Qu’est-ce que Secure Access Service Edge (SASE) ? Le SASE (Secure Access Service Edge) désigne un cadre d’architecture réseau qui associe des technologies de sécurité cloud natives (SWG, CASB, ZTNA et FWaaS en particulier) à des capacités de réseau étendu (WAN) pour connecter en toute sécurité les utilisateurs, les systèmes et les terminaux aux applications et aux services, où qu’ils se trouvent. Pour soutenir les opérations agiles modernes, ces capacités sont fournies en tant que service depuis le cloud et peuvent être gérées de manière centralisée.

Que signifie SASE ?

Le SASE (qui se prononce « sassy ») fait référence à l’ensemble du cadre, et non à une technologie spécifique. Dans son rapport de 2019, « Le futur de la sécurité des réseaux se trouve dans le cloud » (The Future of Network Security is in the Cloud), Gartner définit le cadre SASE comme une solution de cybersécurité basée sur le cloud qui offre « des capacités WAN complètes avec des fonctions de sécurité réseau complètes (telles que SWG, CASB, FWaaS et ZTNA) pour répondre aux besoins dynamiques d’accès sécurisé des entreprises digitales ».

Le SASE se distingue du SSE (Security Service Edge), défini par Gartner comme un sous-ensemble du SASE qui se concentre uniquement sur les services de sécurité nécessaires à partir d’une plateforme cloud SASE.

Comment fonctionne le SASE ?

Une architecture SASE combine un réseau étendu défini par logiciel (SD-WAN) ou un autre réseau étendu avec plusieurs fonctions de sécurité (par exemple, CASB, anti-malware), sécurisant votre trafic réseau par la somme de ces fonctions.

Les approches traditionnelles de l’inspection et de la vérification, comme le transfert du trafic via un Multiprotocol Label Switching (MPLS) vers les pare-feu de votre data center, sont efficaces si vos utilisateurs s’y trouvent. Mais aujourd’hui, avec un grand nombre d’utilisateurs disséminés dans des emplacements distants, télétravail, etc., cet « hairpinning » (qui consiste à transférer le trafic des utilisateurs distants vers votre data center, à l’inspecter, puis à le renvoyer), a tendance à réduire la productivité et à nuire à l’expérience de l’utilisateur final.

Ce qui distingue le SASE des solutions ponctuelles et des autres stratégies de mise en réseau sécurisée, c’est qu’il est à la fois sécurisé et direct. Plutôt que de s’appuyer sur la sécurité de votre data center, le trafic provenant des appareils de vos utilisateurs est inspecté à un point de présence proche (le point d’application) et envoyé à sa destination à partir de là. Cela signifie un accès plus efficace aux applications et aux données, ce qui en fait la bien meilleure option pour protéger le personnel et les données distribués dans le cloud.

SASE n’est-il rien de plus qu’un mot à la mode ?

Bien que le SASE ait suscité beaucoup d’intérêt de la part des fournisseurs de services et des médias spécialisés dans les réseaux et la sécurité, le principe fondamental sur lequel est basé le cadre SASE est ce qui le rend le plus convaincant : les architectures de sécurité et de réseau centrées sur le data center sont devenues inefficaces. Cette notion n’est pas un simple slogan marketing ; le secteur l’a largement acceptée.

Alors, pourquoi une solution SASE est-elle tellement plus intéressante que la sécurité traditionnelle des réseaux d’entreprise, qui relie les bureaux via des réseaux privés et achemine le trafic via des passerelles web sécurisées et des pare-feu ?

Comme le souligne Gartner, les modèles traditionnels dans le cadre desquels la connectivité et la sécurité sont centrées sur le data center devraient plutôt se concentrer sur l’identité des utilisateurs et des appareils. Selon le rapport, « dans une entreprise digitale moderne centrée sur le cloud, les utilisateurs, les appareils et les applications auxquelles ils doivent avoir un accès sécurisé se trouvent partout ».

En d’autres termes, les flux de travail, les modèles de trafic et les cas d’utilisation actuels sont bien différents aujourd’hui de ce qu’ils étaient lorsque les réseaux en étoile ont été conçus. Ce pour diverses raisons :

• Le trafic des utilisateurs se dirige davantage vers les services cloud que vers les data centers.
• Un volume plus élevé de tâches est effectué en dehors du réseau que sur celui-ci.
• Un plus grand volume de travail s’exécute dans les services clouds que dans les data centers.
• Les applications SaaS sont plus nombreuses que celles qui sont hébergées localement.
• Les services cloud contiennent plus de données sensibles que le réseau d'entreprise.

Composants du modèle SASE

Le SASE peut être décomposé en six éléments essentiels en termes de capacités et de technologies :

1. SD-WAN (réseau étendu défini par logiciel)

Le SD-WAN désigne une architecture superposée qui réduit la complexité et optimise l’expérience utilisateur en sélectionnant la meilleure route pour le trafic vers Internet, les applications cloud et le data center. Il permet également le déploiement rapide de nouvelles applications et de nouveaux services, et vous aide à gérer les politiques sur un grand nombre d’emplacements.

2. Secure Web Gateway (SWG)

Les SWG empêchent le trafic Internet non sécurisé de s’infiltrer dans votre réseau interne. Elles empêchent vos employés et vos utilisateurs d’accéder au trafic Web malveillant, aux sites Web présentant des vulnérabilités, aux virus transmis par Internet, aux malwares et aux autres cybermenaces, et d’être infectés par ceux-ci.

3. Cloud Access Security Broker (CASB)

Les CASB préviennent les fuites de données, l’infection par des malwares, la non-conformité aux réglementations et le manque de visibilité en garantissant une utilisation sécurisée des applications et services cloud. Ils sécurisent les applications cloud hébergées dans les clouds publics (IaaS), les clouds privés ou fournies sous forme de logiciel utilisés en tant que service (SaaS).

4. Pare-feu cloud en tant que service (FWaaS)

Le FWaaS vous aide à remplacer les appliances de pare-feu physiques par des pare-feu cloud qui proposent des fonctionnalités avancées de pare-feu de couche 7/de nouvelle génération (NGFW), notamment des contrôles d’accès, comme le filtrage des URL, la prévention des menaces avancées, les systèmes de prévention des intrusions (IPS) et la sécurité DNS.

5. Zero Trust Network Access (ZTNA)

Les produits et services ZTNA procurent aux utilisateurs distants un accès sécurisé aux applications internes. Avec un modèle Zero Trust, la confiance n’est jamais implicite, et l’accès sur la base du moindre privilège est accordé en fonction de politiques granulaires. Il fournit aux utilisateurs distants une connectivité sécurisée sans les placer sur votre réseau ni exposer vos applications à Internet.

6. Gestion centralisée

La gestion de tous ces facteurs à partir d’une console unique vous permet d’éliminer bon nombre des difficultés liées au contrôle des modifications, à la gestion des correctifs, à la coordination des fenêtres d’interruption et à la gestion des politiques, tout en appliquant des politiques cohérentes dans toute l’entreprise, quel que soit l’endroit depuis lequel les utilisateurs se connectent.

Les 3 avantages du SASE

Comment une entreprise peut-elle appliquer les contrôles d’accès et la sécurité tout en respectant ces réalités communes ? C’est là qu’intervient une plateforme SASE regroupant des capacités WAN (SD-WAN) et des services de sécurité complets. Le SASE basé sur le cloud offre des avantages considérables aux entreprises qui délaissent l’infrastructure et la sécurité traditionnelles des réseaux d’entreprise sur site au profit des services cloud, de la mobilité et d’autres aspects de la transformation digitale.

1. Réduction des coûts et de la complexité de l’informatique

Alors qu’elles s’efforcent de sécuriser l’accès aux services cloud, de protéger les utilisateurs et les appareils distants et de combler d’autres lacunes de sécurité, les entreprises ont été contraintes d’adopter un éventail de solutions de sécurité qui ont alourdi les coûts et les frais de gestion. Même ainsi, le modèle de sécurité des réseaux sur site n’est tout simplement pas efficace dans un monde digital.

Au lieu d’essayer d’utiliser un concept ancien pour résoudre un problème moderne, le SASE réinvente le modèle de sécurité. Plutôt que de se concentrer sur un périmètre sécurisé, le SASE se concentre sur les entités, notamment les utilisateurs. S’appuyant sur le concept d’informatique de périphérie ou « edge computing » (traitement des informations à proximité des utilisateurs et des systèmes qui en ont besoin), les services SASE rapprochent la sécurité et l’accès des utilisateurs. En utilisant les politiques de sécurité de l’organisation, le SASE autorise ou refuse dynamiquement les connexions aux applications et aux services.

2. Expérience utilisateur rapide et transparente

Lorsque les utilisateurs étaient sur le réseau et que le service informatique détenait et gérait les applications et l’infrastructure, il était facile de contrôler et d’anticiper l’expérience utilisateur. Aujourd’hui, même avec des environnements multicloud distribués, de nombreuses entreprises utilisent encore des VPN pour connecter les utilisateurs à leurs réseaux à des fins de sécurité. Cependant, les VPN procurent une expérience utilisateur médiocre et élargissent la surface d’attaque d’une entreprise en exposant les adresses IP.

Au lieu de cette dégradation, le SASE propose une optimisation : la sécurité doit être appliquée à proximité des ressources devant être sécurisées. Plutôt que d’envoyer l’utilisateur vers la sécurité, il envoie la sécurité vers l’utilisateur. Le SASE sécurise le cloud, en gérant intelligemment et en temps réel les connexions aux points d’échanges Internet, mais également en optimisant les connexions aux applications et services cloud pour garantir une faible latence.

3. Réduction des risques

En tant que solution cloud native, le SASE est conçu pour relever les défis uniques liés au risque de cette nouvelle réalité que sont les utilisateurs et les applications distribués. En définissant la sécurité, notamment la protection contre les menaces et la protection contre la perte de données (DLP), comme une partie essentielle du modèle de connectivité, elle garantit que toutes les connexions sont inspectées et sécurisées, indépendamment de l’emplacement, de l’application ou du chiffrement.

Zero Trust Network Access (ZTNA) désigne un élément clé du cadre SASE qui fournit aux utilisateurs mobiles, aux télétravailleurs et aux filiales un accès sécurisé aux applications tout en éliminant la surface d’attaque et le risque de déplacement latéral sur le réseau.

Pourquoi le SASE est-il nécessaire ?

La transformation digitale des entreprises exige une plus grande agilité et une plus grande évolutivité, associées à une réduction de la complexité et à une amélioration de la sécurité. De plus, les entreprises modernes doivent faire en sorte que leurs utilisateurs bénéficient des meilleures expériences, où qu’ils soient.

Ces circonstances ont fait passer le SASE de la catégorie« intéressant » à celle de « nécessité ». En voici quatre raisons :

• Le SASE évolue avec votre entreprise : à mesure que votre entreprise se développe, votre réseau et votre sécurité doivent être en mesure de gérer l’augmentation de la demande qui en résulte. Le SASE permet à votre entreprise, à votre réseau et à votre sécurité d’évoluer de concert grâce à son modèle fourni dans le cloud.
• Le SASE permet de travailler depuis n’importe où : les traditionnelles architectures en étoile ne peuvent tolérer la bande passante nécessaire pour donner à vos employés à distance la flexibilité dont ils ont besoin pour demeurer productifs. Le SASE en est capable, et ce, tout en maintenant une sécurité de niveau professionnel pour tous les utilisateurs et appareils, où qu’ils se trouvent.
• Le SASE fait front à l’évolution des cybermenaces : les équipes de sécurité sont en alerte permanente, et se défendent contre les dernières menaces. Le SASE les aide en leur apportant une sécurité supérieure et une plus grande facilité de gestion, donnant à ces équipes le pouvoir de gérer les menaces avancées, d’où qu’elles proviennent.
• Le SASE vous procure une base pour l’adoption de l’IoT : l’internet des objets se révèle utile pour les entreprises du monde entier, mais pour adopter efficacement la technologie et les capacités IoT, vous devez disposer d’une plateforme solide sur laquelle construire un écosystème IoT. Le SASE vous permet d’atteindre vos objectifs IoT avec une connectivité et une sécurité sans précédent.

Tout cela a poussé les fournisseurs de réseaux et de sécurité à bricoler leurs propres versions d’une architecture SASE. Nombre de ces fournisseurs prétendent concevoir un produit fourni dans le cloud, mais la vérité est qu’un grand nombre d’entre eux ne sont qu’une « plateforme cloud » construite sur du matériel traditionnel.

Un seul fournisseur est en mesure de proposer un modèle SASE véritablement fourni dans le cloud. Pour quelles raisons ? Parce que nous avons construit notre plateforme dans le cloud, pour le cloud.

Zscaler SASE

Zscaler Zero Trust Exchange™, notre solution SASE, vous propose un modèle rapide, flexible, simple et sécurisé pour connecter les utilisateurs et les appareils. Notre plateforme est facile à déployer et à gérer en tant que service automatisé fourni dans le cloud, et sa distribution à l’échelle mondiale signifie que vos utilisateurs sont toujours à quelques pas de leurs applications.

Voici ce qui rend notre SASE unique :

• L’architecture cloud native et multi-entité évolue dynamiquement suivant la demande.
• L’architecture est basée sur proxy pour une inspection complète du trafic chiffré à grande échelle.
• La sécurité et les politiques sont rapprochées des utilisateurs afin d’éliminer tout backhauling inutile.
• Zero Trust Network Access (ZTNA) restreint l’accès pour fournir une segmentation native des applications.
• Une surface d’attaque nulle empêche les attaques ciblées car vos réseaux et identités sources ne sont pas exposés à Internet.

Grâce au peering avec des centaines de partenaires dans les principaux échanges Internet à travers le monde, Zero Trust Exchange garantit à vos utilisateurs une performance et une fiabilité optimales.