Les 3 points de sécurité à prendre en compte sur un SD-WAN
Un SD-WAN servant de passerelle entre différents flux internes et plusieurs réseaux externes, il est essentiel que soient pris en compte à son niveau l’authentification des équipements, ainsi que le chiffrement des données comme des informations de contrôle.
Par définition, les interfaces du SD-WAN (Software-Defined WAN) donnent l’accès à des réseaux externes, souvent publics, et ceux-ci sont susceptibles d’être attaqués. La difficulté supplémentaire pour assurer ici une bonne protection, est que les flux qui circulent au travers du SD-WAN sont excessivement variés. Applications métiers critiques, accès à des services cloud, navigation sur Internet depuis les bureaux ou encore trafic généré par les visiteurs connectés en Wifi, se côtoient alors qu’ils ont tous des impératifs de fonctionnement et de sécurité différents.
La sécurité est un aspect essentiel du SD-WAN. Mais les entreprises peinent à obtenir des informations sur ce sujet quand elles évaluent les offres du marché. Et pour cause : les fournisseurs préfèrent aborder les notions de sécurité dans une offre plus globale d’architecture en multi-cloud.
1/ Authentifier les équipements
Classiquement, une DSI qui équipe son réseau d’un switch ou d’un routeur s’attend à une installation simple, rapide, par un technicien autorisé qui accède à l’armoire des connexions LAN et WAN pour brancher l’équipement. Rien que cette première démarche n’est plus envisageable dans le cas du SD-WAN.
La dernière chose que l’on souhaite est de se retrouver avec un équipement voyou qui se fait physiquement passer pour un dispositif central et scanne tout le trafic du réseau interne. En matière de SD-WAN, le déploiement suppose de configurer le système de passerelle pour séparer l’interne de l’externe et pour le connecter au dispositif d’onboarding de tous les appareils en réseau. Selon les experts, l’injection de bugs à cause d’erreurs humaines est à ce stade bien plus fréquente que ce que les DSI veulent bien reconnaître.
Ainsi, le prestataire qui installe le SD-WAN doit configurer le blocage du trafic des nouveaux appareils qui ne se sont pas encore authentifiés. L’authentification peut se faire via un système de sécurité tiers, ou juste par l’indication d’un numéro de série. Attention toutefois à ne pas créer à ce stade des blocages de trafic légitimes.
2/ Chiffrer les flux de données
Après l’authentification pour valider les accès, entre en jeu la sécurité des données véhiculées. Celles-ci doivent être chiffrées, par SSL, par TLS ou encore via des tunnels VPN IPsec.
Le point important à considérer est que le chiffrement ne s’active pas simplement en cochant une case. Les fournisseurs proposent différentes méthodes de chiffrement et d’échange de clés. Plus le délai de mise à jour des clés (leur « rotation ») est court, meilleure sera la sécurité, car un pirate aura moins de temps pour détourner une clé.
Selon une enquête menée par les analystes du Tolly Group, ces délais de rotation varient du tout au tout entre les fournisseurs. Certains d’entre eux proposent des dispositifs supplémentaires, comme la méthode Diffie-Hellman qui autorise l’échange de clés sur des canaux qui ne sont pas eux-mêmes protégés.
Les fournisseurs tâchant d’avoir toujours un coup d’avance sur les hackers, les fonctions de chiffrement sont celles qui évoluent le plus souvent.
3/ Sécuriser les messages de contrôle
Dernier point de sécurité à prendre en compte, la console d’administration elle-même du SD-WAN. C’est sur elle que sont centralisés tous les messages de contrôle du réseau, ceux qui proviennent des routeurs et des switches.
Il est important que ce trafic-là soit aussi chiffré, car il constitue une cible privilégiée des hackers. Grâce à lui, un intrus malveillant peut intercepter, détourner et compromettre l’administration et les paramètres du SD-WAN. La majorité des fournisseurs chiffrent ce trafic mais, attention, pas tous.
Ces différents points de sécurité étant pris en compte, les prochaines étapes sont plus classiquement des règles de firewall et même de protection contre les malwares, qu'il est possible de définir au niveau du SD-WAN.
Concernant la microsegmentation du réseau, il est important de définir des règles pour chacun des flux, au moins pour le trafic des applications métier et celui des invités.