SD-WAN, la flexisécurité appliquée aux telecoms ?

Categories: [pro]

La « flexisécurité » appliquée aux telecoms ?

Certes le terme de flexisécurité est le plus souvent employé dans le domaine du droit du travail. Pourtant il trouve dans le monde des telecoms en général -et de l’interconnexion des données intersites (VPN) en particulier- une illustration et un echo particulier.

En effet, aujourd’hui la plupart des entreprises recherchent précisément à améliorer la flexibilité dans la gestion de leur réseau. Cela est rendu possible notamment par le recours à des accès Internet "banalisés" en complément des traditionnelles solutions de VPN (MPLS) : la solution consiste à « décharger » les liens sécurisés et privés en captant le trafic à destination d’Internet et en le routant vers des solutions de type Box ADSL/4G/FTTH. On parle de « local breakout » ou « internet breakout ».

Bien souvent cette approche peut lever une crainte légitime : installer aux cotés de routeurs privés des « box internet ouvertes » ne constitue-t-il pas un risque de « cheval de Troie » vers mon réseau ?

C’est ainsi que la volonté de concilier flexibilité et sécurité trouve sa parfaite illustration dans les récentes solutions dites de « WAN hybrides » ou « SD-WAN ».

Les limites des solutions actuelles

Aujourd’hui la majorité des entreprises raccordent leurs sites au travers d’un réseau data privé, pour lequel la technologie la plus répandue est le VPN MPLS. Cette technologie est éprouvée, pas très chère, permet d’assurer une étanchéité des flux (privatisation des échanges) et apporte la capacité à prioriser les flux (exemple : la visio ou la téléphonie sur IP sont traitées prioritairement aux échanges de mails).

Bien que très répandue, cette technologie n’est pas exempte de critiques. En voici les plus fréquentes :

• L’ajout d’un nouveau site est très long : la couche MPLS ajoute en effet un élément de complexité supplémentaire. Pour connecter un nouveau site, il faut non seulement déployer un lien (DSL ou Fibre), mais également un routeur préconfiguré selon des modèles pré-définis. Ce n’est pas tout à fait « plug&play ».

• Il est couteux et compliqué d’augmenter les débits : quand un site est éligible au mieux à la technologie SDSL4 Mbits et que les utilisateurs se plaignent de lenteurs, les possibilités d’amélioration sont très réduites (les éligibilités SDSL au-delà de 4Mbits ne sont pas si fréquentes, et la fibre entreprise FTTO est plus onéreuse)

• La technologie MPLS permet certes de prioriser les flux, mais par protocoles IP et pas par applications. Les flux transportés dans les réseaux VPN évoluent assez vite, et les paramétrages de priorisation ne sont pas toujours modifiés. Le cas typique est celui de l’entreprise qui a décidé de consacrer une classe de service pour les échanges de mails internes, puis a migré vers une solution de mails dans le cloud (comme Office365), sans pour autant modifier ses classes de services MPLS. En conséquence, son flux mail a disparu (puisque Office365 peut être assimilé à du flux Internet), mais le paramétrage de priorisations MPLS n’a pas été modifié, lui.

• Il est plus difficile de changer d’opérateur : opter pour un nouvel opérateur MPLS signifie coordonner et synchroniser la migration de la totalité des sites en un minimum de temps. Du fait de l’interconnexion des sites entre eux, cette opération peut s’avérer fastidieuse, ce qui amène certaines entreprises à y renoncer, même si leur opérateur en place ne leur donne pas entière satisfaction.

En quoi les solutions de WAN hybrides apportent une flexi-sécurité qui répond à ces problématiques ?

Les solutions de WAN hybrides consistent à compléter les liens MPLS en place par des accès "banals" avec un bon rapport qualité-prix, même si ces accès tiers n’apportent a priori ni engagement de qualité de service, ni priorisation des flux.

L’exemple typique consiste à adjoindre un simple accès ADSL (de type BOX) à une prise MPLS SDSL 2 Mbits déjà en place. Et ces 2 accès peuvent tout à fait provenir de 2 opérateurs différents. Un boitier d’hybridation est connecté simultanément aux 2 accès, et va jouer un rôle de « répartiteur dynamique des flux », prenant en compte en temps réel l’état des liaisons et les souhaits de priorité de l’entreprise.

Reprenons les critiques faites à MPLS et voyons en quoi cette solution « hybride » traite les objections :

• Ajouter un nouveau site plus vite : il « suffit » de disposer d’un accès Internet pour démarrer une activité. Cet accès pouvant être une box 4G, on peut imaginer le scénario suivant : lundi prochain, je connecte le site avec une box4G et mon boitier hybride, et je commande en parallèle un accès SDSL 2Mbits MPLS. Cet accès SDSL sera opérationnel dans quelques semaines, et le moment venu cet accès sera ajouté à mon boitier WAN hybride. En attendant, mon site est bien opérationnel dès lundi.

• Moins couteux d’augmenter les débits : si les utilisateurs de mon site "plafonné" à 4Mbits SDSL se plaignent, j’y ajoute un Internet ADSL ou 4G ou FTTH. Les utilisateurs vont avoir un débit démultiplié. L’accès supplétif sera peu onéreux, par contre il faut prendre en compte dans l’adéquation financière le cout du boitier d’hybridation proprement dit (et son installation, sa maintenance, etc).

• En pilotant moi-même mes choix de priorisations d’application sur une console extranet ("orchestrateur"), je suis certain de pouvoir être à jour des besoins réels de mes utilisateurs. Les solutions de WAN hybrides permettent en effet non seulement d’auditer les flux qui transitent par les boitiers, applications par applications, mais également de leur donner des priorités.

• En permettant de combiner plusieurs accès de plusieurs opérateurs différents, je suis moins tributaire de mon opérateur MPLS « historique ». En effet en complétant les accès MPLS en place par des accès secondaires, je peux progressivement envisager le remplacement desdits accès, sans être dans une sorte de « course contre la montre contractuelle ».

disclaimer note: ces propos n'engagent que leur auteur (qui travaille chez un opérateur B2B )