Ressources > Glossaire des termes de sécurité > Qu’est-ce que le Security Service Edge (SSE) ?

Qu’est-ce que le Security Service Edge ?

Qu’est-ce que Security Service Edge ?

Le SSE (Security Service Edge) est une convergence de services de sécurité réseau fournis à partir d’une plateforme cloud unifiée. Défini par Gartner dans son rapport « 2021 Strategic Roadmap for SASE Convergence » (Feuille de route stratégique 2021 pour la convergence SASE), le SSE est un sous-ensemble du SASE (Secure Access Service Edge) qui se concentre sur la prise en charge de l’accès sécurisé au Web et aux applications basées sur le cloud avec des capacités de base telles que :

  1. Secure Web Gateway (SWG) pour un accès Internet sécurisé

  2. Cloud Access Security Broker (CASB) pour un accès sécurisé aux applications SaaS et cloud

  3. Zero Trust Network Access (ZTNA) pour un accès sécurisé aux applications privées

 

Qu’est-ce qui a motivé ce besoin de SSE ?

La SSE connaît une croissance rapide en tant que solution aux défis fondamentaux du cloud, de l’informatique périphérique sécurisée, du télétravail et de la transformation digitale. À mesure que les entreprises adoptent des offres d’infrastructure et de logiciels en tant que service (IaaS, SaaS), et d’applications cloud, leurs données sont de plus en plus distribuées en dehors de leurs data centers sur site. En outre, les utilisateurs de nombreuses entreprises sont de plus en plus mobiles et distants, se connectant aux applications et aux données de partout, via n’importe quelle connexion.

Il est difficile de sécuriser les applications cloud et les utilisateurs mobiles avec les approches traditionnelles de la sécurité du réseau à cause des raisons suivantes :

  • Les technologies traditionnelles, ancrées dans le data center, ne peuvent pas accompagner les connexions entre les utilisateurs et les applications cloud.
  • Relayer (« hairpinning ») le trafic utilisateur vers un data center via un VPN traditionnel pour inspection ralentit tous les processus.
  • L’administration et la maintenance du matériel sont des facteurs qui rendent les approches traditionnelles du data center coûteuses.
  • Les VPN sont faciles à pirater en raison de l’absence de correctifs.

Pire encore, les piles de sécurité des data centers modernes ont organiquement évolué vers des ensembles de produits ponctuels complexes et difficiles à intégrer. Cette complexité laisse des lacunes entre les solutions de sécurité disparates, ce qui augmente davantage le risque d’attaques par ransomware ou d’autres menaces avancées.

Consultez la vidéo ci-dessous pour obtenir un récapitulatif rapide des avantages de la SSE par rapport aux approches de sécurité traditionnelles.

 

Secure Access Service Edge (SASE) ou Security Service Edge (SSE)

Dans le cadre SASE, les services de réseau et de sécurité sont exploités selon une approche unifiée, fournie dans le cloud. Les aspects réseau et sécurité des solutions SASE se concentrent sur l’amélioration de l’expérience utilisateur vers application tout en réduisant les coûts et la complexité.

Vous pouvez considérer une plateforme SASE en deux tranches. La tranche SSE se concentre sur l’unification de tous les services de sécurité, y compris SWG, CASB et ZTNA. L’autre, la tranche WAN Edge, se concentre sur les services réseau, y compris le réseau étendu défini par logiciel (SD-WAN), l’optimisation du réseau étendu, la qualité de service (QoS) et d’autres moyens d’améliorer le routage vers les applications cloud.

Le diagramme SSE montre une plateforme de sécurité basée sur le cloud qui regroupe plusieurs fonctionnalités de sécurité, notamment SWG, ZTNA, Cloud Access Security Broker (CASB), protection des données et isolation du navigateur à distance (RBI).

Source : CXO REvolutionaries, « Le Security Service Edge (SSE) reflète un marché en évolution : ce que vous devez savoir »

Avantages du SSE par rapport à la sécurité traditionnelle du réseau

Fourni à partir d’une plateforme unifiée centrée sur le cloud, le SSE permet aux entreprises de s’affranchir des difficultés liées à la sécurité du réseau traditionnelle. Le SSE offre quatre avantages principaux :
 

1. Réduction plus efficace des risques

Le SSE permet de fournir des services de cybersécurité unifiés à partir d’une plateforme cloud qui peut accompagner les connexions utilisateur-application partout, au lieu d’être liée à un réseau. Cela élimine les écarts souvent constatés entre les produits ponctuels, réduisant ainsi les risques. Le SSE améliore également la visibilité sur les utilisateurs et les données en tout lieu, quels que soient les canaux utilisés. En outre, le SSE applique automatiquement les mises à jour de sécurité dans le cloud sans le délai lié à l’administration informatique manuelle.

2. Accès Zero Trust

Les plateformes SSE (ainsi que SASE) devraient accorder un accès sur la base du moindre privilège ancré dans une politique Zero Trust, avec une authentification basée sur l’utilisateur, l’appareil, l’application et le contenu. En connectant en toute sécurité les utilisateurs et les applications sur Internet, et jamais sur votre réseau, vous garantissez une expérience à distance plus sécurisée. En outre, les menaces ne peuvent pas se déplacer latéralement, et les applications ne sont pas exposées sur Internet, de sorte qu’elles ne peuvent pas être découvertes, réduisant ainsi votre surface d’attaque et le potentiel de risque.

3. Expérience utilisateur   

Une architecture SSE efficace doit être distribuée sur un réseau mondial de data centers, plutôt qu’hébergée dans un IaaS, et conçue spécialement pour l’inspection dans chacun d’entre eux. Effectuer le déchiffrement et l’inspection, y compris l’inspection TLS/SSL, au plus près des utilisateurs finaux, améliore les performances et réduit la latence. Combiné au peering sur la plateforme, cela procure une expérience optimale aux utilisateurs mobiles, en évitant les VPN et en assurant un accès rapide et transparent aux applications cloud.

4. Avantages du regroupement

Une plateforme unifiée, fournie dans le cloud, réduit les coûts et la complexité. Le SSE peut fournir de nombreux services clés qui peuvent être activés ultérieurement si vous n’en avez pas l’utilité au départ : SWG, CASB, ZTNA, pare-feu cloud (FWaaS), sandbox cloud, protection contre la perte de données cloud (DLP), gestion de la posture de sécurité cloud (CSPM) et isolation du navigateur (CBI) cloud. En fin de compte, le regroupement de toutes les mesures de protection sous une seule politique garantit que tous les canaux que vos utilisateurs et vos données traversent offrent la même protection.

Le SSE est le reflet d’un marché en mutation : ce que vous devez savoir

Lire notre article de blog
Le SSE est le reflet d’un marché en mutation : ce que vous devez savoir

Zscaler SSE en un coup d’œil

Voir la présentation
Zscaler SSE en un coup d’œil

Infographie Zscaler Security Service Edge

Consulter cette ressource
Le futur de la sécurité du réseau est dans le cloud

Sécurité complète pour l’entreprise moderne

En savoir plus
Sécurité complète pour l’entreprise moderne

Discussion sectorielle avec Gartner : le SASE est l’avenir de la sécurité du réseau

Regarder le webinaire
Discussion sectorielle avec Gartner : le SASE est l’avenir de la sécurité du réseau

Les principaux cas d’utilisation du SSE

1. Accès sécurisé aux services cloud et au Web

Le contrôle de l’accès des utilisateurs à Internet et aux applications cloud (historiquement effectué par un SWG) constitue l’un des principaux cas d’utilisation du SSE. La politique de contrôle du SSE permet d’atténuer les risques lorsque les utilisateurs finaux accèdent au contenu, aussi bien sur le réseau qu’en dehors du réseau. L’application des politiques d’entreprise de contrôle d’accès et d’Internet à des fins de conformité est également un élément clé de ce cas d’utilisation.

La gestion de la posture de sécurité du cloud (CSPM) constitue une autre fonctionnalité essentielle en matière de protection de votre entreprise contre les erreurs de configuration à risque pouvant entraîner des failles de sécurité.

2. Détecter et atténuer les menaces

La détection des menaces, ainsi que la prévention des attaques réussies sur Internet et les services cloud, constituent des facteurs clés pour l’adoption du SSE et, dans une moindre mesure, du SASE. Les utilisateurs finaux accédant aux applications et aux données de n’importe où, les entreprises ont besoin d’une approche solide face aux programmes malveillants, à l’hameçonnage et aux autres menaces.

Votre plateforme SSE doit disposer de fonctionnalités de prévention des menaces avancées, notamment un pare-feu cloud, un sandbox cloud, la détection des programmes malveillants et le CBI. Les CASB permettent d’inspecter les données au sein des applications SaaS, et peuvent identifier et mettre en quarantaine les programmes malveillants existants avant qu’ils ne causent de dommages. Les mesures de contrôle adaptatif de l’accès sont également cruciales car elles permettent de déterminer la posture du dispositif de l’utilisateur final et d’ajuster automatiquement l’accès.

3. Connecter et sécuriser les travailleurs à distance

Le personnel distant moderne a besoin d’un accès aux services cloud et aux applications privées sans être exposé aux risques inhérents au VPN. En permettant l’accès aux applications, aux données et au contenu sans laisser l’accès au réseau, vous éliminez les ramifications de sécurité liées au fait de placer l’utilisateur sur un réseau plat.

Fournir un accès sécurisé aux applications sans devoir ouvrir les ACL du pare-feu ou exposer les applications sur Internet est essentiel dans ce contexte. Les plateformes SSE doivent permettre une connectivité native des applications de l’intérieur vers l’extérieur en maintenant les applications invisibles sur Internet. Une approche ZTNA doit également offrir une évolutivité sur un réseau mondial d’endpoints, garantissant l’expérience la plus rapide à tous vos utilisateurs, quelles que soient les demandes de connectivité.

4. Identifier et protéger les données sensibles 

Le SSE unifie les technologies clés de protection des données afin de vous permettre de trouver et de contrôler les données sensibles où qu’elles se trouvent, avec une meilleure visibilité sur tous les canaux de données. Cloud DLP permet de facilement trouver, classer et sécuriser les données sensibles pour prendre en charge les normes de l’industrie et autres politiques de conformité. Le SSE simplifie également la protection de vos données, dans la mesure où vous pouvez créer une seule fois des politiques DLP et les appliquer au trafic inline et aux données au repos dans les applications cloud via les CASB.

Les plateformes SSE les plus efficaces proposent également une inspection TLS/SSL de haute performance pour traiter le trafic chiffré (c’est-à-dire la plupart des données en transit). L’identification de l’informatique fantôme, qui permet aux entreprises de bloquer les applications à risque ou approuvées sur tous les terminaux, constitue également un élément clé pour ce cas d’utilisation.

 

Choisir la bonne solution SSE

Choisissez une plateforme SSE qui vous offre une sécurité rapide et évolutive, ainsi qu’une expérience utilisateur transparente basée sur une architecture Zero Trust. Votre plateforme doit pouvoir offrir les avantages suivants :

Conçue pour une expérience utilisateur et des applications cloud rapides

Un accès rapide et sécurisé nécessite une architecture cloud native distribuée à l’échelle mondiale dans un grand nombre de data centers. Les plateformes SSE conçues pour l’inspection dans chaque data center, et non simplement hébergées dans des clouds IaaS, garantissent que l’inspection et la sécurité du contenu en temps réel ne ralentissent pas les utilisateurs, quel que soit leur emplacement. Vous devez également rechercher un fournisseur SSE qui offre un peering rapide et solide pour garantir que l’expérience des applications cloud reste optimisée.

Construite dès le départ avec une architecture Zero Trust

L’accès doit être régi par l’identité, les utilisateurs n’étant jamais placés sur votre réseau. Privilégiez les fournisseurs cloud natifs qui proposent une prise en charge de l’accès Zero Trust pour tous les utilisateurs, appareils, IoT, applications cloud et charges de travail. Un fournisseur disposant de nombreux data centers répartis dans le monde garantira une excellente expérience utilisateur sans la contrainte imposée par un VPN. L’approche ZTNA de votre fournisseur à l’égard du SSE doit avoir fait ses preuves dans le cadre de grands déploiements mondiaux, car l’évolutivité est impérative pour la productivité des utilisateurs distants.

Capable d’une inspection proxy évolutive et inline

L’inspection par proxy interrompt les deux connexions, celle de l’appareil et celle de l’application cloud, et peut entièrement inspecter l’ensemble du trafic avant qu’il ne soit autorisé à passer, contrairement aux pare-feu de type passthrough traditionnels. Concentrez-vous sur les plateformes SSE qui peuvent fournir du contenu et une inspection TLS/SSL à l’échelle mondiale. L’inspection inline étant généralement effectuée sur le trafic critique pour l’entreprise, les interruptions peuvent avoir de graves répercussions. Assurez-vous que le fournisseur SSE que vous avez choisi dispose de solides accords de niveau de service (SLA) et d’un historique d’inspection du trafic inline pour de grandes entreprises mondiales.

Stimulant l’innovation dans la croissance du SSE

La facilité d’introduction de nouvelles fonctionnalités et de nouveaux services de sécurité fournis dans le cloud garantira la pérennité d’une plateforme SSE efficace. La surveillance de l’expérience digitale, par exemple, est en train de migrer vers le SSE pour permettre au service informatique d’identifier rapidement les problèmes de connectivité au niveau de la connexion utilisateur vers application cloud.

Comme le définit l’architecture SASE, le regroupement des services réseau associé à une plateforme SSE est important. Cela inclut une excellente prise en charge de la connectivité à travers les services SD-WAN, la connectivité des filiales locales et la connectivité multicloud. En vous concentrant sur les fournisseurs de services SASE qui sont également des moteurs de l’innovation SSE, vous pouvez garantir votre développement sans ajouter de complexité au fur et à mesure de la maturation de votre écosystème cloud.

 

Zscaler et SSE

Zscaler résout vos problèmes de cloud et de mobilité avec une plateforme révolutionnaire pour le SSE et bien plus. Nous vous aiderons à réduire vos coûts et vos problèmes de complexité avec Zero Trust, à éliminer votre surface d’attaque et à bénéficier d’une expérience utilisateur exceptionnelle.

En savoir plus sur Zscaler SSE.

N’hésitez pas à consulter également le Carré Magique 2022 de Gartner pour le Security Service Edge. Nous sommes fiers d’être un leader et de figurer au premier rang pour notre « capacité d’exécution ».