La pandémie de Covid-19 a poussé les entreprises à adopter de nouvelles habitudes de travail. Elles ont dû notamment faire travailler leurs personnels à distance. Mais elles ont eu aussi besoin de sécuriser l’accès à leurs ressources. Cette transformation a été marquée par une demande de VPN toujours plus importante. Ainsi, selon le cabinet de recherche et d’étude britannique Top10VPN.com, entre le 13 et le 23 mars, la demande de réseaux privés virtuels commerciaux a bondi de 41 % aux États-Unis. Et, selon le cabinet d'études de marché et de conseil en gestion Global Market Insights, d'ici 2026, le marché des VPN atteindra 70 milliards de dollars. Au mois d’avril, AT&T a indiqué dans un blog que les connexions à son service VPN SD-WAN Static Network Based (ANIRA) basé sur le cloud avait augmenté de 700 %.
Cette augmentation du trafic met beaucoup plus de pression sur l'infrastructure VPN des entreprises. Et le Split tunneling est l’un des moyens les plus efficaces de réduire cette pression. Cette fonction permet aux clients de faire passer une partie du trafic réseau de l’entreprise, par exemple le trafic lié à la maintenance, par un tunnel VPN d'entreprise, et d’acheminer directement le reste du trafic vers le fournisseur de services Internet (ISP) sans passer par le tunnel. Sans le Split tunneling, tout le trafic, même celui qui est destiné à des sites Internet, transiterait par le VPN en étant soumis aux mesures de sécurité de l'entreprise, puis retournerait sur Internet. L'idée, c’est que, pour être plus performante, l'infrastructure VPN doit gérer moins de trafic.
Analyse du trafic avec Splunk
Mais comment identifier le trafic à extraire du flux VPN ? C’est le défi que tente de relever Cisco avec un produit relativement récent. Ce dernier combine les données de télémétrie recueillies par les clients VPN AnyConnect de Cisco avec des rapports générés en temps réel et la technologie de tableau de bord de Splunk. L'ensemble du produit dénommé Endpoint Security Analytics (CESA) fait partie du module AnyConnect Network Visibility Module (NVM). Cisco indique que jusqu'au 1er juillet 2020, des licences CESA sont offertes à titre gratuit pendant 90 jours aux entreprises IT pour répondre aux pics de travail à distance.
Selon Scott Pope, directeur de la gestion des produits et du développement commercial pour l'écosystème de sécurité Security Technology Alliances de Cisco, AnyConnect NVM collecte des informations de sécurité comme l'identifiant unique de l'appareil, le nom de l'appareil, les noms de processus/conteneurs, les processus parents, les changements de privilèges, les domaines source/destination, les informations DNS et les interfaces réseau qui peuvent aider les clients à repérer les fuites de données, les applications non approuvées ou les services SaaS, les fraudes à la sécurité et les activités de logiciels malveillants. AnyConnect prend en charge une autre fonctionnalité appelée « Dynamic Split Tunneling », qui permet de diriger facilement le trafic fractionné par nom de domaine (par exemple, orienter tout le trafic « *webex*.cisco.com » dans le Split tunnel). L'analyse effectuée par Dynamic Split Tunneling est également prise en charge par Cisco Endpoint Security Analytics (CESA).
Dans un message récent posté sur un blog, Scott Pope a précisé que les clients pouvaient utiliser les données Cisco Endpoint Security Analytics pour :
- Mettre en œuvre le Split tunneling VPN pour alléger les contraintes de capacité du VPN sans renoncer à la sécurité.
- Surveiller plus étroitement et mieux optimiser le trafic transitant par un déploiement Split tunneling existant.
- Analyser le comportement de sécurité des terminaux distants, des utilisateurs et des VPN « les plus bavards ». C’est particulièrement utile pour les terminaux distants déployés rapidement selon des procédures de tests de conformité de sécurité moins stricts que la normale.
« L’objectif, c’est qu'avec le CESA, les clients peuvent déterminer rapidement le trafic qui peut être orienté en toute sécurité vers les tunnels fractionnés, ce qui est de plus en plus important, vue les charges de VPN croissantes auxquelles sont confrontées de nombreuses entreprises », a encore déclaré M. Pope. « Un certain type de trafic est assez facile à envoyer sur Internet, mais c’est moins évident pour les applications basées sur le cloud et d'autres types de trafic, et il est difficile de séparer ces trafics sans savoir ce qui passe par le tunnel ».
Optimiser l'usage du VPN
L’aperçu du trafic VPN fournit par Endpoint Security Analytics permet de garder un œil sur le trafic qui passe par le tunnel fractionné et d’identifier le trafic qui devrait être renvoyé dans le tunnel de l'entreprise. « L'inverse est également vrai », a ajouté M. Pope. « Le CESA peut surveiller le tunnel de l'entreprise pour identifier le trafic qui pourrait être déplacé en toute sécurité vers le tunnel fractionné. En outre, Endpoint Security Analytics suit le volume du trafic par application, protocole, port, processus logiciel, domaine, source/destination, etc. Ce qui permet aux entreprises IT d'identifier les applications et les sources de données à haut volume et de les déplacer vers le Split tunnel en priorité afin d’avoir le plus grand impact sur les performances du VPN, et cela, avec le moins d'efforts et de configuration possible ».
« Dans des situations d'urgence, les entreprises IT peuvent avoir besoin de déployer un grand nombre de postes distants en très peu de temps », a déclaré M. Pope. « Selon la situation, elles peuvent omettre de valider normalement certains contrôles de sécurité afin d’accélérer la reprise des activités. Dans ce cas, ou bien les terminaux des utilisateurs ne répondent pas aux standards des systèmes IT. Ou ils ne sont pas aussi bien sécurisés que ne pourraient l’être des terminaux utilisés à distance en temps normal. Quelle que soit la situation, un déploiement rapide du travail à distance se traduit souvent par une sécurité et une visibilité moins parfaite des utilisateurs et des points d'extrémité distants ».
Taillé pour Office 365
Cisco Endpoint Security Analytics permet d’aller plus loin en utilisant l'analyse comportementale pour détecter les menaces, comme des initiés malveillants, des dépôts de malwares et autres activités non-détectables par les systèmes de détection de hash de fichiers. « De plus, il est possible de configurer le CESA pour surveiller les points d'extrémité quand ils se trouvent dans et hors du réseau, ce qui permet une visibilité complète de toutes les activités des points d'extrémité », a déclaré M. Pope. La sécurité est le plus grand défi du Split tunneling, car les données qui passent en dehors du VPN doivent toujours être protégées et surveillées. Il est essentiel de savoir quel trafic transite ainsi et comment augmenter sa sécurité.
Cisco n'est pas le seul acteur de l'industrie à s’intéresser au Split tunneling. Microsoft a récemment expliqué comment utiliser l'outil Office 365 Network Onboarding Tool pour évaluer la connectivité VPN et vérifier la sécurité du Split tunneling. Désormais, l’outil peut détecter si un VPN est utilisé et évaluer s’il est configuré pour le Split tunneling recommandé par Office 365. « Le travail à distance oblige les entreprises et leurs services IT à mettre en place un VPN évolutif et performant, capable de prendre en charge Office 365 », a déclaré Microsoft. « Pour les clients distants qui se connectent avec leurs dispositifs au réseau d'entreprise ou à l'infrastructure cloud par VPN, Microsoft recommande d’acheminer les principaux scénarios Office 365 - Microsoft Teams, SharePoint Online et Exchange Online - en passant par une configuration VPN à tunnel fractionné. Ce point est particulièrement important comme stratégie de première ligne pour maintenir une bonne productivité des employés dans des situations de télétravail à grande échelle comme celle imposée par la pandémie de Covid-19 », a déclaré Microsoft.
Commentaire