SD-WAN et Secure Service Edge pour la Défense et les déploiements ultra-sécurisés

Versa Networks un leader du marché SASE SD-WAN, SD-Security et SASE , avec plus de 120 partenaires fournisseurs de services dans le monde entier. Aux États-Unis, les principaux partenaires Versasont Verizon, Lumen et Comcast. Versa le plus grand nombre de déploiements SD-WAN à l'échelle mondiale. Versa assure la mise en réseau et la sécurité de nombreux réseaux mondiaux critiques dans les secteurs de la finance, de la banque, de l'énergie, des satellites, du transport maritime, de la vente au détail, des soins de santé et d'autres secteurs verticaux où la priorité est accordée à la performance optimale des applications pour les utilisateurs, face à tous types de pannes et de problèmes de sécurité.

Lire le livre blanc ici ou Télécharger le PDF.

 
 

Résumé

Ce livre blanc décrit comment les SASE Versa , ZTNA et SASE sont parfaitement adaptées aux réseaux satellitaires, maritimes et fédéraux qui fonctionnent dans des conditions défavorables et DDIL (Denied, Disrupted, Intermittent, and Limited) et qui utilisent souvent les architectures basées sur le protocole HAIPE (High Assurance Internet Protocol Encryption) de la NSA ou CSfC (Commercial Solutions for Classified).

Section 1 : Gartner a classé Versa le quadrant supérieur droit du Magic Quadrant (MQ) SD-WAN.

Le rapport MQ de Gartner comprenait deux sous-catégories dans lesquelles Versa n° 1 :

  1. Capacités critiques
  2. Networks mondiaux complexes de grande envergure. Gartner a également publié un rapport sur les entreprises disposant des SASE les plus avancées. Versa en tête du rapport Gartner SASE , proposant 13 des 15 technologies identifiées par Gartner.

NSS Labs a testé Versa , NGFW (pare-feu nouvelle génération) et NGIPS (système de prévention des intrusions nouvelle génération). L'efficacité du produit pour bloquer les attaques était très élevée, tandis que le coût par Mbps sécurisé était le plus bas parmi les équipementiers.

Versa combiné ses fonctionnalités natives SD-WAN, SD-Security et Multi-Cloud pour offrir une solution SASE Multi-Cloud cohérente et complète.

Voici quelques-unes des principales différences entre Versa les autres solutions :

  • Intégration du SD-WAN, du SD-Security et du Multi-Cloud dans une plateforme unique.
  • Un seul volet de gestion pour SD-WAN, SD-Security et Multi-Cloud.
  • Gestion unifiée des politiques - Une seule pile logicielle (VOS) pour le site, le nuage SASE et la périphérie.
  • Protection contre les menaces basée sur un système multi-défense et remédiation en temps quasi réel.
  • Accès au réseau sans confiance basé sur l'utilisateur, le groupe, la posture de l'appareil, l'application, le contenu, la géolocalisation, le score de confiance de l'entité, l'étiquette de sécurité associée à la source, et bien d'autres facteurs.
  • Prise en charge de l'accès privé sécurisé, de la passerelle Web sécurisée (SWG), des services Cloud Access Security Broker, de la prévention des pertes de données (DLP), de l'isolation du navigateur à distance (RBI), de l'analyse du comportement de l'entité utilisateur, de la sécurité basée sur l'IA/ML, de l'analyse dynamique des logiciels malveillants à l'aide du Sandboxing, et de la gestion unifiée des menaces de nouvelle génération.
  • VANI (AIOps) pour la détection des anomalies, la prédiction du trafic, la corrélation des événements et le chatbot (Verbo).
  • Gestion optimale du trafic et accélération SaaS à l'aide SASE Versa Engineered (TELS : Traffic Engineering Link State).
  • Instanciation dynamique des locataires et des passerelles virtuelles - mise à l'échelle automatique et intelligence du réseau pour répondre aux demandes de capacité en temps réel.
  • SD-WAN Lite pour les clients SASE et les routeurs tiers.
  • Architecture Single Pass - performances inégalées à grande échelle.
  • Multi-tenance hiérarchique et contrôle d'accès granulaire basé sur les rôles (RBAC).
  • Enchaînement polyvalent de fonctions de réseau virtuelles (VNF) et de fonctions de réseau physiques (PNF).
  • Soutien à l'analyse des données massives (big data).
  • Intégration avec de multiples sources de renseignements en matière de sécurité, y compris des outils de connaissance de la situation cybernétique, pour une diffusion mondiale rapide et une mise en œuvre en temps réel.

La figure 2 présente un tableau périodique des fonctionnalités de routage, SD-WAN et de services sécurisés en périphérie Versa . Grâce à ces capacités, Versa ses clients d'effectuer les opérations suivantes :

  • Déployer un réseau SD-WAN et SASE mondial sécurisé et conçu en fonction du trafic, capable d'offrir la meilleure expérience applicative aux utilisateurs et aux appareils IoT, indépendamment de leur localisation et de celle des applications. C'est ce que montre la Figure 1.
  • Accès au réseau sans confiance basé sur l'utilisateur, le groupe, la posture de l'appareil, l'application, le contenu, la géolocalisation, le score de confiance de l'entité, l'étiquette de sécurité associée à la source, tout champ de couche 3 à couche 7 du paquet et l'heure de la journée.
  • Protection contre les menaces basée sur un système multi-défense et remédiation en temps quasi réel.
Versa Access Service Edge Fabric
Figure 1
Versa - Ensemble de fonctionnalités SASE SD-WAN + Security Service Edge) leader sur le marché
Figure 2
 

Section 2 : Caractéristiques, utilisation et facteurs de différenciation

Construit à l'aide de protocoles basés sur les normes de l'IETF : Basé sur BGP/MPLS VPN et Ethernet VPN, avec l'utilisation d'un SAFI privé (Sub Address Family Identifier) pour transporter les informations liées au SD-WAN telles que :

  • Gestion des clés
  • Accéder à l'état et au statut du circuit
  • Informations relatives à la NAT
  • Informations sur l'accord de niveau de service pour les applications critiques

Gestion des clés et des certificats

  • Véritable émulation d'IKE sans utilisation d'IKE.
  • Le secret d'une succursale n'est jamais transmis sur le réseau et peut être renouvelé toutes les quatre minutes.
  • Un secret partagé unique est dérivé algorithmiquement entre chaque paire de branches.
  • Capacités avancées de gestion des certificats.
  • Prise en charge de OCSP, CMPv2, SCEP et ACME
  • Prise en charge de la gestion des clés externes à l'aide du protocole KMIP (Key Management Interoperability Protocol) pour les déploiements nécessitant des clés générées par le locataire/client.

Capacité à être déployé dans des environnements DDIL (Denied, Disrupted, Intermittent, and Limited)

  • Trois images VM - L'ensemble minimum d'images pour fonctionner de manière totalement déconnectée est de trois. Toutes les mises à jour des images de sécurité sont prises en charge dans un environnement complètement déconnecté.
  • Licence gérée de manière centralisée par Versa . Versa est l'une des trois images sur lesquelles la licence est chargée et ne nécessite pas de connexion à Internet.
  • Versa est l'une des images. Elle offre aux opérateurs une visibilité complète sur la sécurité, la connectivité et les performances.
  • Single Pane of Management ainsi que le provisionnement centralisé, la gestion, la surveillance, la visibilité et l'analyse des Big Data pour tous les services SASE (SD-WAN, SSE) et multi-cloud.
  • Solution SD-WAN la plus largement déployée par les fournisseurs de services par satellite, le transport maritime et la navigation. Prise en charge d'un maximum de 14 domaines de transport sous-couche par nœud. Il peut accueillir simultanément plusieurs sous-couches telles que SATCOM (LEO, MEO, GEO), MPLS privé, LTE/5G, fibre terrestre, large bande et autres.

Pilotage polyvalent du trafic, conditionnement du trafic et optimisation avancée du TCP

  • Orientation du trafic en fonction des champs de la couche 3 et de la couche 7 du paquet, de l'application de la couche 7, de la catégorie d'URL, de l'utilisateur, du groupe, de la posture de l'appareil, du score de confiance de l'entité, de la géolocalisation, de l'étiquette de sécurité associée à la source, de l'heure de la journée, et d'autres facteurs.

    • Sans tunnel, sur la base du flux. Versa prendre en charge le SD-WAN sans tunnel lorsque cela est nécessaire. Veuillez vous reporter à la section «Solution SD-WAN sans tunnelVersa ».
    • Le chiffrement peut être activé ou désactivé pour chaque flux.
  • Versa est parfaitement adaptée et offre la meilleure expérience d'application pour les réseaux satellitaires, maritimes et fédéraux qui exploitentle protocole HAIPE(High Assurance Internet Protocol Encryption) de la NSA ou les architecturesCSfC(Commercial Solutions for Classified) susceptibles d'être confrontées à des conditions DDIL et défavorables. Veuillez vous reporter à la section «Versa pour les solutions classifiées ».
  • Le routage du trafic repose sur la visibilité des caractéristiques dynamiques du chemin de bout en bout, telles que la perte de paquets, la latence et la gigue. Cette fonctionnalité offre des accords de niveau de service (SLA) applicatifs de bout en bout plus précis et plus résilients. Tous les autres fournisseurs sélectionnent le meilleur chemin en fonction du SLA vers le saut immédiatement suivant. Seul Versa acheminer le trafic en fonction des métriques du chemin de bout en bout.
  • Conditionnement du trafic à l'aide de FEC, de réplication et d'autres mesures, qui se déclenchent automatiquement lorsque l'ANS se dégrade et s'arrêtent lorsque l'ANS s'améliore. Ces capacités sont disponibles pour tous les types de trafic, et pas seulement pour la voix et la vidéo.
  • Prise en charge de l'optimisation TCP avancée et des algorithmes de contrôle de la congestion tels que BBR, Hybla, SACK, Recent Acknowledgement.

Capacités QoS complètes Versa prend en charge des capacités QoS très complètes (Layer3-QoS-Policy, AppQoS Policy, Policer, Marking, HQoS avec 4K shapers et 64 000 files d'attente) et des capacités de gestion du trafic SD-WAN. Sur la base des champs de couche 3 à couche 7 du trafic reçu, notamment l'application, la catégorie d'URL et la posture de l'appareil, une classe de transfert (FC) et une priorité de perte de paquets (PLP) sont associées à un flux de trafic. La FC et la PLP hiérarchisent et planifient le trafic au sein d'une plateforme VOS. De plus, la réécriture des en-têtes internes et externes et le façonnage de la sortie sont effectués en fonction de la FC et de la PLP. Ainsi, le trafic de mission est prioritaire par rapport au trafic moins critique au sein d'un Versa ainsi que lors de la transmission.

Très bien adapté aux déploiements de réseaux dans les friches industrielles.

  • Prise en charge de tous les principaux protocoles des couches 2 et 3 (IPv4 et IPv6).
  • Prise en charge de l'IPv4, de l'IPv6 et de la double pile pour les VRF, ainsi que du transport sous-couche.

Prise en charge de topologies complexes telles que Full Mesh, Hub and Spoke, Partial Mesh, Spoke-Hub-Hub-Spoke, Hub-Controllers, Controller behind the hub, et bien d'autres encore.

Infrastructure de modèles très riche : Versa une infrastructure de modèles très riche qui supporte une hiérarchie de modèles. Grâce à cette hiérarchie, il est possible de définir des politiques globales avec des politiques spécifiques ayant une priorité plus élevée. Cela rend la gestion globale de la configuration simple et efficace.

Un groupe de dispositifs est un ensemble de dispositifs ayant des configurations similaires mais non identiques. Un groupe de dispositifs est généralement associé à un modèle de dispositif et à un ensemble de modèles de service de différents types, tels que le modèle de service de sécurité, le modèle de service de pilotage d'application, le modèle de service de qualité de service, le modèle de service général, etc. Un groupe de dispositifs peut être associé à plusieurs modèles de services de sécurité qui sont appliqués dans un ordre spécifié par l'opérateur. En outre, il peut y avoir des modèles de service de sécurité spécifiques aux appareils.

CGNAT pour v4 et v6 NAPT-44, DNAT-44, Dynamic NAT-44, Basic-NAT-44, Twice Basic NAT-44, NPT66, NAT64, MAP-E

Plusieurs options pour le provisionnement sans contact.

CPE universel pour héberger plusieurs VNF. Chaînage de services entre les VNF hébergés et les PNF physiques externes.

 
 

Section 3 : Solution SD-WAN sans tunnel Versa

Versa propose Versa une solution SD-WAN sans tunnel, qui rend le réseau plus évolutif et plus efficace en termes de bande passante, éliminant la fragmentation des paquets et améliorant la sécurité. Parmi les cas d'utilisation qui ont motivé cette solution sans tunnel, on peut citer les réseaux satellitaires, maritimes et fédéraux qui exploitent le protocole HAIPE (High Assurance Internet Protocol Encryption) de la NSA ou les architectures basées sur les solutions commerciales pour les informations classifiées (CSFC).

Versa propose Versa une solution SD-WAN sans tunnel, qui rend le réseau plus évolutif et plus efficace en termes de bande passante, éliminant la fragmentation des paquets et améliorant la sécurité. Parmi les cas d'utilisation qui ont motivé cette solution sans tunnel, on peut citer les réseaux satellitaires, maritimes et fédéraux qui exploitent le protocole HAIPE (High Assurance Internet Protocol Encryption) de la NSA ou les architectures basées sur les solutions commerciales pour les informations classifiées (CSFC).

Dans le cas de toutes les solutions sans tunnel, le paquet intérieur est divisé en champs mutables et immuables. La figure 3 montre tous les champs communs d'un en-tête IP, d'un en-tête TCP et d'un en-tête UDP. Un sous-ensemble de champs immuables dans un en-tête IP, un en-tête TCP et un en-tête UDP, qui sont invariants pendant la durée d'un flux de 5 tuple, est représenté en bleu. Toutes les solutions associent une forme de cookie, d'étiquette, d'identifiant de flux ou une paire (source-port, destination-port) aux champs immuables.

Ce cookie/étiquette/flow-id/paire de ports est communiqué avec l'ensemble du paquet de charge utile depuis un CPE SD-WAN émetteur (SDWAN-CPE1) vers un CPE SD-WAN récepteur (SDWAN-CPE2) au moins une fois. Une fois qu'un CPE SDWAN distant (par exemple, SDWAN-CPE2) a appris le mappage de l'émetteur (par exemple, SDWAN-CPE1) et le communique à l'expéditeur, l'expéditeur (SDWAN-CPE1) encode son flow-id dans l'en-tête SDWAN et ignore tous les champs immuables du paquet de données utiles dans le trafic envoyé de SDWAN-CPE1 à SDWAN-CPE2. Veuillez noter que dans la solution Versa , un CPE SD-WAN expéditeur ignore de nombreux autres champs IP, TCP et UDP du paquet de données utiles lorsqu'il envoie du trafic à un CPE SD-WAN pair. Ceux-ci ne sont pas décrits dans ce livre blanc.

Champs d'en-tête immuables
Champs d'en-tête immuables
Figure 3

Le flux détaillé des paquets dans le cas de la solution Versa est décrit à la figure 4, où le client 5 (C5) communique avec le serveur 7 (S7) via SD-WAN CPE-1 et SD-WAN CPE-2.

  1. L'étape 1 montre un paquet allant de Client5 à Serveur7 avec Payload1 de C5 à S7.
  2. À la réception de ce paquet pour un nouveau flux à 5 tuples, le CPE-1 SD-WAN valide son paquet, crée une session C5 vers S7, choisit FlowId51 pour ce flux et exécute tous les services riches de couche 3 à couche 7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.). Les informations relatives à tous les services sont envoyées à Versa .
  3. Ensuite, comme indiqué à l'étape 3, le CPE1 chiffre le paquet reçu de C5 à S7, code son identifiant de flux local (CPE1-To-CPE2 FlowId51) dans l'en-tête UDP extérieur et envoie le paquet au CPE2 SD-WAN le long du meilleur chemin sous-couche pour l'application à laquelle ce paquet appartient.
  4. À la réception de ce paquet provenant du CPE-1 pour un nouveau flux à 5 tuples, le CPE-2 SD-WAN crée une session, enregistre le FlowId51 qu'il a reçu du CPE1 et qu'il utilisera dans les futurs paquets, déchiffre et valide le paquet, attribue son propre FlowId22 à ce flux et exécute tous les services riches de couche 3 à couche 7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.). Les informations relatives à tous les services sont envoyées à Versa . Ceci est illustré à l'étape 4.
  5. Le CPE2 transmet le paquet décrypté du client5 au serveur7. C'est ce que montre l'étape 5.
  6. L'étape 6 montre la réponse du serveur 7 au client 5 avec la charge utile 2.
  7. Lorsqu'il reçoit ce paquet S7 à C5, le CPE-2 SD-WAN le valide, exécute tous les services riches de la couche 3 à la couche 7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.), chiffre le paquet reçu de S7 à C5, code son identifiant de flux local (CPE2-To-CPE1 FlowId22) dans l'en-tête UDP extérieur et envoie le paquet au CPE1 SD-WAN le long du meilleur chemin sous-couche pour l'application à laquelle ce paquet appartient. SD-WAN CPE2 informe également SD-WAN CPE1 qu'il a appris le FlowId51 que CPE1 a alloué à ce flux. Ceci est illustré à l'étape 7.
  1. À l'étape 8, le CPE1 du SD-WAN met à jour l'état de la session en indiquant que le CPE2 a pris connaissance de son FlowId51 et qu'il est prêt à recevoir des paquets codés avec le FlowId51.
  2. Après avoir effectué tous les services nécessaires sur le paquet décrypté, le CPE1 transmet le paquet avec la charge utile 2 du serveur 7 au client 5. Cette opération est illustrée à l'étape 9.
  3. Après avoir reçu le paquet avec Payload3 de Client5 à Servier7 (étape 10), SD-WAN CPE1 valide et exécute tous les services. Ensuite, il crée une nouvelle charge utile qui ne contient que les champs mutables du paquet Client5 vers Serveur7 avec la charge utile 3. Il crypte cette charge utile, code son identifiant de flux local (CPE1-To-CPE2 FlowId51) dans l'en-tête UDP extérieur et envoie le paquet au CPE2 du SD-WAN le long du meilleur chemin sous-couche pour l'application à laquelle ce paquet appartient. SD-WAN CPE1 informe également SD-WAN CPE2 qu'il a appris le FlowId22 que CPE2 a alloué à ce flux. Ceci est illustré à l'étape 11.
  4. À l'étape 12, le CPE2 du SD-WAN met à jour l'état de la session en indiquant que le CPE1 a pris connaissance de son FlowId22 et qu'il est prêt à recevoir des paquets codés avec le FlowId22.
  5. Après avoir effectué tous les services nécessaires sur le paquet décrypté, le CPE2 transmet le paquet avec la charge utile 3 du client5 au serveur7. Cette opération est illustrée à l'étape 13.
  6. Après avoir reçu le paquet avec Payload4 de Server7 to Client5 (étape 14), SD-WAN CPE2 valide et exécute tous les services. Ensuite, il crée une nouvelle charge utile qui ne contient que les champs mutables du paquet Server7 to Client5 avec Payload4. Il crypte cette charge utile, code son identifiant de flux local (CPE2-To-CPE1 FlowId22) dans l'en-tête UDP extérieur et envoie le paquet au CPE1 du SD-WAN le long du meilleur chemin sous-couche pour l'application à laquelle ce paquet appartient. Ceci est illustré à l'étape 15.
  7. Après avoir effectué tous les services nécessaires sur le paquet décrypté, le CPE1 transmet le paquet avec la charge utile 4 du serveur 7 au client 5. Cette opération est illustrée à l'étape 16.
Flux de paquets
Flux de paquets SD-WAN
Figure 4

Dans la solution sans tunnel Versa, le premier paquet provenant d'un nœud SD-WAN d'entrée vers un nœud SD-WAN homologue et vice versa toutes les informations, tandis que tous les paquets suivants provenant de l'une ou l'autre direction ne transporteront que les métadonnées ainsi que la charge utile, ce qui nous permet de prendre en charge des charges utiles plus importantes ou de conserver l'utilisation de la bande passante en fonction de notre cas d'utilisation.

Par rapport aux technologies sans tunnel existantes sur le marché, la solution innovante sans tunnel Versaprésente des avantages significatifs, dont certains sont énumérés ci-dessous.

  • Versa ne nécessite l'ouverture que d'un seul port, « 4790 » ou « 4500 », au sein de la sous-couche SD-WAN, contrairement aux autres technologies qui requièrent plusieurs ports.
  • La solution Versa n'invalide pas les numéros de séquence des paquets reçus et n'ajoute aucune métadonnée aux paquets TCP SYN, ce qui pourrait ne pas être acceptable pour les pare-feu et les dispositifs de transit. Par conséquent, contrairement à d'autres solutions, les paquets TCP n'ont pas besoin d'être transformés en paquets UDP.
  • Versa prend en charge une infrastructure de modèles très riche qui permet de configurer de manière centralisée un groupe d'appareils avec des configurations similaires, sans qu'elles soient nécessairement identiques. Ainsi, les informations relatives aux locataires, aux services et aux politiques de sécurité n'ont pas besoin d'être intégrées dans les métadonnées.
  • La solution Versa n'est pas affectée par la présence de dispositifs NAT et de pare-feu dans les réseaux de transport sous-jacents. La Versa ne nécessite pas de paquets de maintien de connexion pour les sessions utilisateur individuelles, de sorte que les sessions NAT n'expirent pas.
  • Une Versa (VOS) utilise une variante de la gestion des défaillances de connectivité/Y.1731 (CFM : IEEE 802.1ag) pour surveiller tous les chemins possibles vers d'autres branches avec lesquelles elle doit communiquer directement. Un chemin est défini par l'adresse de transport d'une branche vers une adresse de transport d'une autre branche. VOS utilise cette variante de CFM pour créer une base de données contenant des informations sur (la latence, la gigue, la perte de paquets et le délai aller-retour) vers d'autres sites SD-WAN via divers circuits d'accès. Cette mesure SLA est effectuée par (classificateur de transport, chemin de transport), où les classificateurs de transport sont DSCP et MPLS EXP. Étant donné que le SLA offert par un chemin de transport sous-jacent dépend principalement du (classificateur de transport, chemin de transport), la Versa est beaucoup plus évolutive que la mesure SLA active de bout en bout pour les sessions utilisateur individuelles. Versa charge la surveillance passive des sessions individuelles.
  • Versa prend en charge la protection contre la relecture conforme à l'IETF, le vecteur d'initialisation, HMAC et pratiquement tous les chiffrements. Les CPE Versa ne nécessitent pas de HMAC basé sur le temps (qui exige que les CPE SD-WAN aient des horloges synchronisées avec précision) pour détecter une relecture de paquets.
  • La tunnellisation peut être activée ou désactivée pour chaque flux entre deux sites.
  • Le chiffrement peut être activé ou désactivé pour chaque flux.
  • Versa prend en charge la commutation très efficace des chemins de transport sous-jacents et les modifications des adresses de transport des CPE SD-WAN.
  • Versa repose sur des protocoles et des mécanismes qui alimentent depuis de nombreuses années les réseaux critiques. La Versa s'adapte très bien à tout réseau existant et permet une migration progressive vers le SD-WAN.
  • Cette solution SD-WAN sans tunnel fonctionne de manière cohérente et en conjonction avec l'ensemble des fonctionnalités SD-WAN les plus performantes et les plus complètes Versa, telles que le pilotage des applications basé sur l'application Layer7, l'utilisateur, le groupe, la catégorie d'URL, la posture de l'appareil, le score de confiance de l'entité et d'autres facteurs, des capacités polyvalentes de conditionnement du trafic utilisant FEC, la réplication et le stripping, des algorithmes avancés de contrôle de la congestion TCP tels que BBR, Hybla, RACK, Tail-Loss Probes et SACK, et l'état des liaisons SD-WAN Traffic Engineering.
 
 

Section 4 : Interopérabilité avec d'autres solutions SD-WAN sans tunnel

Le SD-WAN crée un réseau privé virtuel qui ne dépend pas du transport, qui tient compte des applications et qui prend en charge la gestion et l'approvisionnement centralisés. Il est essentiel qu'une solution SD-WAN puisse s'insérer facilement dans un réseau brownfield et permettre une migration progressive des réseaux MPLS ou DMVPN existants vers le réseau SD-WAN.

Comme expliqué ci-dessus, dans le cas de toutes les solutions sans tunnel, le paquet intérieur est divisé en champs mutables et immuables. Toutes les solutions associent une forme de cookie, d'étiquette, d'identifiant de flux ou une paire (source-port, destination-port) aux champs immuables. Ce cookie/étiquette/identifiant de flux/paire de ports est communiqué au moins une fois avec l'ensemble du paquet de données utiles d'un CPE SD-WAN émetteur (SDWAN-CPE1) à un CPE SD-WAN récepteur (SDWAN-CPE2). Une fois qu'un CPE SDWAN distant (par exemple, SDWAN-CPE2) a appris le mappage de l'expéditeur (par exemple, SDWAN-CPE1) et l'a communiqué à l'expéditeur, l'expéditeur (SDWAN-CPE1) code son flow-id dans l'en-tête SDWAN et saute tous les champs immuables du paquet de données utiles dans le trafic envoyé de SDWAN-CPE1 à SDWAN-CPE2.

En raison des différentes manières (identifiants de flux, combinaison de ports source et destination extérieurs) que les différents fournisseurs ont choisies pour encoder les données immuables, ils ne peuvent interopérer qu'aux frontières (NNI : Network to Network Interface) des réseaux SDWAN des différents fournisseurs. Cela s'explique notamment par le fait que la gestion des clés, le codage des paquets, le cryptage/décryptage, le plan de contrôle (propagation des itinéraires), le plan de gestion (configuration et surveillance) et le plan de visibilité (analyse des big data) sont très différents d'un fournisseur à l'autre.

Deux fournisseurs peuvent interopérer en utilisant des protocoles basés sur l'IETF tels que E-BGP, IPsec basé sur IKE et TWAMP. Deux fournisseurs peuvent également ajouter la capacité de décoder et d'encoder les formats du plan de données de l'autre.

 
 

Section 5 : Versa pour solution classifiée

La figure 5 décrit comment Versa fournit ses capacités SD-WAN et ZTNA complètes dans les réseaux fédéraux qui exploitent le protocole HAIPE (High Assurance Internet Protocol Encryption) de la NSA ou des architectures basées sur les solutions commerciales pour les informations classifiées (CSfC). Ces déploiements comportent généralement plusieurs couches, où un réseau noir composé de plusieurs SATCOM, MPLS, cellulaires (4G/5G) et autres sous-couches assure le transport vers le réseau rouge.

Versa pour solution classifiée
Figure 5
  1. Les CPE 2-1 et CPE 2-5 sont des CPE Versa situés aux extrémités du tissu noir amorphe et omniprésent. Ces CPE offrent des fonctionnalités SD-WAN et SD-Security complètes. Dans l'exemple présenté, le tissu noir comporte trois réseaux sous-jacents : SatCom-Meo, SatCom-Geo et Private MPLS.
  2. Les CPE 1-1 et CPE 1-5 sont des CPE Versa situés aux extrémités des sites rouges 1 et 2. Ces CPE SD-WAN offrent également des fonctionnalités SD-WAN et SD-Security complètes. Ces CPE peuvent recevoir des données top secrètes ou des données non critiques. Le trafic sortant des sites rouges est généralement chiffré par des HAIPE.
  3. Un ordinateur portable avec l'adresse 10.1.12.100 sur le site rouge-1 à gauche de l'écran. Figure 5 souhaite communiquer des informations critiques top secrètes à un point de terminaison dont l'adresse IP est 10.50.22.100, situé sur le site rouge 2, comme le montre l'étape 1 de la figure. En fonction de la configuration de l'utilisateur, le SD-WAN CPE-1-1 effectue les opérations suivantes lorsqu'il reçoit ce trafic.
    • Classifier le paquet en fonction de l'application, de la catégorie d'URL, de l'utilisateur, du groupe, de la posture de l'appareil, du score de confiance de l'entité, de la balise du groupe de sécurité et de tout champ de la couche 3-7 du paquet reçu(informations de classification).
    • Le point de code DiffServ du paquet sortant de la CPE-1-1 du SD-WAN à partir de son interface WAN (avec l'adresse IP 192.168.11.101) serait déterminé soit par une table de correspondance qui utilise les informations de classification, soit en copiant le DSCP du paquet reçu, soit par une combinaison des deux. Ainsi, les flux critiques et non critiques seraient associés aux DSCP appropriés. C'est ce que montre l'étape 2.
    • Associer un identifiant de flux à ce flux.
    • Chiffrer ou non ce flux.
    • Ensuite, le meilleur transport sous-couche est choisi en fonction des politiques de pilotage du trafic SD-WAN, qui tiennent compte du type d'application et de l'accord de niveau de service offert par les différents chemins sous-couches.
    • Le paquet passe ensuite par l'"ordonnancement et la mise en forme" et est transmis au saut suivant qui appartient à la meilleure sous-couche. C'est ce que montre l'étape 3 de la figure.
  4. Lorsqu'il reçoit ce trafic, HAIPE1 peut choisir de le crypter. HAIPE1 pourrait être configuré pour copier le DSCP du paquet reçu dans l'en-tête extérieur, que HAIPE1 ajouterait. Ceci est illustré à l'étape 4. Ensuite, comme le montre l'étape 5, HAIPE1 encapsulerait le paquet avec un en-tête extérieur et transmettrait le paquet au CPE 2-1.
  5. Lorsqu'il reçoit ce paquet, le CPE 2-1 du SD-WAN, situé à la périphérie du réseau noir, effectue les opérations suivantes :
    • Associer un flow-id approprié
  • Comme indiqué à l'étape 6 de Figure 5Le CPE 2-1 détermine la sous-couche appropriée en fonction des règles de politique de direction du trafic SD-WAN configurées qui dépendent des éléments suivants.
    • Source-IP (adresse IP 172.16.1.1 du HAIPE source), Destination-IP (adresse IP 172.16.5.5 du HAIPE destination), et le DSCP du paquet reçu.
    • Préférence configurée pour les différents réseaux sous-jacents pour cette classe de trafic
    • Le SLA en temps réel observé sur les différents réseaux sous-jacents (MPLS, Satcom-Meo, SatCom-Geo dans cet exemple).
  • Conditionne le trafic en utilisant une combinaison de correction d'erreurs et de réplication de paquets en fonction de l'accord de niveau de service (SLA) offert par les transports sous-jacents.
  • Effectue le dépouillement des paquets si nécessaire.
  • Applique des algorithmes avancés de contrôle de la congestion tels que BBR et Hybla en cas de réception d'un trafic TCP non crypté.
  • Le paquet passe ensuite par l'"ordonnancement et la mise en forme" et est transmis au CPE 2-5 du SD-WAN distant en utilisant la meilleure couche inférieure. C'est ce que montre l'étape 7 de la figure.
  1. Le SD-WAN CPE 2-5 à la périphérie du réseau noir ferait ce qui suit :
    • Supprime l'en-tête SD-WAN.
    • Rétablit le paquet HAIPE1 vers HAIPE2.
    • Effectue le traitement des flux et la remédiation nécessaires si la FEC et la réplication des paquets ont été activées.
    • Achemine le trafic vers HAIPE2 comme indiqué à l'étape 8 de la figure 5.
  2. HAIPE2 décrypte le trafic et le transmet au SD-WAN CPE 1-5 à la périphérie du site rouge-2, comme indiqué à l'étape 9.
  3. Le CPE 1-5 du SD-WAN à la périphérie du site rouge-2 effectuerait les opérations suivantes :
    • Retirer l'en-tête du SD-WAN.
    • Restaurer le paquet Endpoint-1 vers Endpoint-2
    • Effectuer le traitement des flux et la remédiation nécessaires si la FEC et la réplication des paquets ont été activées.
    • Acheminer le trafic vers l'extrémité 2 comme indiqué à l'étape 10 de la figure 5.

Les paquets non critiques, par exemple de 192.168.2.2 sur le site rouge-1 à 192.168.6.6 sur le site rouge-2, sont également dirigés de manière appropriée en fonction de la configuration de la gestion et du conditionnement du trafic.

 
 

Section 6 : Versa Time Monitor et Versa

Le moniteur Versa temps Versa fournit des informations en temps réel sur tous les services réseau, SD-WAN et de sécurité configurés sur chaque Versa . Il fournit également des informations relatives à l'état (CPU, mémoire, bande passante sur chacune des interfaces, charge) des instances VOS.

Versa est une solution Big Data qui analyse les journaux et les événements et fournit des rapports, des analyses et des commentaires puissants à Versa . Elle s'intègre nativement à des produits tiers de reporting de données et de SIEM, tels que HP ArcSight, Splunk, IBM QRadar, LogRhythm et Elastic Search. Les VOS™ des succursales fournissent en continu Versa des informations de surveillance relatives aux liens, aux chemins réseau, aux événements de sécurité, aux services, aux applications, etc. De plus, chaque service du VOS™, tel que le pare-feu de nouvelle génération, l'IDS/IPS, le filtrage d'URL, le CASB, le SWG, le DLP, le RBI, l'UEBA, le proxy DNS et d'autres modules, génère des messages de journalisation agrégés et au niveau du flux qui sont consommés par la plateforme Versa .

Toutes ces informations peuvent être exploitées pour des fonctions telles que la planification des capacités et l'analyse sécuritaire. Les figures 6, 7, 8 et 9 fournissent quelques exemples d'informations disponibles à l'aide de Versa .

Versa envoie ces journaux à Versa via un bus KAFKA. Versa peut suivre et signaler les événements anormaux de toutes les entités, telles que les utilisateurs, les ordinateurs portables, les téléphones, les appareils IoT, etc. Si un utilisateur ou un appareil IoT présente un comportement anormal, son score de confiance d'entité (ECS) est dégradé. Cet ECS est utilisé dans différents types de politiques, telles que la politique de contrôle d'accès de sécurité et la politique de surveillance du trafic. Si l'ECS d'une entité est dégradé, il est publié à tous les abonnés (tels que les passerelles Versa ) à l'aide du service Versa . Les passerelles Versa peuvent appliquer des mesures correctives en temps réel lorsque l'ECS est dégradé.

Exemple d'écran Versa 1
Figure 6
Exemple d'écran Versa 2
Figure 7
Exemple d'écran Versa 3
Figure 8
Exemple d'écran Versa 4
Figure 9
 
 

Section 7 : Résumé

La solution Versa , ZTNA et Secure Services Edge fournit un SASE SD-WAN et SASE mondial sécurisé et optimisé pour le trafic, qui offre la meilleure expérience applicative aux utilisateurs et aux appareils IoT, quel que soit leur emplacement ou celui des applications, y compris dans des conditions de DDIL et des conditions défavorables. Versa est parfaitement adaptée aux réseaux satellitaires, maritimes et fédéraux qui exploitent des architectures basées sur le protocole HAIPE (High Assurance Internet Protocol Encryption) de la NSA ou sur les solutions CSfC (Commercial Solutions for Classified).

Versa