SASE (Secure Access Service Edge)

Qu’est-ce que le SASE ?

À l’heure où les utilisateurs se connectent depuis n’importe où pour accéder à des données sensibles dans le cloud, le SASE permet de se connecter de façon plus sûre et plus flexible sans réacheminer le trafic des applications vers un datacenter. Le SASE dirige intelligemment le trafic vers le cloud et effectue une inspection de sécurité avancée directement dans celui-ci.

Le SASE répond aux besoins d’amélioration des performances applicatives et de la sécurité réseau, à l’heure où le nombre d’utilisateurs distants ne cesse d’augmenter et où les entreprises poursuivent la migration de leurs applications vers le cloud.

Les deux grands composants d’une architecture SASE sont un réseau SD-WAN avancé et une sécurité complète fournie par le cloud (Security Service Edge, ou SSE).

Plusieurs fonctionnalités SD-WAN sont indispensables au déploiement complet d’une architecture SASE :

• Intégration transparente avec une solution SSE pour former une architecture SASE unifiée et cohérente.
• Identification de l’application au premier paquet pour assurer une orientation granulaire du trafic à SSE sur la base de politiques de sécurité.
• Sélection du meilleur chemin en exploitant la diversité des chemins SD-WAN et en sélectionnant automatiquement le point de présence (PoP) SSE le plus proche.
• Agrégation de liens permettant la combinaison de plusieurs liens et la prise en charge du basculement automatique.
• Optimisation du WAN et correction des erreurs directes (FEC) pour surmonter les effets de latence du WAN et atténuer les effets des liaisons Internet et sans fil qui souffrent souvent de perte de paquets et de gigue.
• Réseau multicloud pour fournir une connectivité de bout en bout avec les clouds publics et privés.
• Pare-feu intégré avec des fonctionnalités de sécurité avancées telles que IDS/IPS, protection DDoS et segmentation reposant sur les rôles pour une protection avancée contre les menaces dans les succursales.

De même, le déploiement complet du SASE exige un ensemble de fonctionnalités SSE :

• Zero Trust Network Access (ZTNA) : se fonde sur le principe qu’aucun utilisateur n’est digne de confiance, et prend en charge le principe du moindre privilège. Il fournit un accès sécurisé aux utilisateurs distants.
• Cloud Access Security Broker (CASB) : protège les données sensibles dans les applications cloud en appliquant des règles de sécurité.
• SWG (passerelle web sécurisée) : protège les organisations contre les menaces web à l’aide de diverses techniques, comme le filtrage des URL et la détection du code malveillant.
• Pare-feu as-a-service (FWaaS) : fournit une fonctionnalité de pare-feu dans le cloud afin d’analyser le trafic issu de plusieurs sources.
• Autres services de sécurité : prévention des pertes de données (DLP), Remote Browser Isolation (RBI), sandboxing, etc.

À mesure que les cybermenaces deviennent plus sophistiquées et que les effectifs sont de plus en plus dispersés, les entreprises se tournent vers la sécurité SASE pour protéger leurs utilisateurs, leurs données et leurs applications. En faisant converger les services de sécurité SD-WAN avancés fournis sur le cloud tels que ZTNA, SWG et CASB, SASE fournit une architecture unifiée conçue pour réduire la complexité et améliorer la protection. Avec une mise en œuvre de la sécurité directement dans le cloud, SASE garantit une application uniforme des politiques, élimine les retards d’amenée et fournit un accès sécurisé et fluide aux applications, qu’elles résident dans des datacenters privés, des clouds publics ou des platesformes SaaS.

• Le SASE sécurise le travail hybride 
  Alors que les employés se connectent de n’importe où et à partir de n’importe quel device, ZTNA garantit une application cohérente des politiques et un contrôle d’accès à la fois des utilisateurs et des appareils. Il prend en charge l’accès au moindre privilège et garantit qu’aucun utilisateur n’est approuvé par défaut. Contrairement à un VPN qui octroie un large accès au réseau de l’entreprise, la technologie ZTNA limite cet accès aux seules applications ou microsegments spécifiques explicitement approuvés pour l’utilisateur, appliquant les principes d’accès au moindre privilège. 

• Le SASE protège les utilisateurs contre les menaces reposant sur le Web 
  Pour protéger les entreprises contre les menaces reposant sur le Web telles que les ransomwares et l’hameçonnage, SWG surveille et inspecte le trafic en filtrant les URL, détectant les codes malveillants et contrôlant l’accès au Web, en établissant des politiques qui restreignent l’accès à des catégories spécifiques de sites web, et notamment le contenu pour adultes, les plateformes de jeu et les sites connus pour présenter des risques importants. 

• Le SASE aide à protéger les données sensibles dans les applications SaaS 
  Des données plus sensibles sont désormais hébergées dans des applications SaaS, dans des applications autorisées ou non. Cloud Access Security Broker (CASB) joue un rôle essentiel dans l’identification et la détection des données sensibles dans les applications cloud, la surveillance de l’activité des utilisateurs, le dépistage du shadow IT et la prévention de la perte de données. 

• Le SASE permet aux entreprises centrées sur le cloud de moderniser leurs réseaux 
  Les architectures traditionnelles utilisent souvent des liaisons MPLS pour connecter les succursales au siège social. Dans cette architecture, le trafic cloud doit être acheminé vers le datacenter pour effectuer une inspection de sécurité, ce qui augmente la latence et, en définitive, affecte les performances des applications. Avec SD-WAN, les entreprises orientent intelligemment le trafic vers le cloud, directement à partir des succursales, et mettent en œuvre un moyen robuste et flexible de connecter les succursales au siège social. Les solutions SD-WAN sécurisées avancées avec pare-feu intégré peuvent même remplacer les pare-feux de succursales existants par un pare-feu de nouvelle génération intégré offrant des fonctionnalités telles que la protection IDS/IPS et DDoS. 

•  SASE augmenté de capacités de NAC applique le ZTNA universel et fournit la sécurité IoT 
  Le ZTNA universel (Universal zero trust Network Access) étend les principes zero trust aux emplacements sur site et aux appareils IoT. Cependant, les devices IoT n’offrent généralement que des fonctionnalités de sécurité de base et n’incluent pas d’agent ZTNA. Les solutions NAC basées sur l’IA peuvent aller au-delà de ce qui est défini par SASE en intégrant des capacités d’observabilité avancées pour identifier et surveiller tous les périphériques réseau, y compris IoT. En mettant en œuvre une segmentation réseau zero trust reposant sur l’identité, ces solutions permettent de restreindre la connexion des utilisateurs et des devices IoT aux seules destinations réseau nécessaires dans le cadre de leur rôle dans l’entreprise. De plus, ils surveillent en permanence le réseau pour ajuster l’accès en temps réel en repérant les comportements malveillants et les activités malveillantes. 

Contrairement aux offres traditionnelles axées sur des cas d’utilisation isolés tels que l’accès à distance ou NAC, HPE Aruba Networking offre un accès réseau universel zero trust à tous les utilisateurs, appareils et emplacements. 

Notre solution est centrée sur notre SASE à fournisseur unique, associant HPE Aruba Networking EdgeConnect SD-WAN et HPE Aruba Networking SSE pour sécuriser la connectivité et simplifier les opérations.  

• HPE Aruba Networking SSE intègre ZTNA, SWG, CASB et DLP au sein d’une seule architecture cloud-native. Cela permet un accès sécurisé, basé sur un agent ou sans agent, une protection contre les cybermenaces, une sécurité des données SaaS et une surveillance de l’expérience utilisateur en temps réel, le tout géré à partir d’une seule interface. 
• HPE Aruba Networking EdgeConnect SD-WAN optimise la performance des applications sur les liaisons MPLS, Internet, 5G ou satellite tout en intégrant un pare-feu de nouvelle génération avec des fonctionnalités telles que la segmentation basée sur les rôles, IDS/IPS et Adaptive DDoS. 

Complété par une solution NAC cloud-native avec HPE Aruba Networking Central, la plateforme offre une application zero trust uniforme. Elle offre une visibilité approfondie grâce à des fonctionnalités basées sur le ML, des flux de travail automatisés et un accès basé sur l’identité sur les réseaux filaires, sans fil et SD-WAN, garantissant une connectivité universelle sécurisée et basée sur les rôles.