Connectivité cloud : VPN et SD‑WAN
Définition
Les technologies de connectivité cloud permettent de relier de manière sécurisée un site local (on-premises) aux ressources hébergées dans le cloud. Les deux approches principales sont le VPN (tunnel chiffré point-à-point) et le SD‑WAN (Software-Defined Wide Area Network), qui orchestre intelligemment le trafic sur plusieurs liaisons WAN.
Contexte
L'adoption croissante du multi-cloud et du travail hybride exige des connexions fiables, sécurisées et performantes entre les sites de l'entreprise et les fournisseurs cloud. La certification CCST attend du candidat qu'il comprenne le rôle du VPN et les principes fondamentaux du SD‑WAN.
Détails techniques
VPN site-to-site
Un VPN site-to-site établit un tunnel chiffré permanent entre deux passerelles (routeur local ↔ passerelle cloud). Le protocole dominant est IPsec :
| Phase | Fonction | Détail |
|---|---|---|
| IKE Phase 1 | Authentification mutuelle | Clé pré-partagée (PSK) ou certificats, échange Diffie-Hellman |
| IKE Phase 2 | Négociation du tunnel de données | Algorithmes de chiffrement (AES-256), d'intégrité (SHA-256), et SA |
| ESP | Transport des données | Encapsulation chiffrée des paquets IP |
Azure VPN Gateway, AWS Site-to-Site VPN et GCP Cloud VPN exposent tous des passerelles IPsec compatibles avec les routeurs Cisco.
Connectivité dédiée (hors Internet)
| Service | Fournisseur | Débit typique |
|---|---|---|
| Direct Connect | AWS | 1 – 100 Gbps |
| ExpressRoute | Azure | 50 Mbps – 100 Gbps |
| Cloud Interconnect | GCP | 10 – 200 Gbps |
Avantages : latence plus faible, bande passante garantie, trafic ne transite pas par Internet.
SD‑WAN — principes
Le SD‑WAN sépare le plan de contrôle (centralisé dans un orchestrateur) du plan de données (routeurs edge sur chaque site) :
- Transport-agnostique : agrège MPLS, Internet broadband, 4G/5G.
- Application-aware routing : identifie les flux applicatifs (Teams, SAP…) et les dirige sur le meilleur lien en fonction de la latence, du jitter et de la perte de paquets.
- Chiffrement automatique : tunnels IPsec ou WireGuard entre tous les sites (full-mesh virtuel).
- Politique centralisée : les règles de routage, QoS et sécurité sont déployées globalement depuis le contrôleur et poussées vers les edge.
- Zero-touch provisioning : les routeurs edge se configurent automatiquement lors de leur première connexion au contrôleur.
VPN vs SD‑WAN
| Critère | VPN classique | SD‑WAN |
|---|---|---|
| Configuration | Manuelle, par tunnel | Centralisée, automatisée |
| Nombre de sites | Pratique < 10 sites | Conçu pour des dizaines/centaines |
| Choix de chemin | Statique (1 lien) | Dynamique (meilleur lien par flux) |
| Visibilité applicative | Non | Oui (DPI intégré) |
| Coût | Faible (logiciel) | Plus élevé (licences) |
Exemple concret
Scénario : une entreprise avec 3 sites (Paris, Lyon, bureau distant Tunisie) utilise Azure pour ses applications internes.
- Paris (datacenter principal) : connecté à Azure via ExpressRoute pour la faible latence et la haute disponibilité.
- Lyon (bureau secondaire) : connecté via VPN site-to-site IPsec sur Internet fibre.
- Tunisie (petit bureau) : un routeur SD‑WAN agrège un lien Internet local et une liaison 4G. Le contrôleur SD‑WAN priorise Teams et SharePoint sur le lien le plus performant et bascule automatiquement sur la 4G si la fibre tombe.
- Tous les tunnels sont chiffrés AES-256 ; la politique est gérée depuis le contrôleur central.