Zpedia 

/ Qu’est-ce que Secure Access Service Edge (SASE) ?

Qu’est-ce que Secure Access Service Edge (SASE) ?

Le SASE (Secure Access Service Edge) désigne un cadre d’architecture réseau qui associe des technologies de sécurité cloud natives (SWG, CASB, ZTNA et FWaaS en particulier) à des capacités de réseau étendu (WAN) pour connecter en toute sécurité les utilisateurs, les systèmes et les terminaux aux applications et aux services, où qu’ils se trouvent.

Lire le blog : SASE ou SSE
Zero trustSécurité Cloud
  1. Ce que cela signifie
  2. Fonctionnement
  3. Un simple mot à la mode ?
  4. Composants du SASE
  5. 3 avantages
  6. Pourquoi il est nécessaire
  7. Zscaler SASE
  8. Ressources suggérées
  9. FAQ
  10. Autres thèmes similaires

Que signifie SASE ?

Le SASE (prononcé « sassy »), ou Secure Access Service Edge, défini pour la première fois par Gartner dans son rapport de 2019 « L’avenir de la sécurité des réseaux est dans le cloud », désigne une convergence des capacités WAN avec les fonctions de sécurité réseau destinées à offrir aux entreprises une plus grande agilité, des performances réseau plus solides et plus fiables, une visibilité et un contrôle plus profonds et plus granulaires sur des environnements informatiques hétérogènes, et bien plus encore.

Le SASE se distingue du SSE (Security Service Edge), défini par Gartner comme un sous-ensemble du SASE qui se concentre uniquement sur les services de sécurité nécessaires à partir d’une plateforme cloud SASE.

Comment fonctionne le SASE ?

Une architecture SASE combine un réseau étendu défini par logiciel (SD-WAN) ou un autre WAN avec plusieurs fonctionnalités de sécurité (par exemple, CASB, anti-malware), sécurisant votre trafic réseau par la somme de ces fonctions.

Les approches traditionnelles de l’inspection et de la vérification, comme le transfert du trafic via un protocole Multiprotocol Label Switching (MPLS) vers les pare-feu de votre data center, sont efficaces si vos utilisateurs s’y trouvent. Mais aujourd’hui, avec un grand nombre d’utilisateurs disséminés dans des emplacements distants, cet « hairpinning » (qui consiste à transférer le trafic des utilisateurs distants vers votre data center, à l’inspecter, puis à le renvoyer), a tendance à réduire la productivité et à nuire à l’expérience de l’utilisateur final.

Le SASE se distingue des solutions ponctuelles et des autres stratégies de mise en réseau sécurisées parce qu’il est à la fois sécurisé et direct. Plutôt que de s’appuyer sur la sécurité de votre data center, le trafic provenant des appareils de vos utilisateurs est inspecté à un point de présence à proximité et envoyé à sa destination à partir de là. L’accès aux applications et aux données est par conséquent plus efficace, ce qui en fait la bien meilleure option pour protéger le personnel et les données distribués dans le cloud.

SASE n’est-il rien de plus qu’un mot à la mode ?

Bien que le SASE ait suscité beaucoup d’intérêt de la part des fournisseurs de services et des médias spécialisés dans les réseaux et la sécurité, le principe fondamental sur lequel est basé le cadre SASE est ce qui le rend le plus convaincant : les architectures de sécurité et de réseau centrées sur le data center sont devenues inefficaces. Cette notion n’est pas un simple slogan marketing ; le secteur l’a largement acceptée.

Alors, en quoi une solution SASE est-elle tellement plus intéressante que la sécurité traditionnelle des réseaux d’entreprise, qui relie les bureaux via des réseaux privés et achemine le trafic via des passerelles Web sécurisées et des pare-feu ?

Comme le souligne Gartner, les modèles traditionnels dans le cadre desquels la connectivité et la sécurité sont centrées sur le data center devraient plutôt se concentrer sur l’identité des utilisateurs et des appareils. Selon le rapport, « dans une entreprise numérique moderne centrée sur le cloud, les utilisateurs, les appareils et les applications auxquelles ils doivent avoir un accès sécurisé se trouvent partout ».

En d’autres termes, les flux de travail, les modèles de trafic et les cas d’utilisation d’aujourd’hui sont très différents de ceux qui existaient lorsque les réseaux en étoile ont été conçus. En voici les principales raisons :

  • Un volume plus élevé du trafic d’utilisateur est dirigé vers les services cloud que vers les data centers.
  • Davantage de travail est effectué hors du réseau que sur celui-ci.
  • Un plus grand nombre de charges de travail sont exécutées dans les services cloud que dans les data centers.
  • Un plus grand nombre d’applications SaaS sont utilisées que celles hébergées localement.
  • Un plus grand volume de données sensibles sont hébergées dans services cloud qu’au sein du réseau d’entreprise

Quote

Au lieu d’enfouir le périmètre de sécurité dans une boîte à la périphérie du data center, le périmètre est maintenant partout où l’entreprise en a besoin : un service d’accès sécurisé créé dynamiquement et basé sur des politiques.

Gartner, « Le futur de la sécurité des réseaux se trouve dans le cloud », 30 août 2019 ; Lawrence Orans, Joe Skorupa, Neil MacDonald

Composants du modèle SASE

Le SASE peut être décomposé en six éléments essentiels en termes de capacités et de technologies :

1. Réseau étendu défini par logiciel (SD-WAN)

Le SD-WAN désigne une architecture superposée qui réduit la complexité et optimise l’expérience utilisateur en sélectionnant le meilleur routage pour le trafic vers Internet, les applications cloud et le data center. Il permet également le déploiement rapide de nouvelles applications et de nouveaux services, et vous aide à gérer les politiques sur un grand nombre de sites.

2. Secure Web Gateway (SWG)

Les SWG empêchent le trafic Internet non sécurisé de s’infiltrer dans votre réseau interne. Elles empêchent vos employés et vos utilisateurs d’accéder au trafic Web malveillant, aux sites Web présentant des vulnérabilités, aux virus transmis par Internet, aux malwares et aux autres cybermenaces, et d’être infectés par ceux-ci.

3. Cloud Access Security Broker (CASB)

Les CASB préviennent les fuites de données, l’infection par des malwares, la non-conformité aux réglementations et le manque de visibilité en garantissant une utilisation sécurisée des applications et services cloud. Ils sécurisent les applications cloud hébergées dans les clouds publics (IaaS), les clouds privés ou fournies sous forme de logiciel utilisés en tant que service (SaaS).

4. Pare-feu cloud en tant que service (FWaaS)

Le FWaaS vous aide à remplacer les appliances de pare-feu physiques par des pare-feu cloud qui proposent des fonctionnalités avancées de pare-feu de couche 7/de nouvelle génération (NGFW), notamment des contrôles d’accès, tels que le filtrage des URL, la prévention des menaces avancées, les systèmes de prévention des intrusions (IPS) et la sécurité DNS.

5. Zero Trust Network Access (ZTNA)

Les solutions ZTNA procurent aux utilisateurs distants un accès sécurisé aux applications internes. Avec un modèle Zero Trust, la confiance n’est jamais implicite, et l’accès sur la base du moindre privilège est accordé en fonction de politiques granulaires. Il fournit aux utilisateurs distants une connectivité sécurisée sans les placer sur votre réseau ni exposer vos applications à Internet.

Gestion centralisée

La gestion de tous ces facteurs à partir d’une console unique vous permet d’éliminer bon nombre des difficultés liées au contrôle des modifications, à la gestion des correctifs, à la coordination des fenêtres d’interruption et à la gestion des politiques, tout en appliquant des politiques cohérentes dans toute l’entreprise, quel que soit l’endroit depuis lequel les utilisateurs se connectent.

Les 3 avantages du SASE

Comment une entreprise peut-elle appliquer les contrôles d’accès et la sécurité tout en respectant ces réalités communes ? C’est là qu’intervient une plateforme SASE regroupant des capacités WAN (SD-WAN) et des services de sécurité complets. Le SASE basé sur le cloud offre des avantages considérables aux entreprises qui délaissent l’infrastructure et la sécurité traditionnelles des réseaux d’entreprise sur site au profit des services cloud, de la mobilité et d’autres aspects de la transformation digitale.

1. Réduction des coûts et de la complexité informatiques

Alors qu’elles s’efforcent de sécuriser l’accès aux services cloud, de protéger les utilisateurs et les appareils distants et de combler d’autres lacunes de sécurité, les entreprises ont adopté un éventail de solutions de sécurité qui ont alourdi les coûts et les frais de gestion. Même ainsi, le modèle de sécurité des réseaux sur site n’est tout simplement pas efficace dans un monde numérique.

Au lieu d’essayer d’utiliser un concept ancien pour résoudre un problème moderne, le SASE réinvente le modèle de sécurité. Plutôt que de se concentrer sur un périmètre sécurisé, le SASE se concentre sur les entités, notamment les utilisateurs. S’appuyant sur le concept d’informatique de périphérie ou « edge computing » (traitement des informations à proximité des utilisateurs et des systèmes qui en ont besoin), les services SASE rapprochent la sécurité et l’accès des utilisateurs. Le SASE autorise ou refuse dynamiquement les connexions aux applications et aux services sur la base des politiques de sécurité de l’entreprise.

2. Expérience utilisateur rapide et homogène

Lorsque les utilisateurs étaient sur le réseau et que le service informatique contrôlait et gérait les applications et l’infrastructure, il était facile de contrôler et d’anticiper l’expérience utilisateur. Aujourd’hui, même avec des environnements multicloud distribués, de nombreuses entreprises font encore appel à des VPN pour connecter les utilisateurs à leurs réseaux à des fins de sécurité. Cependant, les VPN procurent une expérience utilisateur médiocre et élargissent la surface d’attaque d’une entreprise en exposant les adresses IP.

Au lieu de cette dégradation, le SASE propose une optimisation : la sécurité doit être appliquée à proximité des ressources qui doivent être sécurisées. Plutôt que d’envoyer l’utilisateur vers la sécurité, il envoie la sécurité vers l’utilisateur. Le SASE sécurise le cloud, en gérant intelligemment et en temps réel les connexions aux points d’échanges Internet, mais également en optimisant les connexions aux applications et services cloud pour garantir une faible latence.

3. Réduction des risques

En tant que solution cloud native, le SASE est conçu pour relever les défis uniques liés au risque de cette nouvelle réalité que sont les utilisateurs et les applications distribués. En définissant la sécurité, notamment la protection contre les menaces et la protection contre la perte de données (DLP), comme une partie essentielle du modèle de connectivité, elle garantit que toutes les connexions sont inspectées et sécurisées, indépendamment de l’emplacement, de l’application ou du chiffrement.

Un élément clé du cadre SASE est l’accès réseau Zero Trust (ZTNA), qui fournit aux utilisateurs mobiles, aux travailleurs distants et aux sites distants un accès sécurisé aux applications tout en éliminant la surface d’attaque et le risque de déplacement latéral sur le réseau.

Pourquoi le SASE est-il nécessaire ?

La transformation digitale des entreprises exige une plus grande agilité et une plus grande évolutivité, associées à une réduction de la complexité et à une amélioration de la sécurité. De plus, les entreprises modernes doivent faire en sorte que leurs utilisateurs bénéficient des meilleures expériences, où qu’ils soient.

Ces circonstances ont fait passer le SASE de la catégorie « intéressant » à la catégorie « nécessaire ». En voici quatre raisons :

  • Le SASE évolue avec votre entreprise : à mesure que votre entreprise se développe, votre réseau et votre sécurité doivent être capables de gérer l’augmentation de la demande qui en résulte. Le SASE permet à votre entreprise, à votre réseau et à votre sécurité d’évoluer de concert grâce à son modèle fourni dans le cloud.
  • Le SASE facilite le télétravail : les anciennes architectures en étoile ne peuvent pas tolérer la bande passante requise pour fournir à vos employés distants la flexibilité dont ils ont besoin pour rester productifs. Le SASE le peut, et ce, tout en maintenant une sécurité de niveau entreprise pour tous les utilisateurs et appareils, où qu’ils se trouvent.
  • Le SASE s’oppose à l’évolution des cybermenaces : les équipes de sécurité sont en alerte constante et vous défendent contre les dernières menaces. Le SASE les aide en apportant une sécurité supérieure et une plus grande facilité de gestion, leur donnant le pouvoir de gérer les menaces avancées, d’où qu’elles viennent.
  • Le SASE vous procure une base pour l’adoption de l’IoT : l’Internet des objets se révèle utile pour les entreprises du monde entier, mais une adoption efficace de la technologie et des capacités de l’IoT passe impérativement par une plateforme solide sur laquelle construire un écosystème IoT. Le SASE vous permet d’atteindre vos objectifs IoT avec une connectivité et une sécurité sans précédent.

Tout cela a poussé les fournisseurs de réseaux et de sécurité à bricoler leurs propres versions d’une architecture SASE. Nombre d’entre eux prétendent concevoir un produit fourni dans le cloud, mais la vérité est qu’un grand nombre de ces produits ne sont rien de plus qu’une « plateforme cloud » construite sur du matériel traditionnel.

Un seul fournisseur est en mesure de proposer un modèle SASE véritablement fourni dans le cloud. Pour quelles raisons ? Parce que nous avons construit notre plateforme dans le cloud, pour le cloud.

Quote

« D’ici 2024, au moins 40 % des entreprises disposeront de stratégies concrètes pour adopter le SASE, contre moins de 1 % à la fin de l’année 2018. »

Gartner, Le futur de la sécurité du réseau est dans le cloud

Zscaler SASE

Zscaler Zero Trust Exchange™, notre solution SASE, vous propose un modèle rapide, flexible, simple et sécurisé pour connecter les utilisateurs et les appareils. Notre plateforme est facile à déployer et à gérer en tant que service automatisé fourni dans le cloud, et sa distribution mondiale implique que vos utilisateurs sont toujours à quelques pas de leurs applications.

a diagram showing how cloud-based SASE platform offers significant benefits to organizations

Voici ce qui rend notre SASE unique :

  • L’architecture cloud native et multi-entité évolue dynamiquement suivant la demande.
  • L’architecture est basée sur proxy pour une inspection complète du trafic chiffré à grande échelle.
  • La sécurité et les politiques sont rapprochées des utilisateurs afin d’éliminer tout backhauling inutile.
  • L’accès au réseau Zero Trust (ZTNA) restreint l’accès pour fournir une segmentation native des applications.
  • Une surface d’attaque nulle empêche les attaques ciblées, car vos réseaux et identités sources ne sont pas exposés à Internet.

Grâce au peering avec des centaines de partenaires dans les principaux échanges Internet à travers le monde, Zero Trust Exchange garantit à vos utilisateurs une performance et une fiabilité optimales.

promotional background

Découvrez comment notre architecture SASE peut vous aider à réduire les coûts et la complexité informatiques tout en améliorant la sécurité et l’expérience utilisateur.

En savoir plus sur SASE Zero Trust

Ressources suggérées

Une véritable solution SASE nécessite une architecture axée sur le cloud
Lire le blog
Discussion sectorielle avec Gartner : le SASE est l’avenir de la sécurité du réseau
Vidéo à la demande
SASE Zscaler : une architecture moderne pour un monde axé sur la mobilité et le cloud
En savoir plus
Foire aux questions