Vous souhaitez en faire l’expérience par vous-même ? Explorez notre offre SASE et découvrez comment elle peut aider votre entreprise.
Le SASE (qui se prononce « sassy ») fait référence à l’ensemble du cadre, et non à une technologie spécifique. Dans son rapport de 2019, « Le futur de la sécurité des réseaux se trouve dans le cloud » (The Future of Network Security is in the Cloud), Gartner définit le cadre SASE comme une solution de cybersécurité basée sur le cloud qui offre « des capacités WAN complètes avec des fonctions de sécurité réseau complètes (telles que SWG, CASB, FWaaS et ZTNA) pour répondre aux besoins dynamiques d’accès sécurisé des entreprises digitales ».
Le SASE se distingue du SSE (Security Service Edge), défini par Gartner comme un sous-ensemble du SASE qui se concentre uniquement sur les services de sécurité nécessaires à partir d’une plateforme cloud SASE.
Une architecture SASE combine un réseau étendu défini par logiciel (SD-WAN) ou un autre réseau étendu avec plusieurs fonctions de sécurité (par exemple, CASB, anti-malware), sécurisant votre trafic réseau par la somme de ces fonctions.
Les approches traditionnelles de l’inspection et de la vérification, comme le transfert du trafic via un Multiprotocol Label Switching (MPLS) vers les pare-feu de votre data center, sont efficaces si vos utilisateurs s’y trouvent. Mais aujourd’hui, avec un grand nombre d’utilisateurs disséminés dans des emplacements distants, télétravail, etc., cet « hairpinning » (qui consiste à transférer le trafic des utilisateurs distants vers votre data center, à l’inspecter, puis à le renvoyer), a tendance à réduire la productivité et à nuire à l’expérience de l’utilisateur final.
Ce qui distingue le SASE des solutions ponctuelles et des autres stratégies de mise en réseau sécurisée, c’est qu’il est à la fois sécurisé et direct. Plutôt que de s’appuyer sur la sécurité de votre data center, le trafic provenant des appareils de vos utilisateurs est inspecté à un point de présence proche (le point d’application) et envoyé à sa destination à partir de là. Cela signifie un accès plus efficace aux applications et aux données, ce qui en fait la bien meilleure option pour protéger le personnel et les données distribués dans le cloud.
Bien que le SASE ait suscité beaucoup d’intérêt de la part des fournisseurs de services et des médias spécialisés dans les réseaux et la sécurité, le principe fondamental sur lequel est basé le cadre SASE est ce qui le rend le plus convaincant : les architectures de sécurité et de réseau centrées sur le data center sont devenues inefficaces. Cette notion n’est pas un simple slogan marketing ; le secteur l’a largement acceptée.
Alors, pourquoi une solution SASE est-elle tellement plus intéressante que la sécurité traditionnelle des réseaux d’entreprise, qui relie les bureaux via des réseaux privés et achemine le trafic via des passerelles web sécurisées et des pare-feu ?
Comme le souligne Gartner, les modèles traditionnels dans le cadre desquels la connectivité et la sécurité sont centrées sur le data center devraient plutôt se concentrer sur l’identité des utilisateurs et des appareils. Selon le rapport, « dans une entreprise digitale moderne centrée sur le cloud, les utilisateurs, les appareils et les applications auxquelles ils doivent avoir un accès sécurisé se trouvent partout ».
En d’autres termes, les flux de travail, les modèles de trafic et les cas d’utilisation actuels sont bien différents aujourd’hui de ce qu’ils étaient lorsque les réseaux en étoile ont été conçus. Ce pour diverses raisons :
Gartner, « Le futur de la sécurité des réseaux se trouve dans le cloud », 30 août 2019 ; Lawrence Orans, Joe Skorupa, Neil MacDonald
Le SASE peut être décomposé en six éléments essentiels en termes de capacités et de technologies :
1. SD-WAN (réseau étendu défini par logiciel)
Le SD-WAN désigne une architecture superposée qui réduit la complexité et optimise l’expérience utilisateur en sélectionnant la meilleure route pour le trafic vers Internet, les applications cloud et le data center. Il permet également le déploiement rapide de nouvelles applications et de nouveaux services, et vous aide à gérer les politiques sur un grand nombre d’emplacements.
2. Secure Web Gateway (SWG)
Les SWG empêchent le trafic Internet non sécurisé de s’infiltrer dans votre réseau interne. Elles empêchent vos employés et vos utilisateurs d’accéder au trafic Web malveillant, aux sites Web présentant des vulnérabilités, aux virus transmis par Internet, aux malwares et aux autres cybermenaces, et d’être infectés par ceux-ci.
3. Cloud Access Security Broker (CASB)
Les CASB préviennent les fuites de données, l’infection par des malwares, la non-conformité aux réglementations et le manque de visibilité en garantissant une utilisation sécurisée des applications et services cloud. Ils sécurisent les applications cloud hébergées dans les clouds publics (IaaS), les clouds privés ou fournies sous forme de logiciel utilisés en tant que service (SaaS).
4. Pare-feu cloud en tant que service (FWaaS)
Le FWaaS vous aide à remplacer les appliances de pare-feu physiques par des pare-feu cloud qui proposent des fonctionnalités avancées de pare-feu de couche 7/de nouvelle génération (NGFW), notamment des contrôles d’accès, comme le filtrage des URL, la prévention des menaces avancées, les systèmes de prévention des intrusions (IPS) et la sécurité DNS.
5. Zero Trust Network Access (ZTNA)
Les produits et services ZTNA procurent aux utilisateurs distants un accès sécurisé aux applications internes. Avec un modèle Zero Trust, la confiance n’est jamais implicite, et l’accès sur la base du moindre privilège est accordé en fonction de politiques granulaires. Il fournit aux utilisateurs distants une connectivité sécurisée sans les placer sur votre réseau ni exposer vos applications à Internet.
6. Gestion centralisée
La gestion de tous ces facteurs à partir d’une console unique vous permet d’éliminer bon nombre des difficultés liées au contrôle des modifications, à la gestion des correctifs, à la coordination des fenêtres d’interruption et à la gestion des politiques, tout en appliquant des politiques cohérentes dans toute l’entreprise, quel que soit l’endroit depuis lequel les utilisateurs se connectent.
Comment une entreprise peut-elle appliquer les contrôles d’accès et la sécurité tout en respectant ces réalités communes ? C’est là qu’intervient une plateforme SASE regroupant des capacités WAN (SD-WAN) et des services de sécurité complets. Le SASE basé sur le cloud offre des avantages considérables aux entreprises qui délaissent l’infrastructure et la sécurité traditionnelles des réseaux d’entreprise sur site au profit des services cloud, de la mobilité et d’autres aspects de la transformation digitale.
Alors qu’elles s’efforcent de sécuriser l’accès aux services cloud, de protéger les utilisateurs et les appareils distants et de combler d’autres lacunes de sécurité, les entreprises ont été contraintes d’adopter un éventail de solutions de sécurité qui ont alourdi les coûts et les frais de gestion. Même ainsi, le modèle de sécurité des réseaux sur site n’est tout simplement pas efficace dans un monde digital.
Au lieu d’essayer d’utiliser un concept ancien pour résoudre un problème moderne, le SASE réinvente le modèle de sécurité. Plutôt que de se concentrer sur un périmètre sécurisé, le SASE se concentre sur les entités, notamment les utilisateurs. S’appuyant sur le concept d’informatique de périphérie ou « edge computing » (traitement des informations à proximité des utilisateurs et des systèmes qui en ont besoin), les services SASE rapprochent la sécurité et l’accès des utilisateurs. En utilisant les politiques de sécurité de l’organisation, le SASE autorise ou refuse dynamiquement les connexions aux applications et aux services.
Lorsque les utilisateurs étaient sur le réseau et que le service informatique détenait et gérait les applications et l’infrastructure, il était facile de contrôler et d’anticiper l’expérience utilisateur. Aujourd’hui, même avec des environnements multicloud distribués, de nombreuses entreprises utilisent encore des VPN pour connecter les utilisateurs à leurs réseaux à des fins de sécurité. Cependant, les VPN procurent une expérience utilisateur médiocre et élargissent la surface d’attaque d’une entreprise en exposant les adresses IP.
Au lieu de cette dégradation, le SASE propose une optimisation : la sécurité doit être appliquée à proximité des ressources devant être sécurisées. Plutôt que d’envoyer l’utilisateur vers la sécurité, il envoie la sécurité vers l’utilisateur. Le SASE sécurise le cloud, en gérant intelligemment et en temps réel les connexions aux points d’échanges Internet, mais également en optimisant les connexions aux applications et services cloud pour garantir une faible latence.
En tant que solution cloud native, le SASE est conçu pour relever les défis uniques liés au risque de cette nouvelle réalité que sont les utilisateurs et les applications distribués. En définissant la sécurité, notamment la protection contre les menaces et la protection contre la perte de données (DLP), comme une partie essentielle du modèle de connectivité, elle garantit que toutes les connexions sont inspectées et sécurisées, indépendamment de l’emplacement, de l’application ou du chiffrement.
Zero Trust Network Access (ZTNA) désigne un élément clé du cadre SASE qui fournit aux utilisateurs mobiles, aux télétravailleurs et aux filiales un accès sécurisé aux applications tout en éliminant la surface d’attaque et le risque de déplacement latéral sur le réseau.
La transformation digitale des entreprises exige une plus grande agilité et une plus grande évolutivité, associées à une réduction de la complexité et à une amélioration de la sécurité. De plus, les entreprises modernes doivent faire en sorte que leurs utilisateurs bénéficient des meilleures expériences, où qu’ils soient.
Ces circonstances ont fait passer le SASE de la catégorie« intéressant » à celle de « nécessité ». En voici quatre raisons :
Tout cela a poussé les fournisseurs de réseaux et de sécurité à bricoler leurs propres versions d’une architecture SASE. Nombre de ces fournisseurs prétendent concevoir un produit fourni dans le cloud, mais la vérité est qu’un grand nombre d’entre eux ne sont qu’une « plateforme cloud » construite sur du matériel traditionnel.
Un seul fournisseur est en mesure de proposer un modèle SASE véritablement fourni dans le cloud. Pour quelles raisons ? Parce que nous avons construit notre plateforme dans le cloud, pour le cloud.
Gartner, Le futur de la sécurité du réseau est dans le cloud
Zscaler Zero Trust Exchange™, notre solution SASE, vous propose un modèle rapide, flexible, simple et sécurisé pour connecter les utilisateurs et les appareils. Notre plateforme est facile à déployer et à gérer en tant que service automatisé fourni dans le cloud, et sa distribution à l’échelle mondiale signifie que vos utilisateurs sont toujours à quelques pas de leurs applications.
Voici ce qui rend notre SASE unique :
Grâce au peering avec des centaines de partenaires dans les principaux échanges Internet à travers le monde, Zero Trust Exchange garantit à vos utilisateurs une performance et une fiabilité optimales.
Vous souhaitez en faire l’expérience par vous-même ? Explorez notre offre SASE et découvrez comment elle peut aider votre entreprise.
Une véritable solution SASE nécessite une architecture axée sur le cloud
Lire le blogDiscussion sectorielle avec Gartner : le SASE est l’avenir de la sécurité du réseau
Vidéo à la demandeSASE Zscaler : une architecture moderne pour un monde axé sur la mobilité et le cloud
En savoir plus