SD-WAN et Secure Service Edge pour la Défense et les déploiements ultra-sécurisés

Versa Networks est un chef de file du marché en matière de technologie SD-WAN, SD-Security et SASE , avec plus de 120 fournisseurs de services partenaires dans le monde entier. Aux États-Unis, les principaux partenaires de Versa sont Verizon, Lumen et Comcast. Versa possède le plus grand nombre de déploiements SD-WAN au niveau mondial. La solution Versa est responsable de la mise en réseau et de la sécurité de nombreux réseaux critiques mondiaux dans les secteurs financier, bancaire, énergétique, satellitaire, maritime, de la vente au détail, des soins de santé et d'autres secteurs verticaux où la meilleure performance de l'utilisateur à l'application face à tous les types de défaillances et de sécurité est l'objectif principal.

Lire le livre blanc ici ou Télécharger le PDF.

 
 

Résumé

Ce livre blanc décrit comment les solutions Versa SD-WAN, ZTNA et SASE sont très bien adaptées aux réseaux satellites, maritimes et fédéraux qui fonctionnent dans des conditions défavorables et DDIL (Denied, Disrupted, Intermittent, and Limited) et qui tirent souvent parti du High Assurance Internet Protocol Encryption (HAIPE) de la NSA ou d'architectures basées sur des solutions commerciales pour la classification (CSfC).

Section 1 : Gartner a reconnu Versa dans la partie supérieure droite du SD-WAN Magic Quadrant (MQ).

Le rapport Gartner MQ comprend deux sous-catégories dans lesquelles Versa s'est classée au premier rang :

  1. Capacités critiques
  2. Grands réseaux mondiaux complexes. Gartner a également produit un rapport sur les entreprises ayant le plus de capacités SASE . Versa s'est classée en tête du rapport de Gartner sur les capacités SASE en fournissant 13 des 15 technologies identifiées par Gartner.

NSS Labs a testé Versa SD-WAN, NGFW (Next Generation Firewall) et NGIPS (Next Generation Intrusion Prevention System). L'efficacité du produit à stopper les attaques était très élevée, tandis que le coût du Mbps sécurisé était le plus bas parmi les équipementiers.

Versa a marié ses fonctionnalités SD-WAN, SD-Security et Multi-Cloud natives pour offrir une solution SASE et Multi-Cloud cohérente et complète.

Les principaux éléments qui différencient Versa des autres solutions sont les suivants :

  • Intégration du SD-WAN, du SD-Security et du Multi-Cloud dans une plateforme unique.
  • Un seul volet de gestion pour SD-WAN, SD-Security et Multi-Cloud.
  • Gestion unifiée des politiques - Une seule pile logicielle (VOS) pour le site, le nuage SASE et la périphérie.
  • Protection contre les menaces basée sur un système multi-défense et remédiation en temps quasi réel.
  • Accès au réseau sans confiance basé sur l'utilisateur, le groupe, la posture de l'appareil, l'application, le contenu, la géolocalisation, le score de confiance de l'entité, l'étiquette de sécurité associée à la source, et bien d'autres facteurs.
  • Prise en charge de l'accès privé sécurisé, de la passerelle Web sécurisée (SWG), des services Cloud Access Security Broker, de la prévention des pertes de données (DLP), de l'isolation du navigateur à distance (RBI), de l'analyse du comportement de l'entité utilisateur, de la sécurité basée sur l'IA/ML, de l'analyse dynamique des logiciels malveillants à l'aide du Sandboxing, et de la gestion unifiée des menaces de nouvelle génération.
  • VANI (AIOps) pour la détection des anomalies, la prédiction du trafic, la corrélation des événements et le chatbot (Verbo).
  • Pilotage optimal du trafic et accélération du SaaS à l'aide de la dorsale SASE de Versa Traffic Engineered (TELS : Traffic Engineering Link State).
  • Instanciation dynamique des locataires et des passerelles virtuelles - mise à l'échelle automatique et intelligence du réseau pour répondre aux demandes de capacité en temps réel.
  • SD-WAN Lite pour les clients SASE et les routeurs tiers.
  • Architecture Single Pass - performances inégalées à grande échelle.
  • Multi-tenance hiérarchique et contrôle d'accès granulaire basé sur les rôles (RBAC).
  • Enchaînement polyvalent de fonctions de réseau virtuelles (VNF) et de fonctions de réseau physiques (PNF).
  • Soutien à l'analyse des données massives (big data).
  • Intégration avec de multiples sources de renseignements en matière de sécurité, y compris des outils de connaissance de la situation cybernétique, pour une diffusion mondiale rapide et une mise en œuvre en temps réel.

La figure 2 présente un tableau périodique des fonctions de routage, de SD-WAN et de services sécurisés que Versa prend en charge. En utilisant ces capacités, Versa permet à ses clients de faire ce qui suit :

  • Déployer un réseau SD-WAN et SASE mondial sécurisé et conçu en fonction du trafic, capable d'offrir la meilleure expérience applicative aux utilisateurs et aux appareils IoT, indépendamment de leur localisation et de celle des applications. C'est ce que montre la Figure 1.
  • Accès au réseau sans confiance basé sur l'utilisateur, le groupe, la posture de l'appareil, l'application, le contenu, la géolocalisation, le score de confiance de l'entité, l'étiquette de sécurité associée à la source, tout champ de couche 3 à couche 7 du paquet et l'heure de la journée.
  • Protection contre les menaces basée sur un système multi-défense et remédiation en temps quasi réel.
Versa Secure Access Service Edge Fabric
Figure 1
Versa VOS - Ensemble de fonctionnalités SASE (SD-WAN + Security Service Edge) à la pointe du marché
Figure 2
 

Section 2 : Caractéristiques, utilisation et facteurs de différenciation

Construit à l'aide de protocoles basés sur les normes de l'IETF : Basé sur BGP/MPLS VPN et Ethernet VPN, avec l'utilisation d'un SAFI privé (Sub Address Family Identifier) pour transporter les informations liées au SD-WAN telles que :

  • Gestion des clés
  • Accéder à l'état et au statut du circuit
  • Informations relatives à la NAT
  • Informations sur l'accord de niveau de service pour les applications critiques

Gestion des clés et des certificats

  • Véritable émulation d'IKE sans utilisation d'IKE.
  • Le secret d'une succursale n'est jamais transmis sur le réseau et peut être renouvelé toutes les quatre minutes.
  • Un secret partagé unique est dérivé algorithmiquement entre chaque paire de branches.
  • Capacités avancées de gestion des certificats.
  • Prise en charge de OCSP, CMPv2, SCEP et ACME
  • Prise en charge de la gestion des clés externes à l'aide du protocole KMIP (Key Management Interoperability Protocol) pour les déploiements nécessitant des clés générées par le locataire/client.

Capacité à être déployé dans des environnements DDIL (Denied, Disrupted, Intermittent, and Limited)

  • Trois images VM - L'ensemble minimum d'images pour fonctionner de manière totalement déconnectée est de trois. Toutes les mises à jour des images de sécurité sont prises en charge dans un environnement complètement déconnecté.
  • La licence est gérée de manière centralisée par Versa Director. Versa Director est l'une des trois images où la licence est chargée et n'a pas besoin d'être connectée à l'internet.
  • Versa Analytics est l'une des images. Il offre aux opérateurs une visibilité totale de la sécurité, de la connectivité et de la performance.
  • Single Pane of Management ainsi que le provisionnement centralisé, la gestion, la surveillance, la visibilité et l'analyse des Big Data pour tous les services SASE (SD-WAN, SSE) et multi-cloud.
  • Solution SD-WAN la plus largement déployée par les fournisseurs de services par satellite, le transport maritime et la navigation. Prise en charge d'un maximum de 14 domaines de transport sous-couche par nœud. Il peut accueillir simultanément plusieurs sous-couches telles que SATCOM (LEO, MEO, GEO), MPLS privé, LTE/5G, fibre terrestre, large bande et autres.

Pilotage polyvalent du trafic, conditionnement du trafic et optimisation avancée du TCP

  • Orientation du trafic en fonction des champs de la couche 3 et de la couche 7 du paquet, de l'application de la couche 7, de la catégorie d'URL, de l'utilisateur, du groupe, de la posture de l'appareil, du score de confiance de l'entité, de la géolocalisation, de l'étiquette de sécurité associée à la source, de l'heure de la journée, et d'autres facteurs.

    • Sans tunnel sur une base de flux. Versa peut prendre en charge le SD-WAN sans tunnel là où c'est nécessaire. Veuillez vous référer à la section "Solution SD-WAN sans tunnel de Versa".
    • Le chiffrement peut être activé ou désactivé pour chaque flux.
  • La solution Versa est très bien adaptée et fournit la meilleure expérience d'application pour les réseaux satellitaires, maritimes et fédéraux qui utilisent le cryptage de protocole Internet de haute assurance de la NSA(HAIPE) ou des architectures basées sur des solutions commerciales pour la classification(CSfC) qui peuvent être confrontées à des DDIL et à des conditions défavorables. Veuillez vous référer à la section "Versa SD-WAN pour les solutions classifiées".
  • Le pilotage du trafic est basé sur la visibilité des caractéristiques dynamiques du chemin de bout en bout, telles que la perte de paquets, la latence et la gigue. Cette fonction permet d'obtenir des accords de niveau de service (SLA) plus précis et plus résilients pour les applications de bout en bout. Tous les autres fournisseurs sélectionnent le meilleur chemin basé sur le SLA jusqu'au saut suivant immédiat. Seule Versa peut diriger le trafic en fonction des mesures du chemin de bout en bout.
  • Conditionnement du trafic à l'aide de FEC, de réplication et d'autres mesures, qui se déclenchent automatiquement lorsque l'ANS se dégrade et s'arrêtent lorsque l'ANS s'améliore. Ces capacités sont disponibles pour tous les types de trafic, et pas seulement pour la voix et la vidéo.
  • Prise en charge de l'optimisation TCP avancée et des algorithmes de contrôle de la congestion tels que BBR, Hybla, SACK, Recent Acknowledgement.

Capacités complètes de QoS La solution Versa prend en charge des capacités très complètes de QoS (Layer3-QoS-Policy, AppQoS Policy, Policer, Marking, HQoS avec 4K shapers et 64 000 files d'attente) et d'orientation du trafic SD-WAN. En fonction des champs de la couche 3 et de la couche 7 du trafic reçu, y compris l'application, la catégorie d'URL et la position de l'appareil, une classe de transfert (FC) et une priorité de perte de paquets (PLP) sont associées à un flux de trafic. La classe d'acheminement et la priorité de perte de paquets permettent de hiérarchiser et de planifier le trafic au sein d'une plateforme VOS. En outre, les réécritures des en-têtes internes et externes et la mise en forme des sorties sont effectuées sur la base de la CF et de la PLP. Ainsi, le trafic de mission est priorisé par rapport au trafic moins critique au sein d'une appliance Versa ainsi que lors de la transmission.

Très bien adapté aux déploiements de réseaux dans les friches industrielles.

  • Prise en charge de tous les principaux protocoles des couches 2 et 3 (IPv4 et IPv6).
  • Prise en charge de l'IPv4, de l'IPv6 et de la double pile pour les VRF, ainsi que du transport sous-couche.

Prise en charge de topologies complexes telles que Full Mesh, Hub and Spoke, Partial Mesh, Spoke-Hub-Hub-Spoke, Hub-Controllers, Controller behind the hub, et bien d'autres encore.

Infrastructure de modèles très riche : Versa supporte une infrastructure de modèles très riche qui supporte une hiérarchie de modèles. En utilisant cette hiérarchie de modèles, des politiques globales peuvent être définies avec des politiques spécifiques ayant une priorité plus élevée. Cela rend la gestion de la configuration globale simple et efficace.

Un groupe de dispositifs est un ensemble de dispositifs ayant des configurations similaires mais non identiques. Un groupe de dispositifs est généralement associé à un modèle de dispositif et à un ensemble de modèles de service de différents types, tels que le modèle de service de sécurité, le modèle de service de pilotage d'application, le modèle de service de qualité de service, le modèle de service général, etc. Un groupe de dispositifs peut être associé à plusieurs modèles de services de sécurité qui sont appliqués dans un ordre spécifié par l'opérateur. En outre, il peut y avoir des modèles de service de sécurité spécifiques aux appareils.

CGNAT pour v4 et v6 NAPT-44, DNAT-44, Dynamic NAT-44, Basic-NAT-44, Twice Basic NAT-44, NPT66, NAT64, MAP-E

Plusieurs options pour le provisionnement sans contact.

CPE universel pour héberger plusieurs VNF. Chaînage de services entre les VNF hébergés et les PNF physiques externes.

 
 

Section 3 : Solution SD-WAN sans tunnel de Versa

Versa offre également une solution SD-WAN sans tunnel, qui rend le réseau plus évolutif et plus efficace en termes de bande passante, en éliminant la fragmentation des paquets et en améliorant la sécurité. Parmi les cas d'utilisation qui ont motivé cette solution sans tunnel, citons les réseaux satellitaires, maritimes et fédéraux qui utilisent des architectures basées sur le High Assurance Internet Protocol Encryption (HAIPE) de la NSA ou sur les Commercial Solutions for Classified (CSFC).

Versa offre également une solution SD-WAN sans tunnel, qui rend le réseau plus évolutif et plus efficace en termes de bande passante, en éliminant la fragmentation des paquets et en améliorant la sécurité. Parmi les cas d'utilisation qui ont motivé cette solution sans tunnel, citons les réseaux satellitaires, maritimes et fédéraux qui utilisent des architectures basées sur le High Assurance Internet Protocol Encryption (HAIPE) de la NSA ou sur les Commercial Solutions for Classified (CSFC).

Dans le cas de toutes les solutions sans tunnel, le paquet intérieur est divisé en champs mutables et immuables. La figure 3 montre tous les champs communs d'un en-tête IP, d'un en-tête TCP et d'un en-tête UDP. Un sous-ensemble de champs immuables dans un en-tête IP, un en-tête TCP et un en-tête UDP, qui sont invariants pendant la durée d'un flux de 5 tuple, est représenté en bleu. Toutes les solutions associent une forme de cookie, d'étiquette, d'identifiant de flux ou une paire (source-port, destination-port) aux champs immuables.

Ce cookie/label/identifiant de flux/paire de ports est communiqué avec l'ensemble du paquet de données utiles d'un CPE SD-WAN émetteur (SDWAN-CPE1) à un CPE SD-WAN récepteur (SDWAN-CPE2) au moins une fois. Une fois qu'un CPE SDWAN distant (par exemple, SDWAN-CPE2) a appris le mappage de l'expéditeur (par exemple, SDWAN-CPE1) et l'a communiqué à l'expéditeur, l'expéditeur (SDWAN-CPE1) encode son flow-id dans le SDWAN-header et saute tous les champs immuables du paquet de données utiles dans le trafic qui est envoyé de SDWAN-CPE1 à SDWAN-CPE2. Veuillez noter que dans la solution Versa Tunnel-less, un CPE SD-WAN émetteur saute de nombreux autres champs IP, TCP et UDP du paquet de charge utile lorsqu'il envoie du trafic à un CPE SD-WAN homologue. Ces champs ne sont pas décrits dans ce livre blanc.

Champs d'en-tête immuables
Champs d'en-tête immuables
Figure 3

Un flux de paquets détaillé dans le cas de la solution sans tunnel Versa est décrit dans la figure 4, où le client5 (C5) communique avec le serveur7 (S7) par l'intermédiaire du SD-WAN CPE-1 et du SD-WAN CPE-2.

  1. L'étape 1 montre un paquet allant de Client5 à Serveur7 avec Payload1 de C5 à S7.
  2. Lorsqu'il reçoit ce paquet pour un nouveau flux 5-tuple, le CPE-1 SD-WAN valide ce paquet, crée une session C5 à S7, choisit FlowId51 pour ce flux et exécute tous les services riches de la couche 3 à la couche 7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.). Les informations relatives à tous les services sont envoyées à Versa Analytics.
  3. Ensuite, comme indiqué à l'étape 3, le CPE1 chiffre le paquet reçu de C5 à S7, code son identifiant de flux local (CPE1-To-CPE2 FlowId51) dans l'en-tête UDP extérieur et envoie le paquet au CPE2 SD-WAN le long du meilleur chemin sous-couche pour l'application à laquelle ce paquet appartient.
  4. Lorsqu'il reçoit ce paquet du CPE-1 pour un nouveau flux de 5-tuple, le CPE-2 SD-WAN crée une session, enregistre le FlowId51 qu'il a reçu du CPE1 et qu'il utilisera dans les futurs paquets, décrypte et valide le paquet, attribue son propre FlowId22 pour ce flux et exécute tous les services riches de la couche 3 à la couche 7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.). Les informations relatives à tous les services sont envoyées à Versa Analytics. Ceci est illustré à l'étape 4.
  5. Le CPE2 transmet le paquet décrypté du client5 au serveur7. C'est ce que montre l'étape 5.
  6. L'étape 6 montre la réponse du serveur 7 au client 5 avec la charge utile 2.
  7. Lorsqu'il reçoit ce paquet S7 à C5, le CPE-2 SD-WAN le valide, exécute tous les services riches de la couche 3 à la couche 7 (ZTNA, SD-WAN, UTM, CASB, SWG, HQoS, etc.), chiffre le paquet reçu de S7 à C5, code son identifiant de flux local (CPE2-To-CPE1 FlowId22) dans l'en-tête UDP extérieur et envoie le paquet au CPE1 SD-WAN le long du meilleur chemin sous-couche pour l'application à laquelle ce paquet appartient. SD-WAN CPE2 informe également SD-WAN CPE1 qu'il a appris le FlowId51 que CPE1 a alloué à ce flux. Ceci est illustré à l'étape 7.
  1. À l'étape 8, le CPE1 du SD-WAN met à jour l'état de la session en indiquant que le CPE2 a pris connaissance de son FlowId51 et qu'il est prêt à recevoir des paquets codés avec le FlowId51.
  2. Après avoir effectué tous les services nécessaires sur le paquet décrypté, le CPE1 transmet le paquet avec la charge utile 2 du serveur 7 au client 5. Cette opération est illustrée à l'étape 9.
  3. Après avoir reçu le paquet avec Payload3 de Client5 à Servier7 (étape 10), SD-WAN CPE1 valide et exécute tous les services. Ensuite, il crée une nouvelle charge utile qui ne contient que les champs mutables du paquet Client5 vers Serveur7 avec la charge utile 3. Il crypte cette charge utile, code son identifiant de flux local (CPE1-To-CPE2 FlowId51) dans l'en-tête UDP extérieur et envoie le paquet au CPE2 du SD-WAN le long du meilleur chemin sous-couche pour l'application à laquelle ce paquet appartient. SD-WAN CPE1 informe également SD-WAN CPE2 qu'il a appris le FlowId22 que CPE2 a alloué à ce flux. Ceci est illustré à l'étape 11.
  4. À l'étape 12, le CPE2 du SD-WAN met à jour l'état de la session en indiquant que le CPE1 a pris connaissance de son FlowId22 et qu'il est prêt à recevoir des paquets codés avec le FlowId22.
  5. Après avoir effectué tous les services nécessaires sur le paquet décrypté, le CPE2 transmet le paquet avec la charge utile 3 du client5 au serveur7. Cette opération est illustrée à l'étape 13.
  6. Après avoir reçu le paquet avec Payload4 de Server7 to Client5 (étape 14), SD-WAN CPE2 valide et exécute tous les services. Ensuite, il crée une nouvelle charge utile qui ne contient que les champs mutables du paquet Server7 to Client5 avec Payload4. Il crypte cette charge utile, code son identifiant de flux local (CPE2-To-CPE1 FlowId22) dans l'en-tête UDP extérieur et envoie le paquet au CPE1 du SD-WAN le long du meilleur chemin sous-couche pour l'application à laquelle ce paquet appartient. Ceci est illustré à l'étape 15.
  7. Après avoir effectué tous les services nécessaires sur le paquet décrypté, le CPE1 transmet le paquet avec la charge utile 4 du serveur 7 au client 5. Cette opération est illustrée à l'étape 16.
Flux de paquets
Flux de paquets SD-WAN
Figure 4

Dans la solution sans tunnel de Versa, le premier paquet d'un nœud SD-WAN entrant vers un nœud SD-WAN homologue et vice versa contiendra des informations complètes, tandis que tous les paquets suivants de chaque direction ne transporteront que les métadonnées avec la charge utile, ce qui nous permet d'accommoder des charges utiles plus importantes ou de conserver l'utilisation de la bande passante en fonction de notre cas d'utilisation.

Comparée aux technologies sans tunnel existantes sur le marché, la solution innovante Tunnel-Less de Versa présente des avantages significatifs, dont certains sont énumérés ci-dessous.

  • La solution Versa n'a besoin d'ouvrir qu'un seul port, "4790" ou "4500", au sein du SD-WAN underlay, contrairement à plusieurs ports que d'autres technologies requièrent.
  • La solution Versa Tunnel-less n'invalide pas les numéros de séquence des paquets reçus et n'ajoute pas de métadonnées aux paquets TCP SYN, ce qui pourrait être inacceptable pour les pare-feu et les dispositifs de transit. Par conséquent, contrairement à d'autres solutions, les paquets TCP ne doivent pas être transformés en paquets UDP.
  • Versa Orchestrator prend en charge une infrastructure de modèles très riche grâce à laquelle un groupe de dispositifs peut être configuré de manière centralisée avec des configurations similaires qui ne doivent pas nécessairement être identiques. Par conséquent, les informations relatives aux locataires, aux services et aux politiques de sécurité n'ont pas besoin d'être intégrées dans les métadonnées.
  • La solution sans tunnel de Versa n'est pas affectée par la présence de dispositifs NAT et de pare-feu dans les réseaux de transport sous-jacents. La solution Versa ne nécessite pas de paquets keep-alive pour les sessions individuelles des utilisateurs afin que les sessions NAT n'expirent pas.
  • Une branche Versa (VOS) utilise une variante de Connectivity Fault Management/Y.1731 (CFM : IEEE 802.1ag) pour surveiller tous les chemins possibles vers d'autres branches avec lesquelles elle doit communiquer directement. Un chemin est défini par l'adresse de transport d'une branche vers une adresse de transport d'une autre branche. VOS utilise cette variante de CFM pour construire une base de données d'informations sur (latence, gigue, perte de paquets et délai d'acheminement) vers d'autres sites SD-WAN sur différents circuits d'accès. Cette mesure SLA est effectuée par (classificateur de transport, chemin de transport), où les classificateurs de transport sont DSCP et MPLS EXP. Étant donné que le SLA offert par un chemin de transport sous-couche dépend principalement de (Transport-Classifier, Transport-Path), la solution Versa est beaucoup plus évolutive que la mesure active du SLA de bout en bout pour des sessions d'utilisateurs individuelles. Versa prend en charge la surveillance passive des sessions individuelles.
  • Le cryptage Versa prend en charge la protection contre le rejeu conforme à l'IETF, le vecteur d'initialisation, le HMAC et à peu près tous les algorithmes de chiffrement. Les CPE SD-WAN Versa ne nécessitent pas de HMAC basé sur le temps (qui exige que les CPE SD-WAN aient des horloges synchronisées avec précision) pour détecter la relecture des paquets.
  • La tunnellisation peut être activée ou désactivée pour chaque flux entre deux sites.
  • Le chiffrement peut être activé ou désactivé pour chaque flux.
  • La solution Versa prend en charge le basculement très efficace des chemins de transport sous-couche et les changements d'adresses de transport des CPE SD-WAN.
  • La solution Versa est basée sur des protocoles et des mécanismes qui ont alimenté des réseaux critiques pendant de nombreuses années. La solution Versa peut très bien s'adapter à n'importe quel réseau brownfield et permet une migration progressive vers le SD-WAN.
  • Cette solution SD-WAN sans tunnel fonctionne de manière cohérente et en conjonction avec le meilleur et le plus complet ensemble de fonctionnalités SD-WAN de Versa, telles que le pilotage des applications basé sur l'application Layer7, l'utilisateur, le groupe, la catégorie d'URL, la posture de l'appareil, le score de confiance de l'entité et d'autres facteurs, les capacités polyvalentes de conditionnement du trafic utilisant FEC, la réplication et le stripping, les algorithmes avancés de contrôle de la congestion TCP comme BBR, Hybla, RACK, Tail-Loss Probes, et SACK, et l'état de liaison SD-WAN Traffic Engineering.
 
 

Section 4 : Interopérabilité avec d'autres solutions SD-WAN sans tunnel

Le SD-WAN crée un réseau privé virtuel qui ne dépend pas du transport, qui tient compte des applications et qui prend en charge la gestion et l'approvisionnement centralisés. Il est essentiel qu'une solution SD-WAN puisse s'insérer facilement dans un réseau brownfield et permettre une migration progressive des réseaux MPLS ou DMVPN existants vers le réseau SD-WAN.

Comme expliqué ci-dessus, dans le cas de toutes les solutions sans tunnel, le paquet intérieur est divisé en champs mutables et immuables. Toutes les solutions associent une forme de cookie, d'étiquette, d'identifiant de flux ou une paire (source-port, destination-port) aux champs immuables. Ce cookie/étiquette/identifiant de flux/paire de ports est communiqué au moins une fois avec l'ensemble du paquet de données utiles d'un CPE SD-WAN émetteur (SDWAN-CPE1) à un CPE SD-WAN récepteur (SDWAN-CPE2). Une fois qu'un CPE SDWAN distant (par exemple, SDWAN-CPE2) a appris le mappage de l'expéditeur (par exemple, SDWAN-CPE1) et l'a communiqué à l'expéditeur, l'expéditeur (SDWAN-CPE1) code son flow-id dans l'en-tête SDWAN et saute tous les champs immuables du paquet de données utiles dans le trafic envoyé de SDWAN-CPE1 à SDWAN-CPE2.

En raison des différentes manières (identifiants de flux, combinaison de ports source et destination extérieurs) que les différents fournisseurs ont choisies pour encoder les données immuables, ils ne peuvent interopérer qu'aux frontières (NNI : Network to Network Interface) des réseaux SDWAN des différents fournisseurs. Cela s'explique notamment par le fait que la gestion des clés, le codage des paquets, le cryptage/décryptage, le plan de contrôle (propagation des itinéraires), le plan de gestion (configuration et surveillance) et le plan de visibilité (analyse des big data) sont très différents d'un fournisseur à l'autre.

Deux fournisseurs peuvent interopérer en utilisant des protocoles basés sur l'IETF tels que E-BGP, IPsec basé sur IKE et TWAMP. Deux fournisseurs peuvent également ajouter la capacité de décoder et d'encoder les formats du plan de données de l'autre.

 
 

Section 5 : Versa SD-WAN pour les solutions classifiées

La figure 5 décrit comment la solution Versa fournit ses capacités SD-WAN et ZTNA complètes dans les réseaux fédéraux qui tirent parti du cryptage du protocole Internet à haute assurance (HAIPE) de la NSA ou des architectures basées sur des solutions commerciales pour la classification (CSfC). Ces déploiements comportent généralement plusieurs couches, où un réseau noir composé de plusieurs couches SATCOM, MPLS, cellulaires (4G/5G) et autres assure le transport vers le réseau rouge.

Versa SD-WAN pour les solutions classées
Figure 5
  1. Les CPE 2-1 et CPE 2-5 sont des CPE Versa SD-WAN situés à la périphérie du tissu noir amorphe et omniprésent. Ces CPE fournissent des capacités complètes de SD-WAN et de SD-Security. Dans l'exemple illustré, la structure noire comporte trois réseaux sous-jacents - SatCom-Meo, SatCom-Geo et MPLS privé.
  2. CPE 1-1 et CPE 1-5 sont des CPE Versa SD-WAN situés en bordure du site rouge-1 et du site rouge-2. Ces CPE SD-WAN fournissent également des capacités complètes de SD-WAN et de SD-Security. Ces CPE peuvent recevoir des données top secrètes ou des données non critiques. Le trafic sortant des sites rouges est généralement crypté par les HAIPE.
  3. Un ordinateur portable avec l'adresse 10.1.12.100 sur le site rouge-1 à gauche de l'écran. Figure 5 souhaite communiquer des informations critiques top secrètes à un point de terminaison dont l'adresse IP est 10.50.22.100, situé sur le site rouge 2, comme le montre l'étape 1 de la figure. En fonction de la configuration de l'utilisateur, le SD-WAN CPE-1-1 effectue les opérations suivantes lorsqu'il reçoit ce trafic.
    • Classifier le paquet en fonction de l'application, de la catégorie d'URL, de l'utilisateur, du groupe, de la posture de l'appareil, du score de confiance de l'entité, de la balise du groupe de sécurité et de tout champ de la couche 3-7 du paquet reçu(informations de classification).
    • Le point de code DiffServ du paquet sortant de la CPE-1-1 du SD-WAN à partir de son interface WAN (avec l'adresse IP 192.168.11.101) serait déterminé soit par une table de correspondance qui utilise les informations de classification, soit en copiant le DSCP du paquet reçu, soit par une combinaison des deux. Ainsi, les flux critiques et non critiques seraient associés aux DSCP appropriés. C'est ce que montre l'étape 2.
    • Associer un identifiant de flux à ce flux.
    • Chiffrer ou non ce flux.
    • Ensuite, le meilleur transport sous-couche est choisi en fonction des politiques de pilotage du trafic SD-WAN, qui tiennent compte du type d'application et de l'accord de niveau de service offert par les différents chemins sous-couches.
    • Le paquet passe ensuite par l'"ordonnancement et la mise en forme" et est transmis au saut suivant qui appartient à la meilleure sous-couche. C'est ce que montre l'étape 3 de la figure.
  4. Lorsqu'il reçoit ce trafic, HAIPE1 peut choisir de le crypter. HAIPE1 pourrait être configuré pour copier le DSCP du paquet reçu dans l'en-tête extérieur, que HAIPE1 ajouterait. Ceci est illustré à l'étape 4. Ensuite, comme le montre l'étape 5, HAIPE1 encapsulerait le paquet avec un en-tête extérieur et transmettrait le paquet au CPE 2-1.
  5. Lorsqu'il reçoit ce paquet, le CPE 2-1 du SD-WAN, situé à la périphérie du réseau noir, effectue les opérations suivantes :
    • Associer un flow-id approprié
  • Comme indiqué à l'étape 6 de Figure 5Le CPE 2-1 détermine la sous-couche appropriée en fonction des règles de politique de direction du trafic SD-WAN configurées qui dépendent des éléments suivants.
    • Source-IP (adresse IP 172.16.1.1 du HAIPE source), Destination-IP (adresse IP 172.16.5.5 du HAIPE destination), et le DSCP du paquet reçu.
    • Préférence configurée pour les différents réseaux sous-jacents pour cette classe de trafic
    • Le SLA en temps réel observé sur les différents réseaux sous-jacents (MPLS, Satcom-Meo, SatCom-Geo dans cet exemple).
  • Conditionne le trafic en utilisant une combinaison de correction d'erreurs et de réplication de paquets en fonction de l'accord de niveau de service (SLA) offert par les transports sous-jacents.
  • Effectue le dépouillement des paquets si nécessaire.
  • Applique des algorithmes avancés de contrôle de la congestion tels que BBR et Hybla en cas de réception d'un trafic TCP non crypté.
  • Le paquet passe ensuite par l'"ordonnancement et la mise en forme" et est transmis au CPE 2-5 du SD-WAN distant en utilisant la meilleure couche inférieure. C'est ce que montre l'étape 7 de la figure.
  1. Le SD-WAN CPE 2-5 à la périphérie du réseau noir ferait ce qui suit :
    • Supprime l'en-tête SD-WAN.
    • Rétablit le paquet HAIPE1 vers HAIPE2.
    • Effectue le traitement des flux et la remédiation nécessaires si la FEC et la réplication des paquets ont été activées.
    • Achemine le trafic vers HAIPE2 comme indiqué à l'étape 8 de la figure 5.
  2. HAIPE2 décrypte le trafic et le transmet au SD-WAN CPE 1-5 à la périphérie du site rouge-2, comme indiqué à l'étape 9.
  3. Le CPE 1-5 du SD-WAN à la périphérie du site rouge-2 effectuerait les opérations suivantes :
    • Retirer l'en-tête du SD-WAN.
    • Restaurer le paquet Endpoint-1 vers Endpoint-2
    • Effectuer le traitement des flux et la remédiation nécessaires si la FEC et la réplication des paquets ont été activées.
    • Acheminer le trafic vers l'extrémité 2 comme indiqué à l'étape 10 de la figure 5.

Les paquets non critiques, par exemple de 192.168.2.2 sur le site rouge-1 à 192.168.6.6 sur le site rouge-2, sont également dirigés de manière appropriée en fonction de la configuration de la gestion et du conditionnement du trafic.

 
 

Section 6 : Versa Real Time Monitor et Versa Analytics

Le Versa Real Time Monitor fournit des informations en temps réel sur tous les services de réseau, SD-WAN et de sécurité qui sont configurés sur chaque appliance Versa. Il fournit également des informations relatives à la santé (CPU, Mémoire, Bande passante sur chacune des interfaces, Charge) des instances VOS.

Versa Analytics est une solution big data qui analyse les logs et les événements et fournit des rapports puissants, des analyses et un retour d'information à Versa Director. Elle s'intègre nativement avec des produits tiers de reporting de données et de SIEM, tels que HP ArcSight, Splunk, IBM QRadar, LogRhythm et Elastic Search. Les VOS™ des sites de succursales fournissent en permanence des informations de surveillance Versa Analytics liées aux liens, aux chemins de réseau, aux événements de sécurité, aux services, aux applications, etc. En outre, chaque service sur le VOS™, tel que le pare-feu de nouvelle génération, l'IDS/IPS, le filtrage d'URL, le CASB, le SWG, le DLP, le RBI, l'UEBA, le DNS Proxy et d'autres modules, génère des messages de journalisation au niveau du flux et agrégés qui sont consommés par la plateforme Versa Analytics.

Toutes ces informations peuvent être exploitées pour des fonctions telles que la planification de la capacité et l'analyse judiciaire de la sécurité. Les figures 6, 7 , 8 et 9 donnent quelques exemples d'informations disponibles grâce à Versa Analytics.

Versa Analytics envoie ces journaux à Versa UEBA par l'intermédiaire d'un bus KAFKA. Versa UEBA peut suivre et signaler les événements anormaux de toutes les entités, telles que les utilisateurs, les ordinateurs portables, les téléphones, les appareils IoT, et plus encore. Si un utilisateur ou un appareil IoT présente un comportement anormal, alors son score de confiance de l'entité (ECS) est dégradé. Cette ECS est utilisée dans différents types de politiques, telles que la politique de contrôle d'accès à la sécurité et la politique de surveillance du trafic. Si l'ECS d'une entité se dégrade, il est publié à tous les abonnés (tels que les passerelles Versa Cloud) à l'aide du Versa Message Service. Les passerelles Versa Cloud peuvent appliquer des mesures correctives en temps réel lorsque l'ECS se dégrade.

Versa Analytics Exemple d'écran 1
Figure 6
Versa Analytics Exemple d'écran 2
Figure 7
Versa Analytics Exemple d'écran 3
Figure 8
Versa Analytics Exemple d'écran 4
Figure 9
 
 

Section 7 : Résumé

La solution Versa SD-WAN, ZTNA et Secure Services Edge fournit un réseau SD-WAN et SASE mondial sécurisé et conçu en fonction du trafic, qui offre la meilleure expérience applicative aux utilisateurs et aux appareils IoT, indépendamment de leur emplacement et de celui des applications, y compris sous DDIL et dans des conditions défavorables. La solution Versa est très bien adaptée aux réseaux satellitaires, maritimes et fédéraux qui s'appuient sur des architectures NSA High Assurance Internet Protocol Encryption (HAIPE) ou Commercial Solutions for Classified (CSfC).

Versa Résumé