disponible.
Est-ce le réseau du futur ? L’année dernière déjà, 43% des sociétés ayant entre 250 et 5000 collaborateurs et au minimum 4 sites avaient pour stratégie la mise en place d’une architecture SD-WAN (source : étude Sapio Research).
Avec la connectivité des sites distants au cloud et leur sécurisation comme enjeu majeur, le SD-WAN devient vite indispensable : les entreprises ont besoin d’améliorer l’accès à leurs applications cloud.
En outre, les entreprises ont aussi besoin de solutions :
Avec le SD-WAN, l’objectif est de reprendre la main sur son réseau et sa sécurité et de ne plus être lié à un acteur unique.
La société reprend la main sur sa sécurité, le routage de ses flux, l’utilisation de son WAN et l’ajustement de celui-ci à ses nouveaux usages.
Cette reprise en main de sa sécurité et de son réseau permet une réelle adaptation aux besoins des utilisateurs et des métiers et évite les temps contractuels de modification existants avec un opérateur télécom.
Avec l’adoption massive des services cloud par les entreprises (Office 365 par exemple), l’un des intérêts majeurs du SD-WAN est le « local Internet breakout », autrement dit le fait d’utiliser un accès au cloud directement depuis Internet sans passer par le site central et/ou le MPLS.
Les avantages de cette approche sont multiples :
Le revers de la médaille est qu’il faut alors déporter la sécurité avancée qui était effectuée en datacenter soit dans le cloud (dans le cadre d’une approche SASE), soit sur les sites distants. Un traditionnel firewall stateful en datacenter n’est plus suffisant dans ce type d’architecture.
Il est nécessaire de mettre en place des solutions SD-WAN permettant au minimum d’avoir un contrôle applicatif (firewall applicatif) et, suivant la politique de sécurité de la société, avoir des fonctionnalités UTM complémentaires.
Les besoins d’accès aux applications cloud peuvent évoluer très rapidement et ils peuvent être différents suivant les typologies de sites (site de production, site de ventes, site de R&D, siège social…).
La sécurité doit alors être gérée de manière agile pour accompagner les besoins des utilisateurs mais aussi de façon centralisée afin de garantir une sécurité globale de l’architecture.
Les avantages du SD-WAN sont multiples. La sécurité est facilitée via une gestion au niveau des agences et au niveau réseau (notamment au niveau de la redondance et de la facilité de déploiement des liens underlay).
Les avantages du SD-WAN :
Initialement, le SD-WAN était souvent opposé au MPLS. S’il est vrai que dans beaucoup de cas le SD-WAN peut remplacer le MPLS, il existe certains usages (notamment liés à des applications critiques) où le MPLS a toujours son rôle à jouer.
Dans ces cas, le MPLS devient une des couches de transport du réseau SD-WAN et la gestion overlay permet de décharger le MPLS des applications ne nécessitant pas son utilisation.
Pour ces applications moins critiques ou à destination du cloud, un réseau de transport mieux adapté et souvent moins onéreux est préconisé.
Dans le cadre d’un réseau MPLS classique, les fonctionnalités de sécurité sont centralisées : soit chez l’opérateur pour un accès Internet avec « évasion » en cœur du réseau MPLS, soit au sein du datacenter de l’entreprise.
La mise en place d’une architecture SD-WAN modifie cette approche. L’utilisation de liens Internet en complément de liens MPLS implique forcément la mise en place de sécurité directement sur les sites distants ou dans le cloud selon une approche SASE.
Dans le premier, le CPE SD-WAN se doit au minimum d’avoir des fonctionnalités de firewall stateful et être capable de monter des tunnels VPN IPSEC. Dans le second cas, le CPE SD-WAN ne sert qu’à sélectionner les liens WAN et à renvoyer les flux qui le nécessitent vers une plateforme de sécurité cloud type SASE.
Le SD-WAN étant multiple, les domaines de compétences nécessaires pour son étude, son déploiement et son exploitation le sont aussi.
Pour faire de son projet SD-WAN une réussite, il est nécessaire d’avoir accès à des compétences réseaux (avec notamment une très bonne maîtrise des protocoles de routage), des compétences sécurité et des compétences télécom.
De nombreuses sociétés souscrivent des services centralisés chez leur opérateur, notamment des services liés à l’utilisation de la voix sur IP (Centrex, Trunk SIP, IPBX).
Ces services doivent être source d’attention dès le début d’un projet SD-WAN car si l’entreprise souhaite les garder, leurs impacts sur l’architecture et le déploiement SD-WAN ne sont pas neutres.
A la genèse d’un projet d’architecture SD-WAN, le souhait énoncé est souvent la reprise en main de son réseau WAN (visibilité et contrôle), mais ce souhait est souvent confronté à la complexité de mise en œuvre de celui-ci.
Dans la plupart des cas, des compétences externes (pas toujours les mêmes suivant les cas) sont nécessaires à toutes ou parties des étapes du projet.