What is SASE?
(Secure Access Service Edge)

Optez pour une sécurité plus simple, rapide et abordable dans le cloud

The traditional network perimeter is dissolving

Les données des entreprises migrent dans le cloud, les employés sont de plus en plus mobiles et les initiatives en matière de transformation numérique s'accélèrent, ce qui signifie que davantage de données circulent vers davantage d'emplacements. Ce nouveau paysage modifie les exigences en matière de réseau et de sécurité, et chamboule les solutions traditionnelles de sécurité.

 

Les chefs d'entreprise veulent bénéficier de défenses plus solides face à l'augmentation constante des menaces de cybersécurité. Les utilisateurs exigent de la transparence et de la confidentialité, sans renoncer pour autant à la commodité ou à la performance. Les équipes informatiques souhaitent offrir à leur entreprise les outils nécessaires, tout en restant constamment en conformité avec les nouvelles réglementations.

 

Pour faire simple, les approches traditionnelles n'offrent pas le niveau de sécurité et de contrôle d'accès qu'exigent désormais les utilisateurs et les entreprises. Résultat : il devient urgent de faire converger mise en réseau et défenses de sécurité, dans le but d'offrir une livraison de services plus simple, rapide, flexible, efficace et abordable.

En quoi consiste l'architecture SASE ?

Le SASE (Secure Access Service Edge) est un terme inventé par Gartner en 2019 pour désigner une nouvelle architecture de sécurité cloud-native. L'architecture SASE est un ensemble consolidé d'outils de sécurité Web et cloud, de détection des menaces, de protection des données et de mise en réseau, réunis au sein d'une plateforme cloud qui prend en charge les utilisateurs, les données et les applications, où qu'ils soient. Dans ce modèle en pleine évolution, les appliances basées sur le périmètre réseau et les solutions traditionnelles deviennent des microservices cloud totalement intégrés, créant ainsi une seule plateforme aux politiques unifiées, soutenue par une infrastructure réseau mondiale, extensible et hautement performante.

Le modèle SASE combine les technologies suivantes

  • Microservices cloud-native réunis en une seule et même plateforme
  • Possibilité d'inspecter le traffic chiffré SSL/TLS dans le cloud
  • Proxy inline capable de décoder le traffic cloud et Web (NG SWG)
  • Pare-feu et protection contre les intrusions pour tous les ports et protocoles (FWaaS)
  • Intégration de l'API du service cloud managé pour les données au repos (CASB)
  • Évaluation continue de la sécurité du cloud public IaaS (CSPM)
  • Protection avancée des données en transit et au repos (DLP)
  • Protection contre les menaces avancées, notamment IA/ML, UEBA, sandboxing, etc. (ATP)
  • Partage d'informations sur les menaces et intégration dans EPP/EDR, SIEM et SOAR
  • Accès réseau zero-trust venant remplacer les VPN traditionnels et le hair-pinning (ZTNA)
  • Périmètre défini par logiciel avec accès zero-trust (SD-WAN, SDP)
  • Infrastructure réseau hyperscale, de catégorie opérateur, avec points de présence d'accès mondial
  • Accélération SaaS, traffic shaping, mise en cache et optimisation de la bande passante

 

Une architecture SASE est en mesure d'identifier les utilisateurs et les périphériques, d'appliquer des contrôles de sécurité basés sur des politiques et de fournir un accès sécurisé aux données et applications appropriées. Le SASE permet de fournir un accès sécurisé, quel que soit l'emplacement des utilisateurs, des données, des applications ou des périphériques.

SASE : les prédictions du cabinet Gartner

20 %

des entreprises adopteront des technologies SWG, CASB, ZTNA et FWaaS d'ici 2023

Source : rapport Gartner « The Future of Network Security Is in the Cloud »
(L'avenir de la sécurité des réseaux réside dans le Cloud)

40 %

des entreprises mettront au point des stratégies d'adoption de l'architecture SASE d'ici 2024

Source : rapport Gartner « The Future of Network Security Is in the Cloud »
(L'avenir de la sécurité des réseaux réside dans le Cloud)

Avantages du modèle SASE

01

Flexibilité

Offre un accès « direct-to-net » ou « direct-to-cloud » depuis n'importe quel emplacement, contrairement au hair-pinning traditionnel qui relie le trafic au datacentre

02

Réduction des coûts

Élimine les dépenses d'investissement pour les infrastructures locales, et génère des dépenses d'exploitation réduites et prévisibles en raison de son modèle Security-as-a-Service

03

Simplification

Permet aux équipes de sécurité d'abandonner la gestion d'appliances et de se concentrer sur la création de services de sécurité basés sur des politiques ; par ailleurs, les technologies consolidées/convergentes, qui appliquent des politiques unifiées, simplifient le SecOps.

04

Augmentation des performances

Améliore et accélère l'accès aux ressources Internet à travers une infrastructure réseau mondiale, optimisée pour offrir une faible latence, une capacité élevée et une haute disponibilité

05

Zero Trust

Garantit un accès sécurisé aux applications privées, hébergées dans des clouds publics ou des datacentres, au lieu de fournir un accès à tout le réseau

06

Protection contre les menaces

Détecte et bloque les attaques cloud et Web telles que le cloud phishing, les malwares, les ransomwares et les comportements internes malveillants

07

Protection des données

Protège les données où qu'elles aillent, à l'intérieur comme à l'extérieur de l'entreprise, y compris dans les clouds publics ainsi qu'entre les instances d'entreprise et les instances personnelles des applications cloud

Premiers pas avec l'architecture SASE

Le modèle SASE repose sur une architecture intégrée et extensible qui redéfinit les dispositifs de sécurité dans le cloud en tant que service. Pour vous lancer, procédez comme suit :

Tâchez de combiner votre passerelle Web sécurisée (SWG) et votre cloud access security broker (CASB) en une seule solution de proxy inline, capable de décoder le trafic Web et des milliers d'applications cloud à l'aide d'API et de JSON.

Vous bénéficierez alors d'une visibilité et d'un contrôle critiques sur vos dispositifs DLP (protection contre la perte de données) et ATP (protection contre les menaces avancées), qui sont hébergés sur la même plateforme, dans le cloud. Après avoir abandonné vos anciennes appliances SWG, optez pour un accès réseau zero trust (ZTNA) afin de remplacer vos appliances VPN obsolètes et de moderniser votre stratégie globale en matière d'accès sécurisé.

Étant donné que la plupart du trafic Internet est chiffré, mettez en place une solution d'inspection et de déchiffrement SSL/TLS à l'échelle du cloud.

Cette approche offre une inspection complète, plutôt que de renvoyer le trafic vers le datacentre de votre siège, ce qui en ralentit l'analyse.

Utilisez un réseau edge mondial pour bénéficier de performances et d'une disponibilité élevées.

Parce qu'héberger les dispositifs de sécurité dans un cloud public est une solution coûteuse et qui n'est pas rentable sur le long terme, les environnements prêts à adopter une architecture SASE doivent nécessairement opter pour un réseau plus efficace. Les fournisseurs de services cloud (CSP), d'accès à Internet (ISP) et d'applications SaaS proposent principalement des infrastructures réseau qui reposent sur une opposition entre coûts et performances. Utilisez une solution SASE où l'accès local est fourni via plusieurs points de présence avec une mise en réseau hyperscale. Vous n'aurez pas à choisir entre performances ou sécurité. Ce modèle optimise le « first mile », mais une architecture SASE doit pouvoir optimiser également le « middle mile » et le « last mile ». Les bureaux principaux et distants doivent pouvoir utiliser des tunnels GRE et IPsec, tandis que les utilisateurs à distance peuvent être activés par un client, ou intégrés dans des dispositifs de sécurité cloud par leur accès IAM/IdP et par le déploiement d'un reverse proxy pour les terminaux personnels, non gérés, sans client sécurisé.

Évitez les solutions de sécurité et de mise en réseau qui sont simplement basées sur des appliances ou hébergées dans le cloud. En effet, ces solutions impliquent plusieurs consoles, des interfaces disparates et différents contrôles des politiques. Par conséquent, elles surchargent le SecOps d'analyses et d'enquêtes en raison d'un trop grand nombre de consoles.

Lors de la conception d'un environnement SASE, des consoles, architectures cloud et agents intégrés simplifient grandement la configuration, les opérations et l'expérience de réponse en matière de sécurité. Privilégier la consolidation des technologies, tout en réduisant la complexité et les coûts, constitue toujours le meilleur objectif à atteindre.

Ressources