Qu’est-ce que le SASE ? Un service cloud qui allie SD-WAN et sécurité

Qu’est-ce que le SASE ? Un service cloud qui allie SD-WAN et sécurité

Le service d’accès sécurisé en périphérie ou SASE, permet de rationaliser l’accès au réseau, d’améliorer la sécurité, d’accroître les performances du réseau et de réduire le nombre de fournisseurs et de dispositifs avec lesquels les professionnels de l’informatique doivent composer.

Le Secure Access Service Edge (SASE) est une architecture réseau nouvelle génération qui intègre le réseau étendu défini par logiciel (SD-WAN) et la sécurité dans un service en cloud qui promet un déploiement simplifié du réseau étendu, une efficacité et une sécurité accrues, ainsi que la fourniture d’une bande passante appropriée par application.

Comme il s’agit d’un service en cloud, le modèle SASE peut être facilement étendu et réduit et facturé en fonction de l’utilisation. Il s’agit donc d’une option intéressante à une époque ou tout évolue très rapidement.

Si certains fournisseurs proposent des dispositifs matériels pour connecter les employés à domicile et les centres de données d’entreprise à leurs réseaux SASE, la plupart d’entre eux gèrent les connexions par le biais de clients logiciels ou d’appliances virtuelles.

Gartner a créé le terme SASE et l’a décrit pour la première fois dans un livre blanc de 2019. Il expose ses objectifs et ce à quoi devrait ressembler une mise en œuvre SASE. Le cabinet de conseil note que SASE est encore en développement et que toutes ses fonctionnalités ne sont peut-être pas encore facilement disponibles.

Voyons cela plus en détail.

 

Qu'est-ce que le SASE

Qu’est-ce que le SASE ou Secure Access Service Edge ?

En termes simples, une solution SASE combine les capacités SD-WAN avec la sécurité et les fournit en tant que service (As-a-Service). Les politiques de sécurité appliquées aux sessions des utilisateurs sont adaptées à chacune d’elles en fonction de quatre facteurs ; à savoir :

  • l’identité de l’entité qui se connecte
  • le contexte (santé et comportement de l’appareil, sensibilité des ressources auxquelles on accède)
  • les politiques de sécurité et de conformité
  • une évaluation continue des risques au cours de chaque session.

Le côté WAN de SASE repose sur des capacités fournies par des entités telles que les fournisseurs de SD-WAN, les transporteurs, les réseaux de diffusion de contenu, les fournisseurs de réseau en tant que service, les agrégateurs de bande passante et les fournisseurs d’équipements de réseau informatique.

La sécurité s’appuie sur des courtiers de sécurité pour l’accès au cloud, des passerelles web sécurisées pour le cloud, un accès réseau zéro trust, un pare-feu en tant que service, une protection des API web en tant que service, un DNS et une isolation du navigateur à distance.

Idéalement, toutes ces fonctionnalités sont proposées sous la forme d’un service SASE par une seule et même entité qui les regroupe, indique Gartner.

Quelle architecture en périphérie pour le SASE ?

La partie « edge computing » du SASE est généralement fournie par des PoP ou des centres de données de fournisseurs proches des points d’extrémité ; les centres de données, les personnes et les appareils – où qu’ils se trouvent dans le monde entier. Dans certains cas, le fournisseur de SASE possède les PoP, tandis que dans d’autres, il fait appel à un tiers ou attend de ses clients qu’ils fournissent leur propre connectivité.

Quels sont les deux avantages du SASE ?

Comme il s’agit d’un service unique, une solution SASE réduit la complexité et les coûts. Les entreprises traitent avec moins de fournisseurs, la quantité de matériel informatique nécessaire dans les succursales et autres sites distants diminue ; de même que le nombre d’agents sur les appareils des utilisateurs finaux.

Les responsables informatiques peuvent définir des politiques de manière centralisée via des plates-formes de gestion basées sur le cloud. Ces politiques sont appliquées au niveau des points de présence distribués, à proximité des utilisateurs finaux.

Les utilisateurs finaux bénéficient de la même expérience d’accès. Quelles que soient les ressources dont ils ont besoin et l’endroit où elles se trouvent. Le SASE simplifie également le processus d’authentification en appliquant des politiques appropriées pour les ressources recherchées par l’utilisateur en fonction de l’ouverture de session initiale.

La sécurité informatique est renforcée car les politiques sont appliquées de la même manière quel que soit l’endroit où se trouvent les utilisateurs. Au fur et à mesure que de nouvelles menaces apparaissent, le fournisseur de services s’occupe de la manière de s’en protéger ; sans que l’entreprise ait besoin de nouveau matériel.

Le modèle SASE prend en charge le réseau zéro confiance, qui base l’accès sur l’utilisateur, l’appareil et l’application ; et non sur la localisation et l’adresse IP.

Un plus grand nombre d’utilisateurs finaux – employés, partenaires, sous-traitants, clients – peuvent accéder au réseau sans risquer que la sécurité traditionnelle – comme les VPN et les DMZ – soit compromise ; et devienne une tête de pont pour d’éventuelles attaques généralisées contre l’entreprise.

Les fournisseurs de SASE peuvent fournir différentes qualités de service afin que chaque application obtienne la bande passante et la réactivité du réseau dont elle a besoin.

Avec les SASE, le personnel informatique de l’entreprise a moins de travail liées au déploiement, à la surveillance et à la maintenance. Il peut donc se voir confier des tâches de plus haut niveau.

Besoin d’un prestataire SASE ?
Un devis ?

Les défis d’une solution SASE en informatique selon Gartner

Gartner énumère plusieurs obstacles à l’adoption des solutions SASE. Les offres SASE initiales peuvent ne pas être conçues dans un esprit « cloud-native », car l’expérience des fournisseurs consiste à vendre du matériel sur site. Ils peuvent donc opter pour des architectures où l’infrastructure est dédiée à un seul client à la fois.

De même, les fournisseurs de matériel traditionnel peuvent manquer d’expérience en ce qui concerne les proxies en ligne nécessaires aux SASE. Ce qui peut entraîner des problèmes de coût et de performance.

Certains fournisseurs traditionnels peuvent également manquer d’expérience dans l’évaluation du contexte. Ce qui pourrait limiter leur capacité à prendre des décisions tenant compte du contexte.

En raison de la complexité d’une solution SASE, il est important que les fournisseurs proposent des fonctions bien intégrées ; et non des fonctions cousues ensemble.

La mise en place de PoP à l’échelle mondiale pourrait s’avérer trop coûteuse pour certains fournisseurs de SASE. Cela pourrait entraîner des performances inégales sur tous les sites. En effet, certains d’entre eux pourraient être éloignés du PoP le plus proche, ce qui entraînerait une latence. Rappelons qu’une faible latence est nécessaire pour une expérience optimale.

Les agents d’extrémité SASE devront être intégrés à d’autres agents afin de simplifier les déploiements.

Les transitions SASE peuvent mettre le personnel à rude épreuve. Des guerres intestines pourraient éclater lorsque SASE touchera les équipes chargées des réseaux et de la sécurité. Le changement de fournisseur pour adopter un modèle SASE pourrait nécessiter une nouvelle formation du personnel informatique de l’entreprise pour gérer cette nouvelle technologie.

Pourquoi le SASE est-il nécessaire ?

Selon Gartner, une plus grande partie des fonctions traditionnelles du datacenter de l’entreprise est désormais hébergée en dehors de celui-ci plutôt qu’à l’intérieur ; dans les clouds des fournisseurs IaaS, dans les applications SaaS et le stockage cloud. Les besoins de l’internet des objets (IoT) et de l’edge computing ne feront qu’accroître cette dépendance aux ressources basées sur le cloud. Et pourtant l’architecture de sécurité WAN reste adaptée aux centres de données d’entreprise sur site.

Les utilisateurs distants se connectent couramment via des VPN et nécessitent des pare-feu sur chaque site ou sur les appareils individuels. Dans les modèles traditionnels, ils doivent s’authentifier auprès d’un service de sécurité centralisé qui leur accorde l’accès ; mais qui peut également acheminer le trafic via ce site central. Cette architecture héritée est entravée par la complexité, le manque de flexibilité et les retards.

Avec le modèle SASE, les utilisateurs finaux et les appareils peuvent s’authentifier et obtenir un accès sécurisé à toutes les ressources qu’ils sont autorisés à atteindre, protégées par une sécurité située à proximité d’eux. Une fois authentifiés, ils ont un accès direct aux ressources. Ce qui résout les problèmes de latence.

Selon Nat Smith, analyste chez Gartner, le SASE est davantage une philosophie et une orientation qu’une liste de caractéristiques. Mais, en général, dit-il, une solution SASE se compose de cinq technologies principales : SD-WAN, pare-feu en tant que service (FWaaS), Cloud Access Security Broker (CASB), passerelle web sécurisée et accès réseau à confiance zéro.

 

Secure Access Service Edge

SD-WAN intégré

Traditionnellement, le WAN est composé d’une infrastructure autonome, nécessitant souvent un lourd investissement en matériel.

La version SASE est entièrement basée sur le cloud, définie et gérée par logiciel, et dispose de PoPs distribués ; qui, idéalement, sont situés près des centres de données, des succursales, des appareils et des employés de l’entreprise. La multiplicité des PoP est essentielle pour garantir qu’un maximum de trafic d’entreprise accède directement au réseau SASE ; évitant ainsi les problèmes de latence et de sécurité de l’internet public.

Grâce à ce service, les clients peuvent surveiller la santé du réseau et définir des politiques pour leurs besoins spécifiques en matière de trafic.

Comme le trafic provenant d’Internet passe d’abord par le réseau du fournisseur, une solution SASE peut détecter le trafic dangereux et intervenir avant qu’il n’atteigne le réseau de l’entreprise. Par exemple, les attaques DDoS peuvent être atténuées au sein du réseau SASE. Ce qui évite aux clients d’être inondés de trafic malveillant.

Pare-feu en tant que service

Dans l’environnement distribué d’aujourd’hui, les utilisateurs et les ressources informatiques sont de plus en plus souvent situés à la périphérie du réseau. Un pare-feu flexible, basé sur le cloud et fourni as-a-Service, peut protéger ces limites. Cette fonctionnalité deviendra de plus en plus importante à mesure que l’informatique de périphérie se développe et que les appareils IoT deviennent plus intelligents et plus puissants.

La fourniture de FWaaS (FireWall-as-a-Service) dans le cadre de la plateforme SASE permet aux entreprises de gérer plus facilement la sécurité de leur réseau. Aussi, cela leur permet de définir des politiques uniformes, de repérer les anomalies et d’apporter rapidement des modifications.

Courtier en sécurité pour l’accès au cloud – CASB

Alors que de plus en plus de systèmes d’entreprise passent aux applications SaaS, l’authentification et l’accès deviennent de plus en plus importants.

Les CASB sont utilisés par les entreprises pour s’assurer que leurs politiques de sécurité sont appliquées de manière cohérente ; même lorsque les services eux-mêmes échappent à leur contrôle.

Avec le SASE, le même portail que les employés utilisent pour accéder à leurs systèmes d’entreprise est également un portail vers toutes les applications en cloud auxquelles ils ont accès ; y compris le CASB. Le trafic n’a pas besoin d’être acheminé hors du système vers un service CASB distinct.

Passerelle web sécurisée

Dans l’entreprise d’aujourd’hui, le trafic réseau est rarement limité à un périmètre prédéfini. Les charges de travail modernes nécessitent généralement un accès à des ressources extérieures ; mais il peut y avoir des raisons de conformité pour refuser aux employés l’accès à certains sites.

En outre, les entreprises veulent réaliser un filtrage d’url, bloquer l’accès aux sites de phishing et aux serveurs de commande et de contrôle des botnets ; ou logiciels malveillants. Même les sites Web inoffensifs peuvent être utilisés de manière malveillante par des employés qui tentent d’exfiltrer des données sensibles de l’entreprise. La prévention des menaces et des pertes de données est aujourd’hui un enjeu majeur pour les entreprises.

Les passerelles web sécurisées (SGW) protègent les entreprises contre ces menaces. Les fournisseurs de SASE qui offrent cette fonctionnalité devraient être en mesure d’inspecter le trafic crypté à l’échelle du cloud. Le fait de regrouper les SGW avec d’autres services de sécurité réseau améliore la gérabilité et permet d’appliquer un ensemble plus uniforme de politiques de sécurité.

Accès réseau zéro trust

L’accès réseau zéro confiance (zero trust) permet aux entreprises de bénéficier d’une visibilité et d’un contrôle granulaires des groupes d’individus et des systèmes accédant aux applications et services de l’entreprise.

Le zero trust est une approche relativement nouvelle de la sécurité réseau. Le passage à une plate-forme SASE pourrait permettre aux entreprises d’obtenir ces capacités zéro trust.

Un élément central de la confiance zéro est que la sécurité est basée sur l’identité, plutôt que, par exemple, sur l’adresse IP. Cela la rend plus adaptable à une main-d’œuvre mobile. En revanche, elle nécessite des niveaux d’authentification supplémentaires ; comme l’authentification multifactorielle et l’analyse comportementale. Une bonne façon de réduire la surface d’attaque et d’améliorer la protection contre les intrusions.

D’autres technologies peuvent faire partie de SASE

En plus des cinq fonctionnalités de base, Gartner recommande également quelques autres technologies que les fournisseurs de SASE devraient offrir.

Il s’agit notamment de la protection des applications Web et des API, de l’isolation du navigateur à distance et des sandboxes de réseau. Sont également recommandés : la protection de la confidentialité du réseau et la dispersion du trafic. Ces derniers rendent difficile pour les acteurs de la menace de trouver les actifs de l’entreprise en suivant leurs adresses IP ou en écoutant les flux de trafic.

Parmi les autres fonctionnalités facultatives, citons la protection contre les points chauds du Wi-Fi, la prise en charge des VPN existants et la protection des dispositifs ou systèmes informatiques périphériques hors ligne.

L’accès centralisé aux données de réseau et de sécurité peut permettre aux entreprises d’effectuer des analyses comportementales globales. Cela peut aussi permettre de repérer des menaces et des anomalies qui, autrement, ne seraient pas apparentes dans des systèmes cloisonnés. Lorsque ces analyses sont fournies sous forme de service cloud, il est plus facile d’inclure des données actualisées sur les menaces et d’autres renseignements externes.

L’objectif final du regroupement de toutes ces technologies sous l’égide de SASE est d’offrir aux entreprises une sécurité souple et cohérente. Cela permet aussi une réduction de la complexité et de meilleures performances ; le tout pour un coût total de possession réduit.

Les entreprises devraient être en mesure d’obtenir l’échelle dont elles ont besoin sans avoir à embaucher un nombre correspondant d’administrateurs de réseau et de sécurité.

Comment passer au SASE ?

Les entreprises commenceront probablement par adopter des approches hybrides, les systèmes de sécurité et de mise en réseau traditionnels gérant les connexions préexistantes entre les centres de données et les succursales. SASE sera utilisé pour gérer les nouvelles connexions, les nouveaux appareils, les nouveaux utilisateurs et les nouveaux sites.

Le SASE n’est pas un remède aux problèmes de réseau et de sécurité et n’empêchera pas les perturbations futures. En revanche, il permettra aux entreprises de réagir plus rapidement aux perturbations ; ou aux crises et de minimiser ainsi leur impact sur l’entreprise. En outre, SASE permettra aux entreprises d’être mieux positionnées pour tirer parti des nouvelles technologies, telles que l’edge computing, la 5G et l’IA mobile.

Découvrez notre solution SASE Fortinet

DEVIS EXTER GRATUIT
Recevez votre devis personnalisé dans la journée

Dites-nous ce qu'il vous faut, on s'occupe de tout !

Demander un devis
Mathieu CARLIER
Mathieu CARLIER
CMO

Spécialiste des télécommunications, de l'informatique et de la cybersécurité depuis 2005, Mathieu CARLIER a travaillé pour plusieurs opérateurs télécoms B2B et des éditeurs de logiciels.

Related Posts