NOPE LinkedIn

Catégories:
Security

Qu’est-ce que Secure Access Service Edge (SASE) ?

Important

Article original sur le site Zscaler.fr

Le contenu de cette page est une prise de note de l’article Le but est uniquement de concentrer l’information par thèmes.

Que signifie SASE ?

Le SASE (prononcé « sassy »), ou Secure Access Service Edge, défini pour la première fois par Gartner dans le rapport de 2019 « L’avenir de la sécurité des réseaux est dans le cloud », désigne une convergence des capacités WAN avec les fonctions de sécurité réseau destinées à offrir aux entreprises une plus grande agilité, des performances réseau plus solides et plus fiables, une visibilité et un contrôle plus profonds et plus granulaires sur des environnements informatiques hétérogènes, et bien plus encore.

Le SASE se distingue du SSE (Security Service Edge), défini par Gartner comme un sous-ensemble du SASE qui se concentre uniquement sur les services de sécurité nécessaires à partir d’une plateforme cloud SASE.

Comment fonctionne le SASE ?

Une architecture SASE combine un réseau étendu défini par logiciel (SD-WAN) ou un autre réseau étendu avec plusieurs fonctions de sécurité (par exemple, CASB, anti-malware), sécurisant votre trafic réseau par la somme de ces fonctions.

Les approches traditionnelles de l’inspection et de la vérification, comme le transfert du trafic via un protocole Multiprotocol Label Switching (MPLS) vers les pare-feu de votre data center, sont efficaces si vos utilisateurs s’y trouvent. Mais aujourd’hui, avec un grand nombre d’utilisateurs disséminés dans des emplacements distants, cet « hairpinning » (qui consiste à transférer le trafic des utilisateurs distants vers votre data center, à l’inspecter, puis à le renvoyer), a tendance à réduire la productivité et à nuire à l’expérience de l’utilisateur final.

Le SASE se distingue des solutions ponctuelles et des autres stratégies de mise en réseau sécurisées parce qu’il est à la fois sécurisé et direct. Plutôt que de s’appuyer sur la sécurité de votre data center, le trafic provenant des appareils de vos utilisateurs est inspecté à un point de présence à proximité et envoyé à sa destination à partir de là. Cela signifie un accès plus efficace aux applications et aux données, ce qui en fait la bien meilleure option pour protéger le personnel et les données distribués dans le cloud.

SASE n’est-il rien de plus qu’un mot à la mode ?

Bien que le SASE ait suscité beaucoup d’intérêt de la part des fournisseurs de services et des médias spécialisés dans les réseaux et la sécurité, le principe fondamental sur lequel est basé le cadre SASE est ce qui le rend le plus convaincant : les architectures de sécurité et de réseau centrées sur le data center sont devenues inefficaces. Cette notion n’est pas un simple slogan marketing ; le secteur l’a largement acceptée.

Alors, pourquoi une solution SASE est-elle tellement plus intéressante que la sécurité traditionnelle des réseaux d’entreprise, qui relie les bureaux via des réseaux privés et achemine le trafic via des passerelles web sécurisées et des pare-feu ?

Comme le souligne Gartner, les modèles traditionnels dans le cadre desquels la connectivité et la sécurité sont centrées sur le data center devraient plutôt se concentrer sur l’identité des utilisateurs et des appareils. Selon le rapport, « dans une entreprise digitale moderne centrée sur le cloud, les utilisateurs, les appareils et les applications auxquelles ils doivent avoir un accès sécurisé se trouvent partout ».

En d’autres termes, les flux de travail, les modèles de trafic et les cas d’utilisation actuels sont bien différents aujourd’hui de ce qu’ils étaient lorsque les réseaux en étoile ont été conçus. Ce pour diverses raisons :

  • Le trafic des utilisateurs se dirige davantage vers les services cloud que vers les data centers.
  • Un volume plus élevé de tâches est effectué en dehors du réseau que sur celui-ci.
  • Un plus grand volume de travail s’exécute dans les services clouds que dans les data centers.
  • Les applications SaaS sont plus nombreuses que celles qui sont hébergées localement.
  • Les services cloud contiennent plus de données sensibles que le réseau d’entreprise.

Au lieu d’enfouir le périmètre de sécurité dans une boîte à la périphérie du data center, le périmètre est maintenant partout où l’entreprise en a besoin : un service d’accès sécurisé créé dynamiquement et basé sur des politiques.

Gartner, « Le futur de la sécurité des réseaux se trouve dans le cloud », 30 août 2019 ; Lawrence Orans, Joe Skorupa, Neil MacDonald

Composants du modèle SASE

Le SASE peut être décomposé en six éléments essentiels en termes de capacités et de technologies :

  1. SD-WAN (réseau étendu défini par logiciel)

Le SD-WAN désigne une architecture superposée qui réduit la complexité et optimise l’expérience utilisateur en sélectionnant le meilleur routage pour le trafic vers Internet, les applications cloud et le data center. Il permet également le déploiement rapide de nouvelles applications et de nouveaux services, et vous aide à gérer les politiques sur un grand nombre de sites.

  1. Secure Web Gateway (SWG)

Les SWG empêchent le trafic Internet non sécurisé de s’infiltrer dans votre réseau interne. Elles empêchent vos employés et vos utilisateurs d’accéder au trafic Web malveillant, aux sites Web présentant des vulnérabilités, aux virus transmis par Internet, aux malwares et aux autres cybermenaces, et d’être infectés par ceux-ci.

  1. Cloud Access Security Broker (CASB)

Les CASB préviennent les fuites de données, l’infection par des malwares, la non-conformité aux réglementations et le manque de visibilité en garantissant une utilisation sécurisée des applications et services cloud. Ils sécurisent les applications cloud hébergées dans les clouds publics (IaaS), les clouds privés ou fournies sous forme de logiciel utilisés en tant que service (SaaS).

  1. Pare-feu cloud en tant que service (FWaaS)

Le FWaaS vous aide à remplacer les appliances de pare-feu physiques par des pare-feu cloud qui proposent des fonctionnalités avancées de pare-feu de couche 7/de nouvelle génération (NGFW), notamment des contrôles d’accès, comme le filtrage des URL, la prévention des menaces avancées, les systèmes de prévention des intrusions (IPS) et la sécurité DNS.

  1. Zero Trust Network Access (ZTNA)

Les solutions ZTNA procurent aux utilisateurs distants un accès sécurisé aux applications internes. Avec un modèle Zero Trust, la confiance n’est jamais implicite, et l’accès sur la base du moindre privilège est accordé en fonction de politiques granulaires. Il fournit aux utilisateurs distants une connectivité sécurisée sans les placer sur votre réseau ni exposer vos applications à Internet.

  1. Gestion centralisée

La gestion de tous ces facteurs à partir d’une console unique vous permet d’éliminer bon nombre des difficultés liées au contrôle des modifications, à la gestion des correctifs, à la coordination des fenêtres d’interruption et à la gestion des politiques, tout en appliquant des politiques cohérentes dans toute l’entreprise, quel que soit l’endroit depuis lequel les utilisateurs se connectent.

Les 3 avantages du SASE

Comment une entreprise peut-elle appliquer les contrôles d’accès et la sécurité tout en respectant ces réalités communes ? C’est là qu’intervient une plateforme SASE regroupant des capacités WAN (SD-WAN) et des services de sécurité complets. Le SASE basé sur le cloud offre des avantages considérables aux entreprises qui délaissent l’infrastructure et la sécurité traditionnelles des réseaux d’entreprise sur site au profit des services cloud, de la mobilité et d’autres aspects de la transformation digitale.

  1. Réduction des coûts et de la complexité de l’informatique Alors qu’elles s’efforcent de sécuriser l’accès aux services cloud, de protéger les utilisateurs et les appareils distants et de combler d’autres lacunes de sécurité, les entreprises ont adopté un éventail de solutions de sécurité qui ont alourdi les coûts et les frais de gestion. Même ainsi, le modèle de sécurité des réseaux sur site n’est tout simplement pas efficace dans un monde digital.

Au lieu d’essayer d’utiliser un concept ancien pour résoudre un problème moderne, le SASE réinvente le modèle de sécurité. Plutôt que de se concentrer sur un périmètre sécurisé, le SASE se concentre sur les entités, notamment les utilisateurs. S’appuyant sur le concept d’informatique de périphérie ou « edge computing » (traitement des informations à proximité des utilisateurs et des systèmes qui en ont besoin), les services SASE rapprochent la sécurité et l’accès des utilisateurs. En utilisant les politiques de sécurité de l’organisation, le SASE autorise ou refuse dynamiquement les connexions aux applications et aux services.

  1. Expérience utilisateur rapide et transparente Lorsque les utilisateurs étaient sur le réseau et que le service informatique détenait et gérait les applications et l’infrastructure, il était facile de contrôler et d’anticiper l’expérience utilisateur. Aujourd’hui, même avec des environnements multicloud distribués, de nombreuses entreprises utilisent encore des VPN pour connecter les utilisateurs à leurs réseaux à des fins de sécurité. Cependant, les VPN procurent une expérience utilisateur médiocre et élargissent la surface d’attaque d’une entreprise en exposant les adresses IP.

Au lieu de cette dégradation, le SASE propose une optimisation : la sécurité doit être appliquée à proximité des ressources devant être sécurisées. Plutôt que d’envoyer l’utilisateur vers la sécurité, il envoie la sécurité vers l’utilisateur. Le SASE sécurise le cloud, en gérant intelligemment et en temps réel les connexions aux points d’échanges Internet, mais également en optimisant les connexions aux applications et services cloud pour garantir une faible latence.

  1. Réduction des risques En tant que solution cloud native, le SASE est conçu pour relever les défis uniques liés au risque de cette nouvelle réalité que sont les utilisateurs et les applications distribués. En définissant la sécurité, notamment la protection contre les menaces et la protection contre la perte de données (DLP), comme une partie essentielle du modèle de connectivité, elle garantit que toutes les connexions sont inspectées et sécurisées, indépendamment de l’emplacement, de l’application ou du chiffrement.

Zero Trust Network Access (ZTNA) désigne un élément clé du cadre SASE qui fournit aux utilisateurs mobiles, aux télétravailleurs et aux filiales un accès sécurisé aux applications tout en éliminant la surface d’attaque et le risque de déplacement latéral sur le réseau.

Pourquoi le SASE est-il nécessaire ?

La transformation digitale des entreprises exige une plus grande agilité et une plus grande évolutivité, associées à une réduction de la complexité et à une amélioration de la sécurité. De plus, les entreprises modernes doivent faire en sorte que leurs utilisateurs bénéficient des meilleures expériences, où qu’ils soient.

Ces circonstances ont fait passer le SASE de la catégorie« intéressant » à celle de « nécessité ». En voici quatre raisons :

  • Le SASE évolue avec votre entreprise : à mesure que votre entreprise se développe, votre réseau et votre sécurité doivent être en mesure de gérer l’augmentation de la demande qui en résulte. Le SASE permet à votre entreprise, à votre réseau et à votre sécurité d’évoluer de concert grâce à son modèle fourni dans le cloud.
  • Le SASE permet de travailler depuis n’importe où : les traditionnelles architectures en étoile ne peuvent tolérer la bande passante nécessaire pour donner à vos employés à distance la flexibilité dont ils ont besoin pour demeurer productifs. Le SASE en est capable, et ce, tout en maintenant une sécurité de niveau professionnel pour tous les utilisateurs et appareils, où qu’ils se trouvent.
  • Le SASE fait front à l’évolution des cybermenaces : les équipes de sécurité sont en alerte permanente, et se défendent contre les dernières menaces. Le SASE les aide en leur apportant une sécurité supérieure et une plus grande facilité de gestion, donnant à ces équipes le pouvoir de gérer les menaces avancées, d’où qu’elles proviennent.
  • Le SASE vous procure une base pour l’adoption de l’IoT : l’internet des objets se révèle utile pour les entreprises du monde entier, mais pour adopter efficacement la technologie et les capacités IoT, vous devez disposer d’une plateforme solide sur laquelle construire un écosystème IoT. Le SASE vous permet d’atteindre vos objectifs IoT avec une connectivité et une sécurité sans précédent.

Tout cela a poussé les fournisseurs de réseaux et de sécurité à bricoler leurs propres versions d’une architecture SASE. Nombre de ces fournisseurs prétendent concevoir un produit fourni dans le cloud, mais la vérité est qu’un grand nombre d’entre eux ne sont qu’une « plateforme cloud » construite sur du matériel traditionnel.