Qu'est-ce qu'un Secure Access Service Edge (SASE) ?

Le Secure Access Service Edge (SASE) est un nouveau modèle émergent défini par Gartner qui tend à consolider les services de réseau et de sécurité au sein d'une plateforme cloud unique.

Visionnaire dans le Magic Quadrant 2020 de Gartner dédié aux SWG

Netskope nommé Visionnaire dans le Magic Quadrant 2020 de Gartner dédié aux passerelles Web sécurisées.

 

Lisez le rapport pour en savoir plus.

Le périmètre réseau traditionnel est en train de disparaître.

Les mesures de sécurité conventionnelles partaient du principe que les applications et les utilisateurs se trouveraient à l'intérieur du périmètre réseau ; or, ce n'est de nos jours plus le cas. Les données des entreprises sont migrées dans le cloud, les employés travaillent de plus en plus à distance et les initiatives en matière de transformation numérique exigent que les services informatiques fassent preuve d'agilité afin de pouvoir tirer profit des nouvelles opportunités commerciales.

 

Il en résulte un périmètre réseau traditionnel en train de disparaître et la nécessité de nouveaux modèles pour les contrôles d'accès, la protection des données et la protection contre les menaces. Compte tenu de ces changements, les entreprises constatent que l'ensemble de leurs produits indépendants (pare-feu, passerelle Web sécurisée, DLP et CASB, etc.) n'est plus adapté à un monde tourné vers le cloud.

À quoi ressemble une architecture SASE ?

Le modèle Secure Access Service Edge, ou SASE, consolide les services de réseau et de sécurité au sein d'une architecture cloud afin de protéger les utilisateurs, applications et données, quel que soit leur emplacement. Le contexte actuel éloigne les utilisateurs et applications des réseaux d'entreprise. Dès lors, des appliances matérielles en périphérie ne suffisent plus à les protéger. Une architecture SASE vous permet alors de bénéficier des capacités de réseau et de sécurité nécessaires sous la forme de services cloud. Lorsqu'il est correctement exécuté, le modèle SASE supprime la dépendance aux appliances en périphérie et autres solutions traditionnelles. Au lieu que le trafic soit transmis à une appliance à des fins de sécurité, les utilisateurs se connectent à un service cloud SASE. À partir de ce dernier, ils sont en mesure d'utiliser des applications et des données en toute sécurité et dans le respect des politiques de sécurité de l'entreprise.

Qu'est-ce que le Secure Access Service Edge et à quoi ressemble l'architecture SASE ?

Le modèle SASE combine les technologies suivantes

Une architecture SASE est en mesure d'identifier les utilisateurs et les périphériques, d'appliquer des contrôles de sécurité basés sur des politiques et de fournir un accès sécurisé aux données et applications appropriées. Le SASE permet de fournir un accès sécurisé, quel que soit l'emplacement des utilisateurs, des données, des applications ou des périphériques.

  • Microservices cloud-native réunis en une seule et même plateforme
  • Possibilité d'inspecter le traffic chiffré SSL/TLS dans le cloud
  • Proxy inline capable de décoder le traffic cloud et Web (NG SWG)
  • Pare-feu et protection contre les intrusions pour tous les ports et protocoles (FWaaS)
  • Intégration de l'API du service cloud managé pour les données au repos (CASB)
  • Évaluation continue de la sécurité du cloud public IaaS (CSPM)
  • Protection avancée des données en transit et au repos (DLP)
  • Protection contre les menaces avancées, notamment IA/ML, UEBA, sandboxing, etc. (ATP)
  • Partage d'informations sur les menaces et intégration dans EPP/EDR, SIEM et SOAR
  • Périmètre défini par logiciel avec accès réseau zéro-confiance pour remplacer les VPN existants (SDP, ZTNA)
  • Protection pour les succursales et assistance dans le cadre des initiatives de mise en réseau des succursales (SD-WAN, notamment)
  • Infrastructure réseau hyperscale, de catégorie opérateur, avec un réseau mondial de points de présence

SASE : les prédictions du cabinet Gartner

20 %

des entreprises adopteront des technologies SWG, CASB, ZTNA et FWaaS d'ici 2023

Source : Rapport Gartner : The Future of Network Security is
in the Cloud
(« L'avenir de la sécurité des réseaux réside dans le cloud »)

40 %

des entreprises mettront au point des stratégies d'adoption de l'architecture SASE d'ici 2024

Source : Rapport Gartner : The Future of Network Security is
in the Cloud
(« L'avenir de la sécurité des réseaux réside dans le cloud »)

Avantages du modèle SASE

01

Flexibilité

Offre un accès « direct-to-net » ou « direct-to-cloud » depuis n'importe quel emplacement, contrairement au hair-pinning traditionnel qui relie le trafic au datacentre

02

Réduction des coûts

Élimine les dépenses d'investissement pour les infrastructures locales, et génère des dépenses d'exploitation réduites et prévisibles en raison de son modèle Security-as-a-Service

03

Simplification

Permet aux équipes de sécurité d'abandonner la gestion d'appliances et de se concentrer sur la création de services de sécurité basés sur des politiques ; par ailleurs, l'application de politiques unifiées simplifie le SecOps

04

Augmentation des performances

Améliore et accélère l'accès aux ressources Internet à travers une infrastructure réseau mondiale, optimisée pour offrir une faible latence, une capacité élevée et une haute disponibilité

05

Accès réseau zéro-confiance

Offre un accès sécurisé et contextuel aux applications privées dans des clouds publics/privés

06

Protection contre les menaces

Bloque les attaques cloud et Web telles que le cloud phishing, les malwares, les ransomwares et les comportements internes malveillants

07

Protection des données

Protège les données où qu'elles aillent, à l'intérieur comme à l'extérieur de l'entreprise, y compris dans les clouds publics ainsi qu'entre les instances d'entreprise et les instances personnelles des applications cloud

Premiers pas avec l'architecture SASE

Le modèle SASE repose sur une architecture intégrée et extensible qui redéfinit les dispositifs de sécurité dans le cloud en tant que service. Avant de vous lancer, posez-vous les questions suivantes :

Disposez-vous actuellement d'une seule solution de proxy inline, capable de décoder le trafic Web et des milliers d'applications cloud à l'aide d'API et de JSON ?

Tâchez de combiner votre passerelle Web sécurisée (SWG) et votre agent de sécurité des accès au cloud (CASB). Vous bénéficierez alors d'une visibilité et d'un contrôle critiques sur vos dispositifs DLP (protection contre la perte de données) et ATP (protection contre les menaces avancées), qui sont hébergés sur la même plateforme, dans le cloud. Après avoir abandonné vos anciennes appliances SWG, optez pour un accès réseau zéro-confiance (ZTNA) afin de remplacer vos appliances VPN obsolètes et de moderniser votre stratégie globale en matière d'accès sécurisé.

Votre solution de sécurité actuelle est-elle dotée de capacités de déchiffrement et d'inspection SSL/TLS à l'échelle du cloud ?

La majorité du trafic cloud est chiffrée, ce qui amène de plus en plus de pirates à exploiter le cloud pour échapper aux contrôles réseau traditionnels. L'inspection SSL/TLS à l'échelle du cloud vous permet de réduire votre exposition à ces nouvelles menaces.

Votre réseau privé/MPLS actuel vous permet-il de bénéficier de performances et d'une disponibilité élevées ?

Performances élevées et faible latence : voici deux composantes essentielles à la satisfaction de vos utilisateurs. Pour leur offrir une expérience optimale, assurez-vous que votre solution SASE a été conçue pour des performances maximales et qu'elle s'étend jusqu'aux emplacements de vos utilisateurs.

Combien de consoles et politiques sont actuellement en place afin d'assurer la gestion de votre solution de sécurité ?

De nombreux fournisseurs donnent le nom de solutions cloud à des logiciels qu'ils ont adaptés ou dématérialisés après leur conception. Si votre solution n'a pas été conçue pour répondre au modèle SASE, vous risquez bien de vous retrouver avec de multiples consoles d'administration et de nombreuses politiques difficiles à gérer, ainsi que des outils d'analyse qui ne feront que ralentir vos équipes. Optez donc pour une solution associée à une console de gestion, un client et une politique uniques afin d'aider vos équipes SecOps à assurer la sécurité de votre entreprise.

Ressources

Redéfinissez votre périmètre.