SASE (Secure Access Service Edge) Qu’est-ce que le SASE ?
L’architecture Secure Access Service Edge, ou SASE (prononcez « sassi »), réunit des fonctionnalités WAN complètes (comme le SD-WAN, le routage et l’optimisation WAN), ainsi que des services de sécurité fournis par le cloud ou SSE (Security Service Edge), tels que SWG, CASB et ZTNA.
- Comprendre le SASE
- Comment fonctionne le SASE ?
- Les composants du SASE
- Pour quelles raisons choisir le SASE ?
- Un SASE mono ou multifournisseur ?
- Qu'est-ce qu'une plateforme SASE monofournisseur ?
- Avantages du SASE
Comprendre le SASE
À l’heure où les utilisateurs se connectent depuis n’importe où pour accéder à des données sensibles dans le cloud, le SASE permet de se connecter de façon plus sûre et plus flexible sans réacheminer le trafic des applications vers un datacenter. Le SASE dirige intelligemment le trafic vers le cloud et effectue une inspection de sécurité avancée directement dans celui-ci.
Le SASE répond aux besoins d’amélioration des performances applicatives et de la sécurité réseau, à l’heure où le nombre d’utilisateurs distants ne cesse d’augmenter et où les entreprises poursuivent la migration de leurs applications vers le cloud.
Comment fonctionne le SASE ?
Le SASE réunit une plateforme edge SD-WAN avancée déployée au niveau de la succursale et des services de sécurité (SSE) complets fournis par le cloud.
Traditionnellement, le trafic des applications provenant des succursales était entièrement acheminé via des services MPLS privés vers le datacenter d’entreprise à des fins d’inspection et de vérification. Cette architecture se justifiait lorsque les applications étaient exclusivement hébergées dans le datacenter d’entreprise. Mais avec la migration des applications et des services dans le cloud, cette architecture réseau traditionnelle n’est désormais plus à la hauteur. Le trafic vers Internet doit transiter par le datacenter et le pare-feu d’entreprise avant d’atteindre sa destination, ce qui a un impact négatif sur les performances des applications et sur l’expérience client.
Avec l’accroissement du nombre de télétravailleurs se connectant directement aux applications cloud, la sécurité périmétrique traditionnelle s’avère insuffisante. En transformant les architectures WAN et de sécurité grâce au SASE, les entreprises peuvent garantir un accès direct et sécurisé aux applications et aux services à l’échelle de leurs environnements multiclouds, indépendamment de l’emplacement ou des appareils utilisés.
Les composants du SASE
Les deux grands composants d’une architecture SASE sont un réseau SD-WAN avancé et une sécurité complète fournie par le cloud (Security Service Edge, ou SSE).
Plusieurs fonctionnalités SD-WAN sont indispensables au déploiement complet d’une architecture SASE :
- Intégration transparente avec une solution SSE pour former une architecture SASE unifiée et cohérente.
- Identification de l’application au premier paquet pour assurer une orientation granulaire du trafic à SSE sur la base de politiques de sécurité.
- Sélection du meilleur chemin en exploitant la diversité des chemins SD-WAN et en sélectionnant automatiquement le point de présence (PoP) SSE le plus proche.
- Agrégation de liens permettant la combinaison de plusieurs liens et la prise en charge du basculement automatique.
- Optimisation du WAN et correction des erreurs directes (FEC) pour surmonter les effets de latence du WAN et atténuer les effets des liaisons Internet et sans fil qui souffrent souvent de perte de paquets et de gigue.
- Réseau multicloud pour fournir une connectivité de bout en bout avec les clouds publics et privés.
- Pare-feu intégré avec des fonctionnalités de sécurité avancées telles que IDS/IPS, protection DDoS et segmentation reposant sur les rôles pour une protection avancée contre les menaces dans les succursales.
- Provisionnement sans intervention pour un déploiement automatique des configurations et des politiques, et une mise en œuvre transparente des changements.
De même, le déploiement complet du SASE exige un ensemble de fonctionnalités SSE :
- Zero Trust Network Access (ZTNA) : se fonde sur le principe qu’aucun utilisateur n’est digne de confiance, et prend en charge le principe du moindre privilège. Il fournit un accès sécurisé aux utilisateurs distants.
- Cloud Access Security Broker (CASB) : protège les données sensibles dans les applications cloud en appliquant des règles de sécurité.
- SWG (passerelle web sécurisée) : protège les organisations contre les menaces web à l’aide de diverses techniques, comme le filtrage des URL et la détection du code malveillant.
- Pare-feu as-a-service (FWaaS) : fournit une fonctionnalité de pare-feu dans le cloud afin d’analyser le trafic issu de plusieurs sources.
- Autres services de sécurité : prévention des pertes de données (DLP), Remote Browser Isolation (RBI), sandboxing, etc.
Pour quelles raisons choisir le SASE ?
- Le SASE sécurise le travail hybride
Alors que les employés se connectent de n’importe où et à partir de n’importe quel device, ZTNA garantit une application cohérente des politiques et un contrôle d’accès à la fois des utilisateurs et des appareils. Il prend en charge l'accès au moindre privilège et garantit qu'aucun utilisateur n'est approuvé par défaut. Contrairement à un VPN qui octroie un large accès au réseau de l’entreprise, la technologie ZTNA limite cet accès aux seules applications ou microsegments spécifiques explicitement approuvés pour l’utilisateur, appliquant les principes d’accès au moindre privilège. - Le SASE protège les utilisateurs contre les menaces reposant sur le Web
Pour protéger les entreprises contre les menaces reposant sur le Web telles que les ransomwares et l’hameçonnage, SWG surveille et inspecte le trafic en filtrant les URL, détectant les codes malveillants et contrôlant l'accès au Web, en établissant des politiques qui restreignent l'accès à des catégories spécifiques de sites web, et notamment le contenu pour adultes, les plateformes de jeu et les sites connus pour présenter des risques importants. - Le SASE aide à protéger les données sensibles dans les applications SaaS
Des données plus sensibles sont désormais hébergées dans des applications SaaS, dans des applications autorisées ou non. Cloud Access Security Broker (CASB) joue un rôle essentiel dans l'identification et la détection des données sensibles dans les applications cloud, la surveillance de l'activité des utilisateurs, le dépistage du shadow IT et la prévention de la perte de données. - Le SASE permet aux entreprises centrées sur le cloud de moderniser leurs réseaux
Les architectures traditionnelles utilisent souvent des liaisons MPLS pour connecter les succursales au siège social. Dans cette architecture, le trafic cloud doit être acheminé vers le datacenter pour effectuer une inspection de sécurité, ce qui augmente la latence et, en définitive, affecte les performances des applications. Avec SD-WAN, les entreprises orientent intelligemment le trafic vers le cloud, directement à partir des succursales, et mettent en œuvre un moyen robuste et flexible de connecter les succursales au siège social. - SASE augmenté d'un SD-WAN sécurisé axé sur l'entreprise offre une sécurité IoT
Les devices IoT ne proposent généralement que des fonctionnalités de sécurité de base, ce qui n’inclue pas d’agent ZTNA. Les solutions SD-WAN sécurisées peuvent satisfaire des attentes supérieures à celles définies par le SASE grâce à des fonctionnalités de pare-feu nouvelle génération intégrées. En implémentant une segmentation réseau zero trust reposant sur l’identité et le contrôle d’accès, ces solutions permettent de restreindre la connexion des utilisateurs et des devices IoT aux seules destinations réseau cohérentes avec leur rôle dans l’entreprise.
Un SASE mono ou multifournisseur ?
Bien que fortement interdépendantes, la gestion réseau et la sécurité sont deux domaines d’expertise différents et extrêmement complexes. La sécurité évolue rapidement afin de contrer des risques de cybersécurité toujours nouveaux, tandis que le réseau étendu cherche avant tout à fournir des connexions rapides, robustes et flexibles. Une architecture SASE révèle toute sa puissance lorsqu’elle combine des fonctionnalités Edge WAN avancées et des services de sécurité SSE complets déployés dans le cloud.
Le choix de sélectionner une solution mono ou multifournisseur peut varier en fonction des exigences de sécurité et WAN existantes. Une intégration étroite de SSE et SD-WAN dans une plateforme SASE monofournisseur offre aux entreprises de nombreux avantages, notamment un déploiement plus rapide, une gestion centralisée, des politiques de sécurité cohérentes et la capacité de s'adapter de manière transparente à l’évolution des menaces. Une approche multifournisseur est recommandée pour les entreprises préférant adopter le SASE avec leur choix de services de sécurité ou l’intégrer à un écosystème de sécurité existant. Dans cet environnement multifournisseur, il est essentiel de choisir un SD-WAN qui automatise l’orchestration avec des solutions SSE tierces pour minimiser le temps de déploiement et réduire la complexité de gestion.
Qu'est-ce qu'une plateforme SASE monofournisseur ?
Une plateforme SASE monofournisseur rationalise la complexité associée à la gestion de plusieurs composants de sécurité. Cette architecture intégrée simplifie non seulement le déploiement, mais garantit également des politiques de sécurité unifiées, une gestion centralisée et un accès zero trust cohérent. Principales fonctionnalités :
- Architecture et évolutivité cloud-natives
Une plateforme SASE monofournisseur est conçue avec une architecture cloud native, tirant parti de l'évolutivité et de l'agilité du cloud computing. Cette architecture permet aux entreprises d’allouer dynamiquement des ressources en fonction de la demande de trafic, activant ainsi un réseau plus efficace et adaptable. - Présence sur le réseau mondial
Une plateforme SASE monofournisseur fournit une présence réseau mondiale en passant par des points de présence (PoP) géographiquement répartis pour garantir des performances cohérentes et une faible latence, quel que soit l'emplacement de l'utilisateur. Elle simplifie la gestion de ces points de présence, éliminant le besoin pour plusieurs de ceux requis par une approche SASE multifournisseur. - Gestion unifiée des stratégies
Une plateforme SASE monofournisseur gère toutes les politiques de sécurité à partir d'une seule et même interface, rationalisant les opérations, réduisant la complexité et aidant les entreprises à déployer et à appliquer efficacement des politiques cohérentes. - Interface utilisateur centralisée, tableaux de bord complets
Une plateforme SASE monofournisseur offre aux équipes informatiques la possibilité de gérer toutes les opérations de réseau et de sécurité dans une interface utilisateur centralisée, avec une visibilité améliorée sur le trafic réseau, les événements de sécurité et l'application des politiques. Elle améliore la génération de rapports, offrant aux entreprises les moyens de démontrer leur conformité aux prérequis réglementaires et aux normes de l’industrie. - Fonctionnalités SASE combinées
Avec une plateforme SASE monofournisseur, les entreprises peuvent facilement combiner plusieurs fonctionnalités SASE pour améliorer leur politique de sécurité et inspecter le trafic en un seul passage. L'inspection SSL n'est effectuée qu'une seule fois, ce qui améliore les performances et réduit la complexité. De plus, en combinant SWG et CASB avec DLP, les entreprises peuvent mieux surveiller les activités des utilisateurs pour protéger les données sensibles contre les fuites et appliquer des contrôles encore plus précis sur l'accès au Web. - AIOps
Cette solution SASE monofournisseur inclut des capacités d'IA pour améliorer la visibilité des utilisateurs et des appareils connectés, et permet un contrôle d'accès adaptatif. Elle automatise les activités de résolution des incidents courantes et diagnostique les problèmes de réseau habituels, tout en fournissant des analyses prédictives pour anticiper les menaces futures et les problèmes de performances.
Avantages du SASE
Le SASE n’est pas un simple phénomène de mode : une architecture SASE offre des avantages conséquents à l’entreprise qui la déploie.
- Sécurité améliorée
À l’heure où les organisations adoptent un modèle centré sur le cloud, le SASE assure une application homogène des règles de sécurité à l’échelle du réseau, et une inspection de la sécurité dans le cloud. Le SASE sécurise l’accès à distance et protège les données de l’entreprise contre les activités malveillantes. - Productivité et satisfaction client en hausse
En mettant en œuvre une architecture SASE, les organisations se dotent de fonctionnalités SD-WAN avancées pour rationaliser leur infrastructure réseau. Le SD-WAN élimine la complexité et la rigidité liées aux réseaux traditionnels basés sur des routeurs. Il ajoute la flexibilité requise par la transformation digitale, et améliore sensiblement les performances ainsi que la fiabilité des applications. - Modèle de sécurité zero trust :
Le SASE adopte le modèle de sécurité zero trust en exigeant une vérification continue de l'identité de l'utilisateur avant d'accorder l'accès aux ressources. Le zero trust s’impose naturellement dans le paysage des menaces actuel où les modèles de sécurité traditionnels n’offrent plus une protection adéquate contre les cybermenaces sophistiquées.