Qu'est ce qu'une architecture SASE  ?

Principale différence entre le SASE et la sécurité réseau traditionnelle : c’est qu’au lieu d’acheminer tout le trafic vers un centre de données pour appliquer des politiques de sécurité, le SASE fournit des capacités de sécurité et d’autres services à proximité des utilisateurs et des points de terminaison qui se connectent, à la périphérie du réseau.

Le modèle SASE présente un fort potentiel pour les entreprises : renforcement de la sécurité réseau, simplification de la gestion des performances réseau et amélioration de l’expérience utilisateur globale.

De plus en plus d’entreprises effectuent leur transformation numérique et adoptent des environnements cloud, edge computing et des modèles de travail à domicile ou hybrides. De ce fait, de plus en plus d’utilisateurs et de ressources informatiques résident en dehors du périmètre réseau traditionnel. Le SASE permet aux organisations de fournir des connexions directes, sécurisées et à faible latence entre les utilisateurs et ces ressources, quel que soit leur emplacement.

Le SASE est peut-être une technologie relativement nouvelle (Gartner, l’analyste du secteur, a défini le terme en 2019), mais de nombreux experts en sécurité pensent qu’il s’agit là de l’avenir de la sécurité réseau.

Le SASE est la combinaison, ou la convergence, de deux technologies principales : le SD-WAN ou Software-Defined Wide Area Network, et le SSE ou Secure Service Edge. Pour comprendre plus facilement le fonctionnement du SASE, il convient de comprendre chacune de ces technologies.

Tout comme les serveurs peuvent être virtualisés, un SD-WAN est un réseau étendu qui a été virtualisé. Il dissocie les fonctionnalités réseau du matériel sous-jacent (connexions, commutateurs, routeurs, passerelles) pour créer un pool de capacités réseau et de fonctionnalités de sécurité réseau pouvant être divisées, agrégées et appliquées au trafic sous contrôle logiciel.

Au départ, les réseaux étendus (WAN) traditionnels ont été conçus pour connecter les utilisateurs des succursales d’entreprise aux applications d’un centre de données central, généralement sur des connexions réseau obtenues via des lignes dédiées privées et coûteuses. Les routeurs installés dans chaque succursale contrôlaient et hiérarchisaient le trafic afin de garantir des performances optimales pour les applications les plus importantes. Les fonctions de sécurité, telles que l’inspection des paquets et le chiffrement des données, étaient appliquées au centre de données central.

Le SD-WAN a été développé à l’origine pour permettre aux organisations de dupliquer leurs capacités WAN sur une infrastructure Internet moins coûteuse et plus évolutive. Mais la demande pour le SD-WAN s’est accélérée quand de plus en plus d’entreprises ont commencé à adopter des services cloud avant d’être tout à fait prêtes à faire confiance à la sécurité Internet. Le modèle de sécurité WAN était mis à l’épreuve : le routage de volumes de trafic Internet toujours plus grands via le centre de données de l’entreprise créait un goulot d’étranglement coûteux qui nuisait aux performances du réseau et à l’expérience des utilisateurs.

Le SD-WAN élimine ce goulot d’étranglement, car il permet de sécuriser le trafic au point de connexion, plutôt que d’en forcer l’acheminement vers les dispositifs de sécurité. Il permet aux organisations d’établir des connexions directes, sécurisées et optimisées entre les utilisateurs et tout ce dont ils ont besoin : applications SaaS (logiciel en tant que service), ressources cloud ou services Internet publics.

Autre terme inventé par Gartner, le SSE constitue « la partie sécurité du SASE ». Gartner définit le SSE comme la convergence de trois technologies clés de sécurité cloud natives :

Passerelles web sécurisées (SWG). Une SWG régule le trafic Internet dans les deux sens. Elles empêchent le trafic malveillant d’atteindre les ressources réseau, en utilisant des techniques telles que le filtrage du trafic et l’inspection des requêtes DNS (Domain Name System) pour identifier et bloquer les logiciels malveillants, les ransomwares et autres cybermenaces. Elles empêchent également les utilisateurs autorisés de se connecter à des sites web suspects : au lieu de se connecter directement à Internet, les utilisateurs et les points de terminaison se connectent à la passerelle web sécurisée, qui ne leur permet d’accéder qu’aux ressources approuvées (par ex. les centres de données sur site, les applications d’entreprise, et les applications et services cloud).

Courtiers de sécurité d’accès au cloud (CASB, Cloud Access Security Brokers). Ces courtiers se situent entre les utilisateurs et les applications et ressources cloud. Ils appliquent les politiques de sécurité de l’entreprise comme le chiffrement, le contrôle d’accès et la détection de logiciels malveillants lorsque les utilisateurs accèdent au cloud, quel que soit l’emplacement ou la méthode de connexion, et ils peuvent le faire sans installer de logiciel sur le point de terminaison, ce qui en fait la solution parfaite pour les cas d’utilisation tels que le BYOD (Bring Your Own Device) et d’autres cas d’utilisation appliqués à la transformation du personnel. D’autres CASB peuvent également appliquer des politiques de sécurité lorsque les utilisateurs se connectent à des actifs cloud inconnus.

Accès réseau Zero Trust (ZTNA). L’accès réseau Zero Trust consiste à ne faire confiance à personne et à valider en permanence tous les utilisateurs et entités, à l’extérieur ou au sein du réseau. Les utilisateurs et entités validés se voient accorder un accès sur le principe du moindre privilège : ils reçoivent les autorisations strictement nécessaires pour accomplir leurs tâches. Tous les utilisateurs et entités sont obligés de repasser par l’étape de validation à chaque changement de contexte, et chaque interaction de données est authentifiée paquet par paquet jusqu’à la fin de la session de connexion.

Le ZTNA n’est pas un produit de sécurité en soi, mais une approche de la sécurité des réseaux mise en œuvre à l’aide de diverses technologies, notamment la gestion des identités et des accès (IAM), l’authentification multifacteur (MFA), l’analyse du comportement des utilisateurs et des entités (UEBA) et diverses solutions de détection des menaces et de réponse.

Les plateformes SASE des différents fournisseurs peuvent inclure d’autres capacités de prévention des menaces et de sécurité, notamment des plateformes de pare-feu en tant que service (FWaaS), de prévention des pertes de données (DLP), de contrôle d’accès réseau (NAC) et de protection des terminaux (EPP).

Les solutions SASE utilisent le SD-WAN pour fournir des services de sécurité SSE aux utilisateurs, aux appareils et aux autres terminaux là où ils se connectent ou à proximité, à la périphérie du réseau.

Plus précisément, au lieu de renvoyer tout le trafic vers un centre de données central pour inspection et chiffrement, les architectures SASE dirigent le trafic vers des points de présence distribués (PoP) situés à proximité de l’utilisateur final ou du point de terminaison. (Les PoP appartiennent au fournisseur de services SASE ou sont créés dans le centre de données d’un fournisseur tiers.) Le PoP sécurise le trafic via des services SSE fournis dans le cloud, puis l’utilisateur ou le terminal est connecté à des clouds publics et privés, à des applications SaaS, à l’Internet public ou à d’autres ressources.

Le SASE offre d’importants avantages métier aux équipes de sécurité, au personnel informatique, aux utilisateurs finaux et à l’entreprise dans son ensemble.

Économies, plus précisément, moins de dépenses d’investissement. Le SASE est essentiellement une solution de sécurité SaaS : les clients achètent l’accès au logiciel pour la configuration et le contrôle du SASE, et bénéficient de tous les avantages du matériel du fournisseur de services cloud sur lequel il est distribué. Au lieu d’acheminer le trafic depuis le routeur de la succursale vers le matériel du centre de données sur site pour des raisons de sécurité, les clients SASE acheminent le trafic vers le cloud à partir de la connexion Internet la plus proche.

Les entreprises peuvent également utiliser le SASE sous forme de solution hybride fournie à la fois dans le cloud public et dans l’infrastructure sur site de l’organisation, intégrant le matériel réseau physique, les appliances de sécurité et le centre de données à leurs homologues cloud natifs virtualisés.

Gestion et opérations simplifiées. Les cadres des exigences SASE fournissent une solution unique et cohérente qui permet de sécuriser tout ce qui se connecte ou tente de se connecter au réseau, pas seulement les utilisateurs, mais aussi les appareils IdO (Internet des objets), les API, les microservices conteneurisés ou les applications sans serveur et même les machines virtuelles (VM) qui tournent à la demande. Cela élimine également la nécessité de gérer une pile de solutions de sécurité ponctuelles (routeurs, pare-feu, etc.) à chaque point de connexion. Au lieu de cela, les équipes informatiques ou les équipes chargées de la sécurité peuvent élaborer une politique unique et centralisée destinée à protéger toutes les connexions et les ressources du réseau, qu’elles peuvent gérer à partir d’un point de contrôle unique.

Une cybersécurité renforcée. S’il est correctement mis en œuvre, le SASE peut améliorer la sécurité à plusieurs niveaux. La gestion simplifiée renforce la sécurité en réduisant les risques d’erreurs ou de mauvaises configurations. Pour sécuriser le trafic des utilisateurs distants, le SASE remplace l’octroi d’autorisations générales et uniques destinées à l’accès au réseau privé virtuel (VPN) par un contrôle d’accès ZTNA précis et basé sur l’identité et le contexte, pour les applications, les répertoires, les ensembles de données et les workloads. 

Une expérience utilisateur améliorée et plus cohérente. Avec le SASE, les utilisateurs se connectent au réseau de la même manière, qu’ils travaillent sur site, dans une succursale, depuis leur domicile ou en déplacement, qu’ils se connectent à des applications et à des ressources hébergées dans le cloud ou sur site. Les services SD-WAN acheminent automatiquement le trafic vers le PoP le plus proche et, une fois les politiques de sécurité appliquées, ils optimisent les connexions pour obtenir les meilleures performances possibles.

Le SASE offre des avantages à toute organisation souhaitant s’éloigner du modèle de centre de données central pour la distribution d’applications. Mais une poignée de cas d’utilisation spécifiques accélèrent son adoption aujourd’hui.

Protection du personnel hybride sans les goulots d’étranglement liés au VPN. Les VPN constituent le moyen principal de protéger les utilisateurs distants ou mobiles depuis près de deux décennies. Mais les VPN n’évoluent pas facilement ni à moindres frais, ce que de nombreuses organisations ont appris à leurs dépens lorsque leur personnel a adopté le travail à distance avec la pandémie de COVID-19. Le SASE, lui, peut évoluer de manière dynamique pour répondre aux exigences de sécurité des télétravailleurs en particulier et à l’évolution des habitudes du personnel en général.

Adoption du cloud hybride et migration vers le cloud. Le cloud hybride combine un cloud public, un cloud privé et une infrastructure sur site dans un environnement informatique flexible unique, où les workloads se déplacent librement entre les infrastructures en fonction des circonstances. Les solutions de sécurité WAN ne sont pas conçues pour la mobilité des workloads, mais le SASE, qui extrait les capacités de sécurité de l’infrastructure sous-jacente, sécurise le trafic où qu’il passe. Il donne également aux organisations la possibilité de migrer les workloads vers le cloud au rythme souhaité.

Edge computing et prolifération des appareils IdO/OT. L’edge computing est un modèle informatique distribué qui permet de placer les applications et les ressources informatiques hors du centre de données centralisé et de les rapprocher des sources de données telles que les téléphones mobiles, les appareils OT (technologies opérationnelles) ou IdO et les serveurs de données. Cette proximité permet d’améliorer les temps de réponse des applications et d’obtenir des informations plus rapidement, en particulier pour les applications d’intelligence artificielle (IA) et de machine learning qui traitent d’énormes volumes de données de streaming en temps réel.

Pour mettre en œuvre ces applications, des organisations ou des fournisseurs de solutions ont déployé des milliers de capteurs IdO ou d’appareils OT, et pour beaucoup, la sécurité laisse à désirer. Ces appareils sont donc des cibles de choix pour les hackers, qui peuvent les pirater pour accéder à des sources de données sensibles, perturber les opérations ou lancer des attaques DDoS (déni de service distribué). Le SASE peut appliquer des politiques de sécurité à ces appareils lorsqu’ils se connectent au réseau, et fournir une visibilité de gestion sur tous les appareils connectés dans un tableau de bord central.