Cloudflare One permet aux clients de bâtir leurs réseaux d'entreprise sur un Internet plus rapide et plus sécurisé, en connectant n'importe quelle source ou destination, ainsi qu'en configurant des politiques de routage, de sécurité et d'amélioration des performances, depuis un plan de contrôle unique. Nous nous réjouissons aujourd'hui d'annoncer une autre pièce du puzzle permettant d'accompagner les entreprises dans leur parcours d'abandon de l'architecture réseau traditionnelle au profit du Zero Trust. Ces dernières disposent désormais de la possibilité de router le trafic issu des appareils des utilisateurs grâce à l'installation de notre agent d'itinérance léger (WARP) sur n'importe quel réseau connecté par l'intermédiaire de tunnels Magic Transit en couche réseau (Anycast GRE, IPsec ou CNI). Les utilisateurs peuvent dès lors passer au Zero Trust de manière graduelle, car cette solution facilite leur transition d'une architecture traditionnelle de type « château entouré de douves » vers une architecture de nouvelle génération.

L'avenir des réseaux d'entreprise

Les clients avec lesquels nous avons discuté décrivent trois phases distinctes concernant l'architecture de leurs réseaux d'entreprise. Ces phases reflètent d'ailleurs les changements que nous avons observés au niveau du stockage et du calcul, bien qu'avec un retard de 10 à 20 ans. Les réseaux traditionnels (« première génération ») résidaient au sein d'un datacenter, voire du siège. Les applications professionnelles étaient ainsi hébergées sur des serveurs possédés par l'entreprise et les accès accordés via réseau local ou WAN privé, par l'intermédiaire d'équipements de sécurité périmétriques. Lorsque les applications ont migré vers le cloud et que les utilisateurs ont quitté leur bureau physique, les entreprises ont adopté les technologies de « deuxième génération », comme le SD-WAN et les équipements virtualisés, afin de traiter un trafic de plus en plus fragmenté et dépendant d'Internet. Il ne leur reste aujourd'hui qu'un ensemble hétéroclite d'anciennes et de nouvelles technologies, de failles en matière de visibilité et de sécurité, bref un véritable casse-tête pour des équipes informatiques et réseau surchargées.

Nous pensons qu'un meilleur avenir se profile à l'horizon : l'architecture que Gartner décrit sous le nom de SASE, une approche qui voit les fonctions sécurité et réseau passer d'un modèle basé sur des équipements physiques ou virtuels à un ensemble de services natifs du cloud, proposés aux utilisateurs et aux applications en quelques millisecondes seulement, peu importe leur position géographique. Ce nouveau paradigme implique la mise en œuvre de réseaux beaucoup plus sécurisés, performants et fiables, afin de créer de meilleures expériences pour les utilisateurs et de réduire le coût total de possession. Autrefois considérée comme un centre de coût et un goulot d'étranglement pour les changements opérationnels, l'informatique deviendra alors une force motrice de l'innovation et de l'efficacité.

Generation 1: Castle and Moat; Generation 2: Virtualized Functions; Generation 3: Zero Trust Network

Première génération : château entouré de douves, deuxième génération : fonctions virtualisées, troisième génération : réseau Zero Trust

Ce type de mutations profondes ne s'effectue cependant pas du jour au lendemain. Pour de nombreuses entreprises, en particulier celles qui abandonnent une architecture traditionnelle, l'adoption totale de la troisième génération demandera des mois, voire des années. Une bonne nouvelle toutefois : Cloudflare est là pour vous aider, en vous proposant d'établir un pont entre votre architecture réseau actuelle et le Zero Trust, peu importe l'endroit où vous vous situez dans votre parcours.

Comment atteindre cet objectif ?

Cloudflare One, notre plateforme combinée de « réseau en tant que service » Zero Trust, permet aux clients de se connecter à notre réseau mondial depuis n'importe quelle source ou destination du trafic à l'aide de divers « accès directs » (on-ramp), en fonction de vos besoins. Pour connecter des appareils individuels, les utilisateurs peuvent installer le client WARP, qui agit en tant que proxy de transfert permettant de tunnelliser le trafic (c.-à-d. le router par l'intermédiaire d'un tunnel) vers l'emplacement Cloudflare le plus proche, indépendamment de la position géographique des utilisateurs. Le service Cloudflare Tunnel vous permet d'établir une connexion sécurisée et à sens unique (uniquement sortante) entre vos serveurs d'origine et Cloudflare grâce à l'installation d'un daemon léger.

L'année dernière, nous avons annoncé la possibilité de router le trafic privé issu des appareils inscrits sur WARP vers les applications connectées au moyen de Cloudflare Tunnel, afin de mettre en place un accès réseau privé pour n'importe quelle application TCP ou UDP. Il s'agit là de l'architecture correspondant aux meilleures pratiques que nous recommandons en matière d'accès réseau Zero Trust. Toutefois, nous avons entendu de la part de certains clients dotés d'une architecture traditionnelle que vous souhaitez disposer d'options permettant de mettre en œuvre une transition plus graduelle.

Pour la connectivité au niveau du réseau (couche 3 du modèle OSI), nous proposons des options GRE ou IPsec basées sur des normes, mais avec la touche Cloudflare, car il s'agit de tunnels Anycast. N'importe quel tunnel sur votre réseau peut ainsi se connecter automatiquement à l'ensemble du réseau Cloudflare (présent dans plus de 250 villes), afin d'assurer une redondance et de simplifier la gestion du réseau. Les clients disposent également de la possibilité de tirer parti du service Cloudflare Network Interconnect, qui permet la connectivité directe au réseau Cloudflare via une connexion physique ou virtuelle dans plus de 1 600 emplacements à travers le monde. Ces accès directs en couche 1 à 3 vous permettent de connecter vos réseaux publics et privés à Cloudflare à l'aide de technologies familières qui rendent automatiquement l'ensemble de votre trafic IP plus rapide et plus résilient.

Désormais, le trafic issu des appareils inscrits sur WARP peut être routé automatiquement vers n'importe quel réseau connecté via un accès direct en couche 3. Cette « tuyauterie » supplémentaire pour Cloudflare One accroît la flexibilité dont les utilisateurs disposent pour se connecter à une infrastructure réseau existante. Les entreprises peuvent ainsi passer graduellement d'une architecture VPN traditionnelle à un modèle Zero Trust avec connectivité au niveau de l'application.

Comment fonctionne cette solution ?

Les utilisateurs peuvent installer le client WARP sur n'importe quel appareil afin de mettre le trafic en proxy vers l'emplacement Cloudflare le plus proche. Dès lors, si l'appareil est inscrit sur un compte Cloudflare ayant activé le Zero Trust et le routage privé, le trafic de l'appareil sera transmis à l'« espace de noms » réseau dédié et isolé, une copie logique de la pile réseau Linux spécifique à un client particulier. Cet espace de noms, qui existe sur chaque serveur situé dans chaque datacenter Cloudflare, détient l'ensemble de la configuration de routage et de la configuration des tunnels du réseau connecté d'un client.

Une fois que le trafic arrive dans l'espace de noms d'un client, il est routé vers le réseau destination via les tunnels GRE, IPsec ou CNI configurés. Les clients peuvent configurer une hiérarchisation des itinéraires afin d'équilibrer la charge du trafic sur plusieurs tunnels et procéder à un basculement automatique vers le chemin le plus sain depuis chaque emplacement Cloudflare.

Sur le chemin de retour, le trafic circulant des réseaux du client vers Cloudflare est également routé via Anycast vers l'emplacement Cloudflare le plus proche. Cet emplacement se révèle toutefois différent de celui de la session WARP, de sorte que le trafic retour est transmis au serveur disposant de la session WARP active. Pour ce faire, nous tirons avantage d'un nouveau service interne nommé Hermes, qui permet de partager les données sur l'ensemble des serveurs de notre réseau. Tout comme notre service Quicksilver propage les données clé-valeur de notre infrastructure centrale vers le réseau, Hermes permet aux serveurs d'écrire des données lisibles par les autres serveurs. Lorsqu'une session WARP est établie, son emplacement est ainsi écrit sur Hermes. De même, à réception du trafic retour, l'emplacement de la session WARP est lu sur Hermes et le trafic mis en tunnel de manière appropriée.

Et ensuite ?

Cette méthode d'accès direct est d'ores et déjà disponible pour l'ensemble des clients Cloudflare One. Contactez l'équipe chargée de votre compte pour la configurer ! Nous sommes ravis d'ajouter de nouvelles fonctionnalités permettant de faciliter la transition vers le Zero Trust pour nos clients, notamment grâce à la superposition de politiques de sécurité supplémentaires au trafic circulant sur les réseaux connectés et à une fonction de découverte des services, qui permet aux entreprises de hiérarchiser les applications à faire migrer vers la connectivité Zero Trust.