Ressources > Glossaire des termes de sécurité > Qu’est-ce que le Security Service Edge (SSE) ?

Qu’est-ce que Security Service Edge ?

Qu’est-ce que le Security Service Edge ?

LeSecurity Service Edge (SSE), tel que Gartner le définit, est une convergence de services de sécurité réseau fournis à partir d’une plateforme cloud spécialement conçue à cette fin. Le SSE peut être considéré comme un sous-ensemble du cadre SASE (Secure Access Service Edge) dont l’architecture est résolument axée sur les services de sécurité. Le Security Service Edge comprend trois services principaux :

  1. Un accès sécurisé à l’Internet et au Web par le biais d’une passerelle Web sécurisée (SWG)
  2. Un accès sécurisé aux applications SaaS et cloud via un CASB (Cloud Access Security Broker)
  3. Un accès à distance sécurisé aux applications privées via un accès réseau Zero Trust (ZTNA)

 

Qu’est-ce qui a motivé ce besoin de SSE ?

Tendance croissante du secteur, le SSE résout les défis fondamentaux auxquels les entreprises sont confrontées en matière de télétravail, de cloud, d’informatique de périphérie sécurisée et de transformation digitale. À mesure que les entreprises adoptent des offres de logiciels et d’infrastructures en tant que service (SaaS, IaaS), ainsi que d’autres applications cloud, leurs données sont de plus en plus distribuées en dehors de leurs data centers sur site. En outre, les utilisateurs sont de plus en plus mobiles et distants, se connectant depuis n’importe où, via n’importe quelle connexion, à leurs applications et données dans le cloud.

Il est difficile de sécuriser les applications cloud et les utilisateurs mobiles avec les approches traditionnelles de la sécurité du réseau à cause des raisons suivantes :

  • Ancrées dans le data center, les technologies traditionnelles ne peuvent pas suivre les connexions entre les utilisateurs et les applications cloud.
  • Relayer (« hairpinning ») le trafic utilisateur vers un data center via un VPN traditionnel pour inspection ralentit tous les processus.
  • L’administration et la maintenance du matériel sont des facteurs qui rendent les approches traditionnelles du data center coûteuses.
  • Les VPN sont faciles à pirater en raison de l’absence de correctifs.

Pire encore, les piles de sécurité des data centers modernes ont organiquement évolué vers des ensembles de produits ponctuels complexes et difficiles à intégrer. Cette complexité laisse par nature des lacunes entre les solutions de sécurité disparates, ce qui augmente davantage le risque de menaces avancées ou d’attaques par ransomware.
 

 

Quelle est la différence entre le SASE (Secure Access Service Edge) et le SSE (Security Service Edge) ?

Dans le cadre SASE, les services de réseau et de sécurité doivent être exploités selon une approche unifiée, fournie par le cloud. Les aspects réseau et sécurité des solutions SASE se concentrent sur l’amélioration de l’expérience utilisateur vers les applications cloud tout en réduisant les coûts et la complexité. Vous pouvez considérer une plateforme SASE en deux tranches. La tranche SSE se concentre sur l’unification de tous les services de sécurité, y compris SWG, CASB et ZTNA. L’autre, la tranche WAN Edge, se concentre sur les services réseau, y compris le réseau étendu défini par logiciel (SD-WAN), l’optimisation du réseau étendu, la qualité de service (QoS) et d’autres moyens d’améliorer le routage vers les applications cloud.

Le diagramme SSE montre une plateforme de sécurité basée sur le cloud qui regroupe plusieurs fonctionnalités de sécurité, notamment SWG, ZTNA, Cloud Access Security Broker (CASB), protection des données et isolation du navigateur à distance (RBI).

Source : CXO REvolutionaries, « Le Security Service Edge (SSE) reflète un marché en évolution : ce que vous devez savoir »

Avantages du SSE par rapport à la sécurité du réseau traditionnelle

Fourni à partir d’une plateforme unifiée centrée sur le cloud, le SSE permet aux entreprises de s’affranchir des difficultés liées à la sécurité du réseau traditionnelle. Le SSE offre quatre avantages principaux :
 

1. Réduction plus efficace des risques

Le SSE permet d’assurer la cybersécurité sans être lié à un réseau. La sécurité est fournie à partir d’une plateforme cloud qui peut suivre l’utilisateur jusqu’à sa connexion à l’application, quel que soit son emplacement. Rassembler tous les services de sécurité en un point unique permet de réduire les risques en supprimant les lacunes souvent observées dans les produits ponctuels. Le SSE améliore également la visibilité sur les utilisateurs où qu’ils se trouvent, et sur les données, quels que soient les canaux utilisés. En outre, le SSE applique automatiquement les mises à jour de sécurité dans le cloud sans le délai habituel lié à l’administration informatique manuelle.
 

2. Accès Zero Trust

Les plateformes SSE (et SASE) doivent permettre aux utilisateurs d’accéder aux applications, privées ou cloud, sur la base du moindre privilège avec une politique de Zero Trust solide basée sur quatre facteurs : utilisateur, appareil, application et contenu. Aucun utilisateur ne doit être intrinsèquement réputé fiable, et l’accès doit être accordé en fonction de l’identité et de la politique. Connecter sur Internet les utilisateurs et les applications de manière sécurisée à l’aide de politiques d’entreprise garantit une expérience à distance plus sûre, car les utilisateurs ne sont jamais placés sur le réseau. Les menaces ne peuvent pas se déplacer latéralement et les applications restent protégées derrière la plateforme SSE. Les applications ne sont pas exposées sur Internet et ne peuvent donc pas être découvertes, ce qui réduit la surface d’attaque et augmente votre sécurité tout en minimisant le risque commercial.
 

3. Expérience utilisateur   

Selon la définition de Gartner, le SSE doit être entièrement distribué sur des data centers répartis dans le monde. Les meilleures architectures SSE sont spécifiquement conçues pour être inspectées dans chaque data center, par opposition aux fournisseurs qui hébergent leurs plateformes SSE dans des infrastructures IaaS. La distribution de l’architecture améliore les performances et réduit la latence, car l’inspection du contenu, y compris le déchiffrement et l’inspection TLS/SSL, a lieu là où l’utilisateur final se connecte au cloud SSE. Avec l’ajout du peering sur la plateforme SSE, vos utilisateurs mobiles bénéficient de la meilleure expérience possible. Ils ne sont plus contraints d’utiliser des VPN lents, et l’accès aux applications dans les clouds publics et privés devient rapide et transparent.
 

4. Avantages du regroupement

Tous les services de sécurité clés étant unifiés, vous constaterez une réduction des coûts et de la complexité. Le SSE peut assurer de nombreux services de sécurité clés sur une seule plateforme : SWG, CASB, ZTNA, pare-feu cloud (FWaaS), sandbox cloud, prévention de la perte de données cloud (DLP), gestion de la posture de sécurité cloud (CSPM) et isolation du navigateur cloud (CBI). De plus, si vous n’avez pas l’utilité de tous ces services dans l’immédiat, vous pouvez simplement les ajouter à mesure que votre entreprise se développe. Avec toutes les protections unifiées sous une seule politique, tous les canaux que vos utilisateurs et vos données traversent bénéficient de la même protection cohérente.   

Rapport Gartner : 2021 Strategic Roadmap for SASE Convergence

Lire le rapport
Rapport Gartner : 2021 Strategic Roadmap for SASE Convergence

Le SSE est le reflet d’un marché en mutation : ce que vous devez savoir

Lire notre article de blog
Le SSE est le reflet d’un marché en mutation : ce que vous devez savoir

Zscaler SSE en un coup d’œil

Voir la présentation
Zscaler SSE en un coup d’œil

Infographie Zscaler Security Service Edge

Découvrir comment
Le futur de la sécurité du réseau est dans le cloud

Sécurité complète pour l’entreprise moderne

En savoir plus
Sécurité complète pour l’entreprise moderne

Discussion sectorielle avec Gartner : le SASE est l’avenir de la sécurité du réseau

Regarder le webinaire
Discussion sectorielle avec Gartner : le SASE est l’avenir de la sécurité du réseau

Les principaux cas d’utilisation du SSE

1. Accès sécurisé aux services cloud et au Web

L’application d’une politique de contrôle de l’accès des utilisateurs à Internet, au Web et aux applications cloud (historiquement réalisée par un SWG) constitue l’un des principaux cas d’utilisation du Security Service Edge. La politique de contrôle du SSE permet d’atténuer les risques lorsque les utilisateurs finaux accèdent au contenu aussi bien sur le réseau qu’en dehors du réseau. L’application des politiques d’entreprise de contrôle d’accès et d’Internet à des fins de conformité est également un élément clé de ce cas d’utilisation pour les IaaS, PaaS et SaaS.

La gestion de la posture de sécurité du cloud (CSPM) constitue une autre fonctionnalité essentielle dans la protection de votre entreprise contre les erreurs de configuration à risque pouvant entraîner des failles de sécurité.
 

2. Détecter et atténuer les menaces

La détection des menaces et la prévention des attaques menées à bien sur Internet, le Web et les services cloud constituent des facteurs clés pour l’adoption du SSE et, dans une moindre mesure, du SASE. Les utilisateurs finaux accédant au contenu via tout type de connexion ou d’appareil, les entreprises doivent adopter une approche de défense en profondeur contre les programmes malveillants, l’hameçonnage et les autres menaces.

Votre plateforme SSE doit disposer de fonctionnalités de prévention des menaces avancées, notamment un pare-feu cloud (FWaaS), un sandbox cloud, la détection des programmes malveillants et l’isolation du navigateur cloud. Les CASB permettent d’inspecter les données au sein des applications SaaS et peuvent identifier et mettre en quarantaine les programmes malveillants existants avant qu’ils ne causent de dommages. Le contrôle adaptatif des accès, par lequel la posture de l’appareil d’un utilisateur final est déterminée et par lequel l’accès est ajusté en conséquence, constitue également un élément clé.
 

3. Connecter et sécuriser les travailleurs à distance

Les équipes travaillant à distance ont besoin d’un accès aux services cloud et aux applications privées sans être exposés aux risques inhérents au VPN. Permettre l’accès aux applications, aux données et au contenu sans laisser l’accès au réseau constitue un élément essentiel de l’accès Zero Trust, car cela permet d’éliminer les ramifications de sécurité liées au fait de placer l’utilisateur sur un réseau plat.

Fournir un accès sécurisé aux applications privées et cloud sans devoir ouvrir les ACL du pare-feu ou exposer les applications sur Internet est essentiel dans ce contexte. Les plateformes SSE doivent permettre une connectivité native des applications de l’intérieur vers l’extérieur en maintenant les applications invisibles sur Internet. Une approche ZTNA doit également offrir une évolutivité sur un réseau mondial d’endpoints, garantissant une expérience des plus rapides à tous vos utilisateurs, quelles que soient les demandes de connectivité.
 

4. Identifier et protéger les données sensibles 

Le SSE vous permet de trouver et de contrôler les données sensibles, où qu’elles se trouvent. En unifiant les technologies essentielles de protection des données, une plateforme SSE offre une meilleure visibilité et une plus grande simplicité sur tous les canaux de données. Cloud DLP permet de facilement trouver, classer et sécuriser les données sensibles (par exemple, les données personnelles identifiables) pour prendre en charge les normes PCI (Payment Card Industry) et d’autres politiques de conformité. Le SSE simplifie également la protection de vos données, dans la mesure où vous pouvez créer une seule fois des politiques DLP et les appliquer au trafic inline et aux données au repos dans les applications cloud via les CASB.

Les plateformes SSE les plus efficaces proposent également une inspection TLS/SSL de haute performance pour traiter le trafic chiffré (c’est-à-dire la plupart des données en transit). La découverte de l’informatique fantôme, qui permet aux entreprises de bloquer les applications à risque ou approuvées sur tous les endpoints, constitue également un élément clé pour ce cas d’utilisation.

 

Choisir la bonne solution SSE

Choisissez une plateforme SSE qui vous offre une sécurité rapide et évolutive, ainsi qu’une expérience utilisateur transparente basée sur une architecture Zero Trust. Votre plateforme doit pouvoir offrir les avantages suivants :
 

Conçue pour une expérience utilisateur et des applications cloud rapides

Un accès rapide et sécurisé nécessite une architecture cloud native distribuée à l’échelle mondiale dans un grand nombre de data centers. Les plateformes SSE conçues pour l’inspection présentent un avantage par rapport aux plateformes SSE hébergées dans des clouds IaaS, qui ne sont pas conçues pour répondre aux exigences de l’inspection de contenu en temps réel. Lorsque chaque data center est un nœud d’inspection, la sécurité est toujours rapide et locale pour l’utilisateur, où qu’il se trouve. Veillez également à ce que les fournisseurs SSE offrent un peering rapide et solide, afin que l’expérience des applications cloud reste optimisée.
 

Construite dès le départ avec une architecture Zero Trust

Le contrôle des accès doit être régi par l’identité et ne jamais placer les utilisateurs sur votre réseau. Privilégiez les fournisseurs cloud natifs qui proposent une prise en charge étendue de l’accès Zero Trust pour tous les utilisateurs, appareils, IoT, applications cloud et charges de travail. Ici aussi, un fournisseur disposant de nombreux data centers répartis dans le monde garantira que vos utilisateurs bénéficient toujours d’une expérience rapide sans la contrainte imposée par un VPN. L’approche ZTNA de votre fournisseur à l’égard du SSE doit avoir fait ses preuves dans le cadre de grands déploiements mondiaux, car l’évolutivité est impérative pour la productivité des utilisateurs distants.
 

Capable d’une inspection proxy évolutive et inline

L’inspection par proxy met fin aux deux connexions, celle de l’appareil et celle de l’application cloud. Se placer entre les deux permet d’effectuer une inspection SSL complète et d’empêcher les connexions de « passer ». Cela assure une meilleure sécurité et une meilleure inspection que les pare-feu traditionnels. Concentrez-vous sur les plateformes SSE qui peuvent fournir du contenu et une inspection TLS/SSL à l’échelle mondiale. L’inspection inline étant généralement effectuée sur le trafic critique pour l’entreprise, les interruptions dues à des problèmes d’évolutivité peuvent avoir de graves répercussions. Assurez-vous que le fournisseur SSE que vous avez choisi dispose de solides accords de niveau de service (SLA) et d’un historique d’inspection du trafic inline de grandes entreprises mondiales.
 

Stimulant l’innovation dans la croissance du SSE

À mesure que les entreprises adoptent le SSE en tant que plateforme unifiée, des capacités et des services de sécurité supplémentaires permettront à la plateforme SSE de demeurer pérenne. La surveillance de l’expérience digitale constitue un service qui commence à migrer vers le SSE. En effet, elle permet au service informatique d’identifier rapidement les problèmes de connectivité de l’utilisateur vers l’application cloud.

En outre, comme le définit l’architecture SASE, le regroupement des services réseau associé à une plateforme SSE est important. Cela inclut une excellente prise en charge de la connectivité à travers les services SD-WAN, la connectivité des filiales locales et la connectivité multicloud. En vous concentrant sur les fournisseurs de services SASE qui sont également des moteurs de l’innovation SSE, vous pouvez vous assurer une marge de croissance sans ajouter de complexité à mesure que l’écosystème cloud de votre entreprise évolue.

 

Zscaler et SSE

Zscaler résout vos problèmes de cloud et de mobilité avec une plateforme révolutionnaire pour le SSE et bien plus. Nous vous aiderons à réduire vos coûts et vos problèmes de complexité avec Zero Trust, à éliminer votre surface d’attaque et à bénéficier d’une expérience utilisateur exceptionnelle.

En savoir plus sur Zscaler SSE.

N’hésitez pas à consulter également le Carré Magique 2022 de Gartner pour le Security Service Edge. Nous sommes fiers d’être un leader et de figurer au premier rang pour notre « capacité d’exécution ».