Le SASE est la combinaison, ou la convergence, de deux technologies principales : le SD-WAN ou Software-Defined Wide Area Network, et le SSE ou Secure Service Edge. Pour comprendre plus facilement le fonctionnement du SASE, il convient de comprendre chacune de ces technologies.
SD-WAN
Tout comme les serveurs peuvent être virtualisés, un SD-WAN est un réseau étendu qui a été virtualisé. Il dissocie les fonctionnalités réseau du matériel sous-jacent (connexions, commutateurs, routeurs, passerelles) pour créer un pool de capacités réseau et de fonctionnalités de sécurité réseau pouvant être divisées, agrégées et appliquées au trafic sous contrôle logiciel.
Au départ, les réseaux étendus (WAN) traditionnels ont été conçus pour connecter les utilisateurs des succursales d’entreprise aux applications d’un centre de données central, généralement sur des connexions réseau obtenues via des lignes dédiées privées et coûteuses. Les routeurs installés dans chaque succursale contrôlaient et hiérarchisaient le trafic afin de garantir des performances optimales pour les applications les plus importantes. Les fonctions de sécurité, telles que l’inspection des paquets et le chiffrement des données, étaient appliquées au centre de données central.
Le SD-WAN a été développé à l’origine pour permettre aux organisations de dupliquer leurs capacités WAN sur une infrastructure Internet moins coûteuse et plus évolutive. Mais la demande pour le SD-WAN s’est accélérée quand de plus en plus d’entreprises ont commencé à adopter des services cloud avant d’être tout à fait prêtes à faire confiance à la sécurité Internet. Le modèle de sécurité WAN était mis à l’épreuve : le routage de volumes de trafic Internet toujours plus grands via le centre de données de l’entreprise créait un goulot d’étranglement coûteux qui nuisait aux performances du réseau et à l’expérience des utilisateurs.
Le SD-WAN élimine ce goulot d’étranglement, car il permet de sécuriser le trafic au point de connexion, plutôt que d’en forcer l’acheminement vers les dispositifs de sécurité. Il permet aux organisations d’établir des connexions directes, sécurisées et optimisées entre les utilisateurs et tout ce dont ils ont besoin : applications SaaS (logiciel en tant que service), ressources cloud ou services Internet publics.
SSE
Autre terme inventé par Gartner, le SSE constitue « la partie sécurité du SASE ». Gartner définit le SSE comme la convergence de trois technologies clés de sécurité cloud natives :
Passerelles web sécurisées (SWG). Les passerelles web sécurisées jouent le rôle d’agents de la circulation qui régulent le trafic Internet dans les deux sens. Elles empêchent le trafic malveillant d’atteindre les ressources réseau, en utilisant des techniques telles que le filtrage du trafic et l’inspection des requêtes DNS (Domain Name System) pour identifier et bloquer les logiciels malveillants, les ransomwares et autres cybermenaces. Elles empêchent également les utilisateurs autorisés de se connecter à des sites web suspects : au lieu de se connecter directement à Internet, les utilisateurs et les points de terminaison se connectent à la passerelle web sécurisée, qui ne leur permet d’accéder qu’aux ressources approuvées (par ex. les centres de données sur site, les applications d’entreprise, et les applications et services cloud).
Courtiers de sécurité d’accès au cloud (CASB, Cloud Access Security Brokers). Ces courtiers se situent entre les utilisateurs et les applications et ressources cloud. Ils appliquent les politiques de sécurité de l’entreprise comme le chiffrement, le contrôle d’accès et la détection de logiciels malveillants lorsque les utilisateurs accèdent au cloud, quel que soit l’emplacement ou la méthode de connexion, et ils peuvent le faire sans installer de logiciel sur le point de terminaison, ce qui en fait la solution parfaite pour les cas d’utilisation tels que le BYOD (Bring Your Own Device) et d’autres cas d’utilisation appliqués à la transformation du personnel. D’autres CASB peuvent également appliquer des politiques de sécurité lorsque les utilisateurs se connectent à des actifs cloud inconnus.
Accès réseau Zero Trust (ZTNA). L’accès réseau Zero Trust consiste à ne faire confiance à personne et à valider en permanence tous les utilisateurs et entités, à l’extérieur ou au sein du réseau. Les utilisateurs et entités validés se voient accorder un accès sur le principe du moindre privilège : ils reçoivent les autorisations strictement nécessaires pour accomplir leurs tâches. Tous les utilisateurs et entités sont obligés de repasser par l’étape de validation à chaque changement de contexte, et chaque interaction de données est authentifiée paquet par paquet jusqu’à la fin de la session de connexion.
Le ZTNA n’est pas un produit de sécurité en soi, mais une approche de la sécurité des réseaux mise en œuvre à l’aide de diverses technologies, notamment la gestion des identités et des accès (IAM), l’authentification multifacteur (MFA), l’analyse du comportement des utilisateurs et des entités (UEBA) et diverses solutions de détection des menaces et de réponse.
Les plateformes SASE des différents fournisseurs peuvent inclure d’autres capacités de prévention des menaces et de sécurité, notamment des plateformes de pare-feu en tant que service (FWaaS), de prévention des pertes de données (DLP), de contrôle d’accès réseau (NAC) et de protection des terminaux (EPP).
Tout regrouper
Les solutions SASE utilisent le SD-WAN pour fournir des services de sécurité SSE aux utilisateurs, aux appareils et aux autres terminaux là où ils se connectent ou à proximité, à la périphérie du réseau.
Plus précisément, au lieu de renvoyer tout le trafic vers un centre de données central pour inspection et chiffrement, les architectures SASE dirigent le trafic vers des points de présence distribués (PoP) situés à proximité de l’utilisateur final ou du point de terminaison. (Les PoP appartiennent au fournisseur de services SASE ou sont créés dans le centre de données d’un fournisseur tiers.) Le PoP sécurise le trafic via des services SSE fournis dans le cloud, puis l’utilisateur ou le terminal est connecté à des clouds publics et privés, à des applications SaaS, à l’Internet public ou à d’autres ressources.