Qu’est-ce que le Security Service Edge (SSE) ? Le Security Service Edge (SSE), tel que Gartner le définit, est une convergence de services de sécurité réseau fournis à partir d’une plateforme cloud spécialement conçue à cette fin. Le SSE peut être considéré comme un sous-ensemble du cadre SASE (Secure Access Service Edge) dont l’architecture est résolument axée sur les services de sécurité. Le SSE se compose de trois services principaux : une passerelle Web sécurisée (SWG), un Cloud Access Security Broker (CASB) et un cadre d’accès réseau Zero Trust (ZTNA).

Qu’est-ce qui a motivé ce besoin de SSE ?

Tendance croissante du secteur, le SSE résout les défis fondamentaux auxquels les entreprises sont confrontées en matière de télétravail, de cloud, d’informatique de périphérie sécurisé et de transformation digitale. À mesure que les entreprises adoptent des offres de logiciels et d’infrastructures en tant que service (SaaS, IaaS), ainsi que d’autres applications cloud, leurs données sont de plus en plus distribuées en dehors de leurs data centers sur site. En outre, les utilisateurs sont de plus en plus mobiles et distants, se connectant depuis n’importe où, via n’importe quelle connexion, à leurs applications et données dans le cloud.

Il est difficile de sécuriser les applications cloud et les utilisateurs mobiles avec les approches traditionnelles de la sécurité du réseau à cause des raisons suivantes :

• Ancrées dans le data center, les technologies traditionnelles ne peuvent pas suivre les connexions entre les utilisateurs et les applications cloud.
• Relayer (« hairpinning ») le trafic utilisateur vers un data center via un VPN traditionnel pour inspection ralentit tous les processus.
• L’administration et la maintenance du matériel sont des facteurs qui rendent les approches traditionnelles du data center coûteuses.
• Les VPN sont faciles à pirater en raison de l’absence de correctifs.

Pire encore, les piles de sécurité des data centers modernes ont organiquement évolué vers des ensembles de produits ponctuels complexes et difficiles à intégrer. Cette complexité laisse par nature des lacunes entre les solutions de sécurité disparates, ce qui augmente davantage le risque de menaces avancées ou d’attaques par ransomware.

Secure Access Service Edge (SASE) ou Security Service Edge (SSE)

Dans le cadre SASE, les services de réseau et de sécurité doivent être exploités selon une approche unifiée, fournie par le cloud. Les aspects réseau et sécurité des solutions SASE se concentrent sur l’amélioration de l’expérience utilisateur vers les applications cloud tout en réduisant les coûts et la complexité.

Vous pouvez considérer une plateforme SASE en deux tranches. La tranche SSE se concentre sur l’unification de tous les services de sécurité, y compris SWG, CASB et ZTNA. L’autre, la tranche WAN Edge, se concentre sur les services réseau, y compris le réseau étendu défini par logiciel (SD-WAN), l’optimisation du réseau étendu, la qualité de service (QoS) et d’autres moyens d’améliorer le routage vers les applications cloud.

Source : CXO REvolutionaries, « Le Security Service Edge (SSE) reflète un marché en évolution : ce que vous devez savoir »

Avantages du SSE par rapport à la sécurité traditionnelle du réseau

Fourni à partir d’une plateforme unifiée centrée sur le cloud, le SSE permet aux entreprises de s’affranchir des difficultés liées à la sécurité du réseau traditionnelle. Le SSE offre quatre avantages majeurs :

1. Réduction plus efficace des risques

Le SSE permet d’assurer la cybersécurité sans être lié à un réseau. La sécurité est fournie à partir d’une plateforme cloud qui peut suivre l’utilisateur jusqu’à sa connexion à l’application, quel que soit son emplacement. Rassembler tous les services de sécurité en un point unique permet de réduire les risques en supprimant les lacunes souvent observées dans les produits ponctuels.

Le SSE améliore également la visibilité sur les utilisateurs, où qu’ils se trouvent, et sur les données, quels que soient les canaux utilisés. En outre, le SSE applique automatiquement les mises à jour de sécurité dans le cloud sans le délai habituel lié à l’administration informatique manuelle.

2. Accès Zero Trust

Les plateformes SSE (et SASE) doivent permettre aux utilisateurs d’accéder aux applications, privées ou cloud, sur la base du moindre privilège avec une politique de Zero Trust solide basée sur quatre facteurs : utilisateur, appareil, application et contenu. Aucun utilisateur ne doit être intrinsèquement réputé fiable, et l’accès doit être accordé en fonction de l’identité et de la politique.

Connecter sur Internet les utilisateurs et les applications de manière sécurisée à l’aide de politiques d’entreprise garantit une expérience à distance plus sûre, car les utilisateurs ne sont jamais placés sur le réseau. Ainsi, les menaces ne peuvent pas se déplacer latéralement et les applications restent protégées derrière la plateforme SSE. Les applications ne sont pas exposées sur Internet et ne peuvent donc pas être découvertes, ce qui réduit la surface d’attaque et augmente votre sécurité tout en minimisant le risque commercial.

3. Expérience utilisateur

Selon la définition de Gartner, le SSE doit être entièrement distribué sur des data centers répartis dans le monde. Les meilleures architectures SSE sont spécifiquement conçues pour être inspectées dans chaque data center, par opposition aux fournisseurs qui hébergent leurs plateformes SSE dans des infrastructures IaaS.

La distribution de l’architecture améliore les performances et réduit la latence, car l’inspection du contenu, y compris le déchiffrement et l’inspection TLS/SSL, a lieu là où l’utilisateur final se connecte au cloud SSE. Avec l’ajout du peering sur la plateforme SSE, vos utilisateurs mobiles bénéficient de la meilleure expérience possible. Ils ne sont plus contraints d’utiliser des VPN lents, et l’accès aux applications dans les clouds publics et privés se fait de manière rapide et transparente.

4. Avantages du regroupement

Tous les services de sécurité clés étant unifiés, vous constaterez une réduction des coûts et de la complexité. Le SSE peut assurer de nombreux services de sécurité clés sur une seule plateforme : SWG, CASB, ZTNA, pare-feu cloud (FWaaS), sandbox cloud, prévention contre la perte de données cloud (DLP), gestion de la posture de sécurité cloud (CSPM) et isolation du navigateur cloud (CBI). De plus, si vous n’avez pas l’utilité de tous ces services dans l’immédiat, vous pouvez simplement les ajouter à mesure que votre entreprise se développe.

Avec toutes les protections unifiées sous une seule politique, tous les canaux que vos utilisateurs et vos données traversent bénéficient de la même protection cohérente.

Les principaux cas d’utilisation du SSE

1. Accès sécurisé aux services cloud et au Web

L’application d’une politique de contrôle de l’accès des utilisateurs à Internet, au Web et aux applications cloud (historiquement réalisée par un SWG) constitue l’un des principaux cas d’utilisation du Security Service Edge. La politique de contrôle du SSE permet d’atténuer les risques lorsque les utilisateurs finaux accèdent au contenu aussi bien sur le réseau qu’en dehors du réseau. L’application des politiques d’entreprise de contrôle d’accès et d’Internet à des fins de conformité est également un élément clé de ce cas d’utilisation pour les IaaS, PaaS et SaaS.

La gestion de la posture de sécurité cloud (CSPM) constitue une autre fonctionnalité essentielle en matière de protection de votre entreprise contre les erreurs de configuration à risque pouvant entraîner des failles de sécurité.

2. Détecter et atténuer les menaces

La détection des menaces et la prévention des attaques menées à bien sur Internet, le Web et les services cloud constituent des facteurs clés pour l’adoption du SSE et, dans une moindre mesure, du SASE. Les utilisateurs finaux accédant au contenu via tout type de connexion ou d’appareil, les entreprises doivent adopter une approche de défense en profondeur contre les programmes malveillants, l’hameçonnage et les autres menaces.

Votre plateforme SSE doit disposer de fonctionnalités de prévention des menaces avancées, notamment un pare-feu cloud (FWaaS), un sandbox cloud, la détection des malwares et l’isolation du navigateur cloud. Les CASB permettent d’inspecter les données au sein des applications SaaS, et peuvent identifier et mettre en quarantaine les malwares existants avant qu’ils ne causent de préjudices. Le contrôle adaptatif des accès, par lequel la posture de l’appareil d’un utilisateur final est déterminée et par lequel l’accès est ajusté en conséquence, constitue également un élément clé.

3. Connecter et sécuriser les travailleurs à distance

Les équipes travaillant à distance ont besoin d’un accès aux services cloud et aux applications privées sans être exposés aux risques inhérents au VPN. Permettre l’accès aux applications, aux données et au contenu sans laisser l’accès au réseau constitue un élément essentiel de l’accès Zero Trust, car cela permet d’éliminer les ramifications de sécurité liées au fait de placer l’utilisateur sur un réseau plat.

Fournir un accès sécurisé aux applications privées et cloud sans devoir ouvrir les ACL du pare-feu ou exposer les applications sur Internet est essentiel dans ce contexte. Les plateformes SSE doivent permettre une connectivité native des applications de l’intérieur vers l’extérieur en maintenant les applications invisibles sur Internet. Une approche ZTNA doit également offrir une évolutivité sur un réseau mondial d’endpoints, garantissant l’expérience la plus rapide à tous vos utilisateurs, quelles que soient les demandes de connectivité.

4. Identifier et protéger les données sensibles

Le SSE vous permet de trouver et de contrôler les données sensibles, où qu’elles se trouvent. En unifiant les technologies essentielles de protection des données, une plateforme SSE offre une meilleure visibilité et une plus grande simplicité sur tous les canaux de données. Cloud DLP permet de facilement trouver, classer et sécuriser les données sensibles (par exemple, les données personnelles identifiables) pour prendre en charge les normes PCI (Payment Card Industry) et d’autres politiques de conformité. Le SSE simplifie également la protection de vos données, dans la mesure où vous pouvez créer une seule fois des politiques DLP et les appliquer au trafic inline et aux données au repos dans les applications cloud via les CASB.

Les plateformes SSE les plus efficaces proposent également une inspection TLS/SSL de haute performance pour traiter le trafic chiffré (c’est-à-dire la plupart des données en transit). L’identification de l’informatique fantôme, qui permet aux entreprises de bloquer les applications à risque ou approuvées sur tous les terminaux, constitue également un élément clé pour ce cas d’utilisation.

Choisir la bonne solution SSE

Choisissez une plateforme SSE qui vous offre une sécurité rapide et évolutive, ainsi qu’une expérience utilisateur fluide basée sur une architecture Zero Trust. Votre plateforme doit pouvoir offrir les avantages suivants :

Conçue pour favoriser la rapidité au niveau de l’expérience utilisateur et des applications cloud

Un accès rapide et sécurisé requiert une architecture cloud native distribuée à l’échelle mondiale dans un grand nombre de data centers. Les plateformes SSE conçues pour l’inspection présentent un avantage par rapport aux plateformes SSE hébergées dans des clouds IaaS. En effet, ces dernières ne sont pas conçues pour répondre aux exigences de l’inspection de contenu en temps réel. Lorsque chaque data center est un nœud d’inspection, la sécurité est toujours rapide et locale pour l’utilisateur, où qu’il se trouve. Veillez également à ce que les fournisseurs SSE proposent un peering rapide et solide, afin que l’expérience des applications cloud demeure optimale.

Construite dès le départ avec une architecture Zero Trust

Le contrôle des accès doit être régi par l’identité et ne jamais placer les utilisateurs sur votre réseau. Privilégiez les fournisseurs cloud natifs qui proposent une prise en charge étendue de l’accès Zero Trust pour tous les utilisateurs, appareils, IoT, applications cloud et charges de travail. Ici aussi, un fournisseur disposant de nombreux data centers répartis dans le monde garantira que vos utilisateurs bénéficient toujours d’une expérience rapide sans la contrainte imposée par un VPN. L’approche ZTNA de votre fournisseur à l’égard du SSE doit avoir fait ses preuves dans le cadre de grands déploiements mondiaux, car l’évolutivité est impérative pour la productivité des utilisateurs distants.

Capable d’une inspection proxy évolutive et inline

L’inspection par proxy met fin aux deux connexions, celle de l’appareil et celle de l’application cloud. Se placer entre les deux permet d’effectuer une inspection SSL complète et d’empêcher les connexions de « passer ». Cela assure une meilleure sécurité et une meilleure inspection que les pare-feu traditionnels. Concentrez-vous sur les plateformes SSE qui peuvent fournir du contenu et une inspection TLS/SSL à l’échelle mondiale. L’inspection inline étant généralement effectuée sur le trafic critique pour l’entreprise, les interruptions dues à des problèmes d’évolutivité peuvent avoir de graves répercussions. Assurez-vous que le fournisseur SSE que vous avez choisi dispose de solides accords de niveau de service (SLA) et d’un historique d’inspection du trafic inline pour de grandes entreprises mondiales.

Stimulant l’innovation dans la croissance du SSE

À mesure que les entreprises adoptent le SSE en tant que plateforme unifiée, des capacités et des services de sécurité supplémentaires permettront à la plateforme SSE de demeurer pérenne. La surveillance de l’expérience digitale constitue un service qui commence à migrer vers le SSE. En effet, elle permet au service informatique d’identifier rapidement les problèmes de connectivité de l’utilisateur vers l’application cloud.

En outre, comme le définit l’architecture SASE, le regroupement des services réseau associé à une plateforme SSE est important. Cela inclut une excellente prise en charge de la connectivité à travers les services SD-WAN, la connectivité des filiales locales et la connectivité multicloud. En vous concentrant sur les fournisseurs de services SASE qui sont également des moteurs de l’innovation SSE, vous pouvez vous assurer une marge de croissance sans ajouter de complexité à mesure que l’écosystème cloud de votre entreprise évolue.

Zscaler et SSE

Zscaler résout vos problèmes de cloud et de mobilité avec une plateforme révolutionnaire pour le SSE et bien plus. Nous vous aiderons à réduire vos coûts et vos problèmes de complexité avec Zero Trust, à éliminer votre surface d’attaque et à bénéficier d’une expérience utilisateur exceptionnelle.