Zscaler Cloud Security Logo
Ressources > Glossaire des termes de sécurité > Qu’est-ce que le SASE

Qu’est-ce que le SASE (Secure Access Service Edge) ?

Feuille de route stratégique Gartner pour la convergence SASE

Qu’est-ce que le SASE ?

Secure Access Service Edge (SASE), qui se prononce « sassy »), est un cadre défini par Gartner comme le moyen de connecter en toute sécurité des entités telles que des utilisateurs, des systèmes et des endpoints à des applications et des services qui peuvent être situés n’importe où. Mais le SASE n’est pas une technologie unique. Dans son rapport de 2019, « Le Futur de la sécurité des réseaux se trouve dans le cloud » (The Future of Network Security is in the Cloud), Gartner définit le cadre SASE comme une solution de cybersécurité basée sur le cloud qui offre « des capacités WAN complètes avec des fonctions de sécurité réseau complètes (telles que SWG, CASB, FWaaS et ZTNA) pour répondre aux besoins dynamiques d’accès sécurisé des entreprises digitales ».

Le SASE se distingue du Security Service Edge (SSE), défini par Gartner comme un sous-ensemble du SASE qui se concentre uniquement sur les services de sécurité nécessaires à partir d’une plateforme cloud SASE.

 

Fonctionnement du SASE

Une architecture SASE combine un réseau étendu défini par logiciel (SD-WAN) ou un autre réseau étendu avec plusieurs fonctions de sécurité (par exemple, CASB, anti-malware), sécurisant votre trafic réseau par la somme de ces fonctions.

Les approches traditionnelles de l’inspection et de la vérification, comme le transfert du trafic via un Multiprotocol Label Switching (MPLS) vers les pare-feu de votre data center, sont efficaces si vos utilisateurs s’y trouvent. Mais aujourd’hui, avec un grand nombre d’utilisateurs disséminés dans des emplacements distants, télétravail, etc., cet « hairpinning » (qui consiste à transférer le trafic des utilisateurs distants vers votre data center, à l’inspecter, puis à le renvoyer), a tendance à réduire la productivité et à nuire à l’expérience de l’utilisateur final.

Ce qui distingue le SASE des solutions ponctuelles et des autres stratégies de mise en réseau sécurisée, c’est qu’il est à la fois sécurisé et direct. Plutôt que de s’appuyer sur la sécurité de votre data center, le trafic provenant des appareils de vos utilisateurs est inspecté à un point de présence proche (le point d’application) et envoyé à sa destination à partir de là. Cela signifie un accès plus efficace aux applications et aux données, ce qui en fait la bien meilleure option pour protéger le personnel et les données distribués dans le cloud.

SASE n’est-il rien de plus qu’un mot à la mode ?

Si le SASE a attiré l’attention des fournisseurs et des médias spécialisés dans les réseaux et la sécurité, nous pensons que le principe fondamental sur lequel est basé le cadre SASE est ce qui le rend le plus convaincant : les architectures de sécurité et de réseau centrées sur le data center sont devenues inefficaces. Cette notion n’est pas simplement une tendance ou un slogan marketing ; le secteur l’a largement acceptée. Alors, pourquoi une solution SASE est tellement plus intéressante que la sécurité traditionnelle des réseaux d’entreprise, qui relie les bureaux via des réseaux privés et achemine le trafic via des passerelles Web sécurisées et des pare-feu ?

Comme le souligne Gartner, les modèles traditionnels dans le cadre desquels la connectivité et la sécurité sont centrées sur le data center devraient plutôt se concentrer sur l’identité des utilisateurs et des appareils. Selon le rapport, « dans une entreprise digitale moderne centrée sur le cloud, les utilisateurs, les appareils et les applications auxquelles ils doivent avoir un accès sécurisé se trouvent partout ». En d’autres termes, les flux de travail, les modèles de trafic et les cas d’utilisation actuels sont bien différents aujourd’hui de ce qu’ils étaient lorsque les réseaux en étoile ont été conçus. En voici les raisons :

  • Le trafic des utilisateurs se dirige davantage vers les services cloud que vers les data centers.
  • Plus de travail est effectué en dehors du réseau que sur celui-ci
  • Un plus grand volume de travail s’exécute dans les services clouds que dans les data centers.
  • Les applications SaaS sont plus nombreuses que celles qui sont hébergées localement.
  • Les services cloud contiennent plus de données sensibles que le réseau d'entreprise.
Au lieu d’enfouir le périmètre de sécurité dans une boîte à la périphérie du data center, le périmètre est maintenant partout où l’entreprise en a besoin : un service d’accès sécurisé créé dynamiquement et basé sur des politiques.
Gartner, The Future of Network Security is in the Cloud ; 30 août 2019 ; Lawrence Orans, Joe Skorupa, Neil MacDonald

 

Composants du modèle SASE

Vous pouvez décomposer le SASE en six éléments essentiels en termes de capacités et de technologies.

 

1. SD-WAN (réseau étendu défini par logiciel)

Le SD-WAN est une architecture superposée qui réduit la complexité et optimise l’expérience utilisateur en sélectionnant la meilleure route pour le trafic vers Internet, les applications cloud et le data center. Il permet également le déploiement rapide de nouvelles applications et de nouveaux services, et vous aide à gérer les politiques sur un grand nombre de sites.

 

2. Secure Web Gateway (SWG)

Les passerelles SWG empêchent le trafic Internet non sécurisé de s’introduire dans votre réseau interne. Elles empêchent vos employés et vos utilisateurs d’accéder au trafic Web malveillant, aux sites Web présentant des vulnérabilités, aux virus transmis par Internet, aux logiciels malveillants et aux autres cybermenaces, et d’être infectés par ceux-ci.

 

3. Cloud Access Security Broker (CASB)

Les CASB garantissent une utilisation sûre des applications et services cloud pour éviter les fuites de données, les infections par des programmes malveillants, la non-conformité aux réglementations et le manque de visibilité. Les CASB sécurisent les applications cloud, qu’elles soient hébergées dans des clouds publics (IaaS), des clouds privés ou fournies sous forme de logiciel en tant que service (SaaS).

 

4. Pare-feu cloud en tant que service (FWaaS)

Le FWaaS vous aide à remplacer les appliances de pare-feu physiques par des pare-feu cloud qui offrent des fonctionnalités avancées de pare-feu de couche 7/de nouvelle génération (NGFW), notamment des contrôles d’accès, comme le filtrage des URL, la prévention des menaces avancées, les systèmes de prévention des intrusions (IPS) et la sécurité DNS.

 

5. Zero Trust Network Access (ZTNA)

Les produits et services ZTNA procurent aux utilisateurs distants un accès sécurisé à vos applications internes. Dans le modèle Zero Trust, la confiance n’est jamais implicite, et l’accès sur la base du moindre privilège est accordé sur la base de politiques granulaires. ZTNA fournit aux utilisateurs distants une connectivité sécurisée sans les placer sur votre réseau ni exposer vos applications à Internet.

 

6. Gestion centralisée

La gestion de tous ces facteurs à partir d’une console unique vous permet d’éliminer bon nombre des difficultés liées au contrôle des modifications, à la gestion des correctifs, à la coordination des fenêtres d’interruption et à la gestion des politiques, tout en appliquant des politiques cohérentes dans toute l’entreprise, quel que soit l’endroit où les utilisateurs se connectent.

 

Les 3 avantages du SASE

Comment une entreprise peut-elle appliquer les contrôles d’accès et la sécurité tout en respectant ces réalités communes ? C’est là qu’intervient une plateforme SASE regroupant des capacités WAN (SD-WAN) et des services de sécurité complets. Le SASE basé sur le cloud offre des avantages considérables aux entreprises qui délaissent l’infrastructure et la sécurité traditionnelles des réseaux d’entreprise sur site au profit des services cloud, de la mobilité et d’autres aspects de la transformation digitale.

 

1. Le SASE réduit les coûts et la complexité informatiques.

Alors qu’elles s’efforcent de sécuriser l’accès aux services cloud, de protéger les utilisateurs et les appareils distants et de combler d’autres lacunes de sécurité, les entreprises ont été contraintes d’adopter un éventail de solutions de sécurité qui ont alourdi les coûts et les frais de gestion. Même ainsi, le modèle de sécurité des réseaux sur site n’est tout simplement pas efficace dans un monde digital. Au lieu d’essayer d’utiliser un concept ancien pour résoudre un problème moderne, le SASE réinvente le modèle de sécurité. Plutôt que de se concentrer sur un périmètre sécurisé, le SASE se concentre sur les entités, notamment les utilisateurs. S’appuyant sur le concept d’informatique de périphérie ou « edge computing » (traitement des informations à proximité des utilisateurs et des systèmes qui en ont besoin), les services SASE rapprochent la sécurité et l’accès des utilisateurs. En utilisant les politiques de sécurité de l’organisation, le SASE autorise ou refuse dynamiquement les connexions aux applications et aux services.

 

2. Le modèle SASE offre une expérience utilisateur rapide et transparente.

Lorsque les utilisateurs étaient sur le réseau et que le service informatique détenait et gérait les applications et l’infrastructure, il était facile de contrôler et d’anticiper l’expérience utilisateur. Aujourd’hui, même avec des environnements multi-cloud distribués, de nombreuses entreprises utilisent encore des VPN pour connecter les utilisateurs à leurs réseaux à des fins de sécurité. Cependant, les VPN procurent une expérience utilisateur médiocre et élargissent la surface d’attaque d’une entreprise en exposant les adresses IP. Au lieu de cette dégradation, le SASE propose une optimisation : la sécurité doit être appliquée à proximité de ce qui doit être sécurisé. Plutôt que d’envoyer l’utilisateur vers la sécurité, il envoie la sécurité vers l’utilisateur. Le SASE sécurise le cloud, en gérant intelligemment et en temps réel les connexions aux points d’échanges Internet et en optimisant les connexions aux applications et services cloud pour garantir une faible latence.

 

3. Le SASE réduit les risques.

En tant que solution cloud native, le SASE est conçu pour relever les défis uniques liés au risque de cette nouvelle réalité que sont les utilisateurs et les applications distribués. En définissant la sécurité, y compris la protection contre les menaces et la prévention contre la perte de données (DLP), comme un élément central du modèle de connectivité et non comme une fonction distincte, il garantit que toutes les connexions sont inspectées et sécurisées, quels que soient l’endroit où les utilisateurs se connectent, les applications auxquelles ils accèdent ou le type de chiffrement utilisé. Un élément clé du cadre SASE est le Zero Trust Network Access (ZTNA), qui fournit aux utilisateurs mobiles, aux travailleurs distants et aux filiales un accès sécurisé aux applications tout en éliminant la surface d’attaque et le risque de déplacement latéral sur le réseau.

Pourquoi le SASE est essentiel à la transformation digitale

La transformation digitale des entreprises a fait naître le besoin d’une plus grande agilité et d’une plus grande évolutivité associée à une complexité réduite. Les entreprises réalisent qu’elles doivent fournir un accès cohérent, sécurisé et global aux données, applications et services de l’entreprise, quels que soient les emplacements ou les appareils des utilisateurs. La solution Zscaler SASE apporte aux entreprises un modèle entièrement nouveau de connexion des utilisateurs et des appareils, qui est rapide, flexible, simple et sécurisé. Avec l’aide d’un fournisseur de services SASE cloud natif, les organisations qui adoptent le SASE disposeront de la vitesse et de l’agilité nécessaires pour se transformer en vue d’un avenir digital.

D’ici 2024, au moins 40 % des entreprises disposeront de stratégies concrètes pour adopter le SASE, contre moins de 1 % à la fin de l’année 2018.
Gartner, The Future of Network Security is in the Cloud ; 30 août 2019 ; Lawrence Orans, Joe Skorupa, Neil MacDonald

Zscaler et SASE

Nous proposons une solution SASE complète, conçue pour la performance et l’évolutivité : Zscaler Zero Trust Exchange™. Facile à déployer et à gérer en tant que service automatisé fourni dans le cloud, notre plateforme distribuée partout dans le monde garantit que les utilisateurs sont toujours à proximité de leurs applications. Aucun utilisateur ou application n’est intrinsèquement fiable. Au contraire, notre moteur de politiques établit la confiance avant toute connexion, en déterminant les niveaux d’accès et les restrictions appropriés en fonction de l’utilisateur, de l’appareil, de l’application, de l’emplacement et du contenu, afin de préserver la sécurité de vos utilisateurs et de vos données.

Diagramme montrant comment la plateforme SASE basée sur le cloud offre d’importants avantages aux entreprises

Ce qui rend notre SASE unique

  • L’architecture cloud native et multi-entité évolue dynamiquement suivant la demande.
  • L’architecture est basée sur proxy pour une inspection complète du trafic chiffré à grande échelle.
  • La sécurité et les politiques sont rapprochées des utilisateurs afin d’éliminer tout backhauling inutile.
  • Zero Trust Network Access (ZTNA) restreint l’accès pour fournir une segmentation native des applications.
  • Une surface d’attaque nulle empêche les attaques ciblées car vos réseaux et identités sources ne sont pas exposés à Internet.

Grâce au peering avec des centaines de partenaires dans les principaux échanges Internet à travers le monde, une plateforme SASE garantit à vos utilisateurs une performance et une fiabilité optimales.

 

Ressources supplémentaires