Servez l'accès réseau comme au café

Proposez un accès distant sécurisé, avec une pointe de simplification du réseau

Pendant près de dix ans, les responsables IT d'une entreprise ont géré deux réalités distinctes. Nous avons bâti des « forteresses » pour nos bureaux, que nous avons sécurisées à grand renfort de pare-feu, de LAN virtuels (VLAN) rigides et de coûteux circuits MPLS. Concomitamment, nous avons mis en place des « tunnels » pour nos collaborateurs en télétravail et sécurisé ces tunnels à l'aide de VPN ou, plus récemment, de solutions d'accès réseau Zero Trust (ZTNA, Zero Trust Network Access).

Si ces initiatives parallèles ont effectivement généré de la valeur, elles ont également entraîné la création d'une réalité fragmentée. L'expérience de connexion au réseau vécue par un utilisateur en télétravail est ainsi fondamentalement différente de celle d'un utilisateur travaillant sur site. Cette situation engendre des frictions opérationnelles pour nos équipes et une posture de sécurité incohérente pour l'entreprise.

Il est désormais temps de faire fusionner ces processus. Temps d'arrêter de gérer nos bureaux régionaux comme des datacenters et de commencer à les gérer comme des cafés.

Gartner a inventé le terme de « coffee shop networking » (la connexion réseau comme au café) pour décrire cette transformation. Le principe est d'une simplicité trompeuse : proposer un processus de connexion Internet simple et rapide à l'ensemble de vos collaborateurs, avec un accès sécurisé à toutes les applications dont ils ont besoin, que ce soit à domicile, au sein d'un bureau local ou dans le café du coin.

Cette approche abandonne le concept obsolète de réseau local de confiance. À la place, nous utilisons l'Internet public comme réseau WAN principal de notre entreprise afin de réduire considérablement les coûts d'infrastructure et d'améliorer notre sécurité.

Toutefois, malgré son apparente facilité, la mise en place du coffee shop networking nécessite une bonne dose de planification. Le fait de suivre une roadmap stratégique en la matière aide les dirigeants à simplifier leur architecture réseau, ainsi qu'à proposer une expérience cohérente et « axée sur Internet » (Internet-first) à leurs collaborateurs.

Le paradoxe du bureau « de confiance »

La sécurité des agences régionales reposait traditionnellement sur un ensemble d'équipements locaux : solutions de contrôle d'accès au réseau (NAC, Network Access Control) pour l'authentification, VLAN pour la segmentation et pare-feu réseau pour appliquer les autorisations. Ce modèle de gestion « case par case » n'est pas soutenable à grande échelle. En effet, il implique la nécessité de disposer d'experts au niveau local et l'envoi fréquent de techniciens pour les mises à jour. Il engendre également un environnement précaire, au sein duquel la position géographique d'un utilisateur détermine la politique de sécurité qui lui est appliquée.

Le modèle du coffee shop networking pose une question fondamentale : comment sécuriser la connectivité de l'ensemble des utilisateurs sans dépendre de la sécurité réseau elle-même ?

Découvrez le modèle SASE (Secure Access Service Edge, service d'accès sécurisé en périphérie), une architecture basée sur le cloud qui unifie les services de sécurité et les services de connectivité réseau définis par logiciel. Le ZTNA (Zero Trust Network Access, accès réseau Zero Trust), qui considère par défaut chaque utilisateur, chaque appareil et chaque emplacement comme non fiable, constitue l'un des éléments essentiels d'une plateforme SASE. Si le ZTNA assure un degré de contrôle supérieur, granulaire et basé sur l'identité aux utilisateurs en télétravail, pourquoi le désactiver une fois les portes du bureau franchies ? En maintenant le ZTNA « actif en permanence », le réseau sur site devient un simple tuyau. Il se comporte ni plus ni moins comme une couche de transport, impossible à distinguer du réseau d'un Starbucks ou du réseau disponible dans la salle d'embarquement d'un aéroport.

La modernisation de vos accès réseau à l'aide du couple SASE + ZTNA, ainsi que d'autres fonctionnalités de réseau en tant que service (NaaS, Network-as-a-Service) et de maillage réseau, peut vous proposer des avantages importants et immédiats, notamment les suivants :

• Simplicité : vos collaborateurs n'ont plus besoin de jongler entre les VPN, l'expérience est identique partout dans le monde.

• Agilité : vous pouvez mettre en place de nouveaux bureaux régionaux à l'aide d'une simple connexion haut débit plutôt que d'attendre l'établissement de circuits privés pendant des mois.

• Économies sur les coûts : les entreprises peuvent réduire les dépenses d'investissement réalisées en équipements physiques pour leurs agences régionales et les coûts d'exploitation du MPLS.

L'expérience « invisible » de la sécurité

Historiquement, le déploiement de « davantage de sécurité » débouchait inévitablement sur une augmentation des frictions pour l'utilisateur final. Le modèle du coffee shop networking inverse cette dynamique. Ainsi, en considérant le réseau de l'entreprise comme une couche de transport non fiable, vous proposez paradoxalement un processus de travail plus fluide et plus cohérent à vos collaborateurs.

L'expérience utilisateur fluctue considérablement au sein d'une configuration traditionnelle. Il travaille ainsi sur un réseau local de confiance disposant d'un accès direct au bureau, tandis qu'à son domicile, il doit jongler entre les VPN et la latence du trafic redirigé. L'agent Zero Trust utilisé dans le cadre du coffee shop networking crée une couche de connectivité uniforme. Actif en permanence, cet agent traite l'authentification et le routage de manière transparente, en arrière-plan.

Ce modèle entraîne deux avantages immédiats en termes d'expérience :

• Équité des performances : peu importe que l'utilisateur se trouve dans un bureau du siège ou dans un hôtel, son trafic emprunte l'itinéraire vers l'application le plus direct grâce à l'infrastructure backbone (épine dorsale) mondiale, plutôt que d'être acheminé en « hairpinning » par l'intermédiaire d'un datacenter central.

• Support proactif : comme la pile de sécurité et la pile réseau sont unifiées sur l'appareil, les équipes IT bénéficient d'une visibilité accrue sur l'expérience numérique réellement vécue par l'utilisateur. Ces équipes peuvent faire la distinction entre un appareil lent, une mauvaise connexion Wi-Fi locale ou des défaillances au niveau d'une application. Elles corrigent ainsi souvent les problèmes avant même que l'utilisateur n'ait à ouvrir un ticket.

Alors, comment se lancer dans l'aventure ? Une approche en trois phases peut vous simplifier la mise en œuvre.

Phase 1 : l'identité comme nouveau périmètre

La première étape de cette transformation consiste à découpler les communications sécurisées des réseaux publics potentiellement non fiables. Nous devons faire appel à une infrastructure dans le cloud (ZTNA) afin d'assurer l'accès sécurisé des utilisateurs aux applications privées et aux cibles d'infrastructure, partout dans le monde. Plutôt que de placer des points de terminaison (comme un VPN ou un pare-feu) « sur » le réseau, le cadre ZTNA accorde à vos collaborateurs le niveau d'accès précis dont ils ont besoin pour effectuer leur travail, et rien de plus.

Nous pouvons également nous en remettre au ZTNA sans agent pour les appareils non gérés, comme ceux de sous-traitants tiers ou les appareils employés dans le cadre d'une approche BYOD (Bring Your Own Device, utilisez vos propres appareils), car l'utilisation d'agents ne s'avère pas pratique dans ce type de scénario. Nos solutions de proxy inverse et d'isolement de navigateur nous permettent d'appliquer des mesures de contrôle sensibles au contexte (comme la position géographique ou l'heure de la journée) sans toucher à l'appareil.

Phase 2 : utiliser Internet comme épine dorsale de l'entreprise

Une fois l'utilisateur sécurisé par l'agent, vous pouvez radicalement simplifier le réseau du bureau régional en lui-même. L'objectif consiste à passer d'un WAN lourd et axé sur les équipements physiques à un modèle « léger sur le régional, fort sur le cloud », soit la dernière évolution de la connectivité SD-WAN.

Les équipements de l'agence régionale n'effectuent que des tâches minimales au sein de cette architecture axée sur Internet :

1. Sélection de l'itinéraire de base : routage du trafic sur deux types de liaisons Internet (fibre, 5G ou haut débit) pour la résilience.

2. Tunnellisation: encapsulation du trafic sans lien avec les utilisateurs (le trafic des imprimantes, des appareils IoT ou des serveurs, par exemple) en IPsec vers le nœud du cloud de sécurité le plus proche.

Cette approche nous permet de considérer l'Internet public comme la base qui sous-tend toute connectivité. En routant l'ensemble du trafic de site à site vers une plateforme SASE plutôt que des équipements SD-WAN ou des circuits MPLS, nous étendons le WAN à l'aide de connexions Internet locales. Le cloud prend en charge l'optimisation des performances, le routage et la sécurité, tandis que les équipements physiques locaux deviennent de simples outils de base.

Phase 3 : gérer les appareils headless

La principale objection au modèle du coffee shop networking réside dans l'existence d'appareils « headless » (sans tête, c'est-à-dire sans lien avec des utilisateurs), comme les imprimantes, les points d'accès Wi-Fi et d'autres appareils IoT/OT qui ne peuvent pas exécuter un agent ZTNA. C'est à ce niveau que les équipements périphériques légers démontrent leur valeur. Plutôt que de mettre en place des VLAN locaux complexes, nous pouvons utiliser la périphérie du WAN pour isoler ces appareils au sein d'un segment non-ZTNA et canaliser leur trafic vers le cloud, par l'intermédiaire d'un tunnel, à des fins de filtrage.

Cette opération nous permet également de simplifier la conception de nos réseaux LAN. Nous devons viser, au maximum, deux segments : un pour les appareils ZTNA (utilisateurs de confiance), l'autre pour les appareils non-ZTNA (appareils IoT et invités). Enfin, nous devons arrêter de gérer des listes de contrôle des accès (ACL, Access Control Lists) locales et orienter l'ensemble du trafic nord-sud filtré vers le moteur de politiques du cloud.

Rationaliser le coffee shop networking

Si ce concept est agnostique du point de vue des fournisseurs, son exécution nécessite cependant une plateforme SASE qui intègre la connectivité réseau et la sécurité Zero Trust au sein d'une interface unique. C'est sur ce point précis que Cloudflare se distingue.

La solution Cloudflare One dispose de tous les ingrédients nécessaires à la mise en place du coffee shop networking. Elle propose ainsi des fonctionnalités ZTNA, le NaaS, une passerelle web sécurisée (Secure Web Gateway, SWG), un pare-feu en tant que service (Firewall-as-a-Service, FWaaS) et des outils de surveillance de l'expérience numérique (Digital Experience Monitoring, DEM), le tout depuis une plateforme unique et unifiée. Reposant sur une architecture cloud-native et distribuée à l'échelle mondiale, elle exécute l'ensemble de nos services sur chacun de nos serveurs afin d'assurer une résilience élevée et une application cohérente des politiques. Le modèle disjoint impliquant la sécurisation des bureaux, mais pas celle du télétravail, constitue une relique d'un passé basé sur le périmètre. L'adoption de l'architecture du coffee shop networking vous permet d'aligner votre infrastructure sur les réalités du travail hybride. Vous pouvez ainsi assurer une expérience cohérente et sécurisée à vos utilisateurs, peu importe l'endroit d'où ils travaillent, tout en évitant les coûts liés aux équipements physiques existants.

L'avenir du réseau d'entreprise n'est pas le modèle de la forteresse. Il réside dans un maillage mondial de connexions sécurisées et Internet-native.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Auteur

Daniel Creed
RSSI de terrain, Cloudflare

Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

• Les raisons pour lesquelles les entreprises devraient éviter les réseaux distincts pour les utilisateurs en télétravail et les utilisateurs qui se connectent depuis le bureau

• Comment le « coffee shop networking » unifie les expériences et simplifie les opérations

• Trois phases pour rationaliser la mise en œuvre du coffee shop networking

Ressources associées

• Le plan d'action du coffee shop networking

• L'avenir des réseaux

• Internet est désormais devenu le réseau des entreprises