Les trois façons de connecter son SI au cloud via un SD-WAN
Selon le degré de partenariat noué entre le fournisseur de SD-WAN, le fournisseur de cloud et l’opérateur Internet, il est possible de se connecter en VPN, en Back-to-Back ou via un PoP.
Connecter un SD-WAN à Microsoft Azure, AWS et Google Cloud nécessite de prendre en compte des facteurs particuliers, notamment les méthodes de connexion, les performances des liens et la sécurité. Bien qu’il existe des options d’accès standard, presque tous les principaux fournisseurs de SD-WAN proposent un certain degré d’intégration au cloud, qu’il s’agisse d’un accès direct, via une passerelle locale, ou via un VPN.
Classiquement, une entreprise a deux options pour relier son SI aux ressources d’un fournisseur de cloud. D’abord, elle peut utiliser un VPN pour passer par un lien Internet public. Tous les principaux fournisseurs de cloud sont compatibles avec cet accès, qu’ils proposent d’ailleurs sous la forme d’un service agrémenté de capacités de chiffrement et de firewall pour garantir la sécurité des transmissions. L’autre option est d’utiliser des liaisons spécialisées. Il s’agit généralement de s’interconnecter avec un hébergeur de datacenter local, via le protocole de niveau 3 MPLS, voire via celui de niveau 2 VPLS (Virtual Private LAN Service) et d’acheter à cet hébergeur une connexion privée vers tel ou tel cloud.
Tous ces protocoles – VPN, MPLS et VPLS – sont assez simples et standard. Un SD-WAN peut tous les manipuler, avec l’ajout de fonctions plus sophistiquées et plus complètes. Les avantages du SD-WAN sont la hiérarchisation du trafic, la sécurité, le provisionnement et le déploiement automatiques. Et ces avantages fonctionnent aussi bien sur les liens publics que sur les liens privés.
Reste qu’il existe trois façons de mettre en application les accès : le VPN par Internet, l’accès back-to-back, ou la connexion privée depuis le PoP de votre fournisseur d’accès. Et ils dépendent des investissements que votre fournisseur de solution SD-WAN a consenti à faire.
Le VPN par Internet. Il s’agit du scénario le plus simple. Dans ce cas de figure, la solution de SD-WAN embarque un dispositif de VPN qui crée classiquement une connexion privée vers le fournisseur de cloud. Accéder à Azure, AWS ou Google Cloud via un VPN est simple et immédiatement opérationnel ; il n’est pas nécessaire d’attendre trois mois qu’un lien privé MPLS ou VPLS soit construit.
L’accès Back-to-back. Certains fournisseurs de cloud ont consenti à s’intégrer avec certaines solutions de SD-WAN. Dans le scénario Back-to-Back, la passerelle SD-WAN installée sur le site de l’entreprise discute avec d’autres passerelles de ce même fournisseur SD-WAN et qui, elles, sont installées dans les datacenters des fournisseurs de cloud.
En plus de connecter directement vos serveurs locaux au fournisseur de cloud, les fournisseurs de SD-WAN, qui se prévalent d’être nativement intégrables à un cloud en particulier, offrent un certain nombre d’autres fonctionnalités. Citons un reporting complet sur l’utilisation du cloud, avec analyse de tout facteur préjudiciable, comme la perte de paquets ou l’augmentation de la latence. Ce scénario est utilisable aussi bien avec un lien public qu’avec une connexion privée achetée par l’entreprise.
La connexion privée via un PoP. Dans ce scénario, l’entreprise n’a plus à acheter de liens privés. Le fournisseur de SD-WAN vous propose d’acheminer les données entre votre datacenter et un cloud via ses propres liens. En l’occurrence, votre passerelle SD-WAN locale se connecte à une autre passerelle située au niveau du PoP (Point de présence) le plus proche de votre fournisseur d’accès à Internet, puis celle-ci dialogue directement avec troisième passerelle installée chez le fournisseur de cloud, via un lien privé.
Par rapport à l’accès simple par VPN, ce scénario présente l’intérêt d’offrir de meilleures performances et une meilleure sécurité, puisque la communication ne circule sur des liens publics que localement, entre votre site et le PoP le plus proche. Reste que votre fournisseur de SD-WAN doit avoir noué un accord non seulement avec votre fournisseur de cloud, mais aussi avec votre fournisseur d’accès à Internet.
Notez toutefois que la localisation de votre point de présence importe généralement peu. À partir du moment où un accord existe avec votre fournisseur d’accès à Internet, ses infrastructures pair-à-pair se chargent de vous connecter à la passerelle SD-WAN qu’elles hébergent, même si celle-ci ne se trouve pas physiquement dans le PoP le plus proche de votre site.