Blogs > Entreprise

Nouveau rapport de Gartner Research: Le futur de la sécurité des réseaux se trouve dans le cloud

Published on:

Authored by:

Dr Manoj Apte

Nouveau rapport de Gartner Research: Le futur de la sécurité des réseaux se trouve dans le cloud

The IT networking world is evolving rapidly: The new universe of cloud and mobility can neither be built nor scaled on the network architectures of the past. Gartner Research VP analyst Lawrence Orans and distinguished VP analysts Joe Skorupa and Neil MacDonald have authored a new report, The Future of Network Security Is in the Cloud(Skorupa and MacDonald had also authored the earlier report Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge.) From my perspective, Secure Access Service Edge (SASE) represents a new, visionary market paradigm.

(Download the full The Future of Network Security Is in the Cloud report here.)

Ces travaux sont fondamentaux. Je crois qu'Orans, Skorupa et MacDonald ont défini un nouveau modèle architectural de service cloud et de marché des technologies qui trouvera un écho auprès des CTO et CIO de Fortune 2000. Il n'y avait tout simplement pas de définition claire de ce passage massif vers l'informatique de pointe avant SASE.

SASE va bien au-delà du remplacement du MPLS par le SD-WAN, ou des appliances matérielles par le cloud, ou de l'application des principes Zero-trust. Orans, Skorupa et MacDonald nous parlent des leaders de l'informatique qui protègent leurs environnements d'entreprise avec un «accès sécurisé défini par logiciel»:

La complexité, la latence et la nécessité de décrypter et d'inspecter le trafic crypté augmenteront la demande de consolidation des capacités du réseautage et de sécurité en tant que service dans un service d'accès sécurisé (SASE, prononcé « sasse ») fourni par le cloud. [Source: Gartner, Le futur de la sécurité des réseaux se trouve dans le cloud; 30 août 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald] 

À mon avis, SASE (et plus particulièrement son impact sur le cloud et la mobilité d’entreprise ) a l'effet suivant: 

  1. Rend obsolètes les modèles de réseau et de sécurité d'entreprise existants.
  2. Exige des organisations qu'elles adoptent un modèle en tant que service, basé sur le cloud, d'un « edge sécurisé » simple, évolutif et flexible, avec une faible latence et une sécurité élevée.
  3. Exige que les fournisseurs de services de pointe offrent une puissance de calcul à la périphérie d'un réseau largement distribué... aussi près que possible de chaque terminal.


En périphérie: architecture d'un service cloud à faible latence

Les grandes entreprises peinent à créer une connectivité à faible latence entre les terminaux et les applications cloud. Une faible latence exige que les services de sécurité soient proches du terminal. 

Lorsque nous avons conçu le cloud Zscaler, nous avons dû décider si nous devions A) créer une grande plate-forme NFV pour permettre à chaque site distant d'avoir tous les services (c'est le modèle « fat-branch ») ou B) mettre un routeur dans chaque site distant et exécuter des fonctions lourdes dans un cloud largement distribué (« thin branch »). Zscaler a choisi l'approche B dès le départ. 

J'aime citer Chris Drumgoole, directeur informatique de GE, dans son discours clé au Zenith Live l'an dernier: plus vous mettez de code dans la filiale, plus vous aurez des problèmes à résoudre. Comme il l'a explicitement déclaré, la meilleure approche consiste à disposer d'une empreinte aussi légère que possible dans la filiale et à déployer la plupart des fonctions dans le cloud. 

SASE formalise cette approche. SASE prescrit que la filiale doit être légère et que toutes les fonctions complexes, du firewalll au DLP, doivent être offertes « en tant que service » dans le cloud.


Le raccourci coûteux du matériel virtualisé

Face à la demande de services cloud, certains fournisseurs traditionnels d'appliances de sécurité virtualisent leur matériel, répliquant ainsi efficacement les architectures réseau à locataire unique sujettes aux congestions dans le cloud. C'est un raccourci du « modèle en tant que service »: héberger une variété de machines virtuelles dans une séquence et envoyer du trafic à travers chacune d'elles pour effectuer chaque fonction. Et le modèle peut être construit très rapidement dans un cloud comme AWS. Mais SASE déconseille spécifiquement cette approche car elle entraîne des politiques incohérentes, une perte de contexte et une latence élevée.

SASE recommande une approche « en un seul passage »: le service découvre le contexte une fois, puis toutes les fonctions peuvent être exécutées dans ce contexte. 

Cette approche est fondamentale pour le service cloud Zscaler: la technologie SSMA™ de Zscaler a été conçue pour atteindre cet objectif. (Le développement de SSMA était basé sur le fait que chaque client nous disait que l'expérience utilisateur et la cohérence des politiques étaient primordiales.)


Combien de POP votre fournisseur de cloud a-t-il?

Dans l'architecture du cloud Zscaler, nous avons évalué les points de présence (POP) à travers le monde et examiné deux options: 

  1. Construire des centres de calcul dans dix ou douze grands data centers, créer des POP et établir notre propre réseau de base; ou 

  2. Construire des centres de calcul dans chaque POP afin que tous les services soient exécutés à la périphérie sécurisée du cloud.

Alors que la première option aurait été moins chère, plus rapide et plus facile à réaliser, elle ne remplit pas l'objectif de faible latence. Elle remplace tout simplement un modèle de backhaul MPLS d'entreprise par un backhaul de fournisseur (de POP à la région de calcul). 

Le fait de placer le traitement en périphérie (dans chaque POP) garantit une latence minimale due au chemin ajouté entre le terminal et l’application. Cette approche est certes plus coûteuse et prend plus de temps à développer, mais une fois construite, elle permet aux utilisateurs de passer de n’importe quel périphérique sur n’importe quel réseau à n’importe quelle application sur n’importe quel réseau avec un temps de latence minimal. Au fur et à mesure de l'adoption de Zscaler, nous avons établi des relations directes de peering avec des fournisseurs de services tels que Orange Business, BT, AT&T, TATA, etc. En ce qui concerne les fournisseurs de contenu / application cloud, Zscaler collabore avec Microsoft, Google, Akamai et beaucoup d'autres. (Les partenaires valorisent le volume: une revendication d'une capacité de peering de 100Gbits/s de la part d'un fournisseur n'a aucun sens si le trafic est nul. À plus de 700Gbits/s pris en charge par de nombreuses applications cloud, la plupart des fournisseurs de cloud et de fournisseurs de services sont compatible avec Zscaler.)

Prenons le cas d'un client OBS à Singapour qui se connecte à Office 365 via le cloud Zscaler. Lorsqu'un terminal génère un paquet de données vers O365, le chemin est déterministe: OBS et ses partenaires assurent la dernière ligne droite. OBS collabore avec Zscaler à Singapour, de sorte que lorsque le paquet quitte la fibre OBS, il se connecte à la frontière de Zscaler via un routeur / commutateur. Zscaler collabore également avec Microsoft, ce qui signifie qu'au-delà de la pile d'inspection Zscaler, ce paquet arrive dans la fibre de Microsoft en un seul saut.

Comparez cela à un service de périphérie (comme par exemple un firewall) hébergé dans Google Cloud. Le paquet de données serait acheminé de OBS à Google via un réseau de peering, puis via le réseau de base de Google vers l’une des régions où Google effectue des calculs. Le paquet passe maintenant par la pile de sécurité, puis est renvoyé sur le réseau Google vers un emplacement de peering, puis (enfin) vers le réseau de base de Microsoft. Ce routage de trafic de données inutilement étendu, long, rendant le réseau instable et favorisant la latence est exactement ce que SASE rejette.

Le modèle SASE est une vision idéale de l’architecture cloud -- mais sa mise en œuvre nécessite des investissements importants en termes d’infrastructure. Vous ne pouvez pas simplement déposer un service dans AWS et l'appeler SASE. SASE recommande explicitement que les services informatiques de périphérie ne soient pas exécutés dans des clouds conçus pour la fourniture d'applications. Pour le moment, aucun fournisseur IaaS ou PaaS n'offre une plate-forme suffisamment distribuée pour un pur calcul en périphérie en tant que service. (C'est probablement Lambda qui s'en rapproche le plus.)  


SASE: le nouveau « moteur du commerce numérique »

En fin de compte, la grande promesse de SASE réside dans l'opportunité qu'il offre aux responsables informatiques de transformer leurs organisations. Les analystes Orans, Skorupa et MacDonald de Gartner recommandent à ces leaders en informatique de « positionner l'adoption de SASE comme un moteur du commerce numérique au nom de la vitesse et de l'agilité. » Entre autres recommandations, ils conseillent aussi aux responsables de la sécurité et de la gestion des risques de consolider les services. En outre, les analystes de Gartner recommandent aux entreprises de « réduire la complexité du point de vue de la sécurité du réseau en passant au mieux à un fournisseur pour la passerelle Web sécurisée (SWG), le courtier de sécurité d'accès au cloud (Cloud Access Security Broker), le DNS, Zero Trust network access (ZTNA), et des capacités d'isolation de navigateur distant. »

Zscaler customers know that the cloud-computing service delivery future is highly-distributed, secured, and powered at the edge, close to every user. To learn more, download the Gartner report here.

Gartner, The Future of Network Security Is in the Cloud; 30 August 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Manoj Apte est le directeur de la stratégie de Zscaler

 



Blogs suggérés