Un nouveau cadre pour la sécurité des réseaux

Assurer la connexion des réseaux distribués modernes

Internet a été conçu comme un immense réseau distribué. C’est ce qui le rend naturellement résilient, permettant aux ordinateurs, aux serveurs et à d’autres appareils de se connecter et d’acheminer des données à la demande. Lorsqu’un appareil unique (ou un groupe d’appareils) tombe en panne ou se déconnecte d’Internet, l’incidence sur le fonctionnement du reste du réseau est généralement négligeable.

Toutefois, malgré cette résilience intrinsèque, Internet n’a pas été conçu d’une manière permettant de garantir la rapidité ou la disponibilité des connexions. Il lui manquait également un cadre de sécurité, ce qui rendait les appareils vulnérables à l’interception des données, aux activités malveillantes et à d’autres cyberattaques.

Par conséquent, le modèle sur lequel reposait l’infrastructure réseau traditionnelle s’apparentait à un « château entouré de douves », dans lequel les applications et les données étaient conservées dans des datacenters centralisés sur site (« les châteaux »), dont la défense contre les menaces extérieures était assurée par une configuration complexe de pare-feu matériels, d’équipements anti-DDOS et d’autres dispositifs de sécurité (« les douves »). Les utilisateurs autorisés accédaient au château au moyen de VPN, qui se comportaient comme un pont-levis enjambant les douves.

Si le modèle du château et des douves permettait aux organisations d’offrir à leurs réseaux une protection basique, il était loin d’être parfait. Il restait plusieurs obstacles à surmonter :

• La complexité de la configuration et de la maintenance : il était coûteux de configurer et mettre à jour les équipements de sécurité sur site pour contrer les menaces émergentes, ce qui contraignait les équipes de sécurité
  à essayer de rattraper les attaquants à mesure que ces derniers trouvaient de nouveaux moyens d’exploiter les vulnérabilités des systèmes existants.

• Les compromis en matière de performances : le personnel qui devait se connecter à des réseaux privés le faisait souvent via un VPN, malgré la lenteur qu’entraînaient l’éloignement géographique et l’encombrement des serveurs.

• Les vulnérabilités en matière de sécurité : quiconque franchissait le périmètre du réseau bénéficiait d’un accès illimité aux ressources de l’entreprise, ce qui rendait les menaces de violations de données, qu’elles soient internes ou externes, difficiles à prévenir.

La simplification et le renforcement de l'infrastructure réseau existante constituaient des tâches complexes, bien que nécessaires, pour de nombreuses entreprises, mais la transformation numérique est venue les compliquer davantage.

Le Cloud offre plus de souplesse mais
fait naître de nouveaux problèmes

La transformation de l’environnement technique a rendu toujours plus ardues les tâches inhérentes à la sécurité des réseaux. Les fournisseurs SaaS et de Cloud public ont permis aux entreprises de déplacer leurs applications et leurs données hors des datacenters sur site, tandis que les smartphones et autres appareils mobiles permettent désormais au personnel en télétravail de se connecter aux réseaux depuis des sites distants.

L’adoption de services dans le Cloud a contribué à décentraliser les datacenters sur site, et ainsi, a offert aux organisations plus de flexibilité et d’agilité que jamais auparavant. Toutefois, cette adoption signifie également que les ressources sensibles des entreprises ne se trouvent désormais plus dans un seul « château », mais qu’elles sont disséminées dans plusieurs endroits ; il est donc devenu complexe d’établir un périmètre de sécurité unifié.

La sécurisation de ce type d’environnement hybride s’est avérée encore plus difficile que prévu. Les organisations ont dû adopter des solutions de sécurité distinctes pour les applications et les données sur site et celles dans le Cloud, tout en veillant à ce que leur personnel puisse accéder aux ressources du réseau de manière sûre et pratique, depuis n’importe quel endroit.

En conséquence, les organisations ont été contraintes de configurer et gérer un ensemble hétéroclite et complexe de solutions de sécurité ponctuelles qui n’étaient, pour la plupart, pas conçues pour une intégration fluide. Cela a engendré un certain nombre de difficultés supplémentaires pour les équipes de sécurité :

• Sollicitation des ressources internes : la protection d’un environnement hybride est souvent une tâche fastidieuse et chronophage pour les équipes de sécurité. Les équipements sur site n’étant pas en mesure de sécuriser les applications et services dans le Cloud, les entreprises ont besoin de systèmes de sécurité distincts pour protéger l’ensemble des outils et des ressources internes, ce qui engendre un supplément de coûts, de temps et de main-d’œuvre.

• Multiplicité des fournisseurs : la sécurité des réseaux dans le Cloud comporte de nombreux éléments mobiles
  (des pare-feu Cloud aux passerelles web sécurisées (SWG), aux agents de sécurité d’accès au Cloud (CASB) et bien d’autres), et il peut être difficile de trouver un fournisseur proposant l’ensemble des services de sécurité. Pour la plupart des entreprises, la protection d’un environnement hybride nécessite de faire appel à plusieurs fournisseurs, ce qui peut engendrer des coûts et une complexité supplémentaires.

• Failles de sécurité : lorsque vous travaillez avec plusieurs fournisseurs de sécurité, il peut être difficile de garantir la protection intégrale de chaque partie de votre réseau en ne laissant aucune faille persistante de sécurité, notamment parce qu’il manque un « panneau de contrôle unique » depuis lequel il serait possible de surveiller et gérer l’infrastructure de sécurité de votre réseau. Étant donnée la nature même du télétravail, les employés sont souvent amenés à utiliser des appareils personnels pour se connecter aux réseaux des entreprises, ce qui ajoute de nouveaux risques en termes de sécurité.

Le modèle du château et des douves, qui permettait autrefois de configurer, sécuriser et gérer les réseaux d’entreprise de manière relativement simple, n’est plus compatible avec les environnements hybrides et de Cloud. Cette transition était déjà en cours, mais l’année 2020 a imposé une accélération rapide de ce processus. Le personnel est plus disséminé et éloigné que jamais, et il a pris l’habitude d’accéder aux ressources de l’entreprise depuis de nombreux appareils personnels différents. Les entreprises sont de plus en plus conscientes de la nécessité de gérer leur personnel, les serveurs et les applications déployés sur Internet, plutôt qu’à l’intérieur d’un château.

Un nouveau cadre pour la sécurité des réseaux

Tandis que les anciens modèles de sécurité réseau se voyaient distancés par les menaces émergentes et que l'architecture moderne augmentait en complexité, les entreprises ont commencé à évoluer vers un modèle de sécurité fondé sur le cloud : le service d'accès sécurisé en périphérie ou SASE (Secure Access Service Edge).

Imaginé en premier lieu par Gartner en 2019, le modèle SASE associe un réseau étendu défini par logiciel à des services essentiels de sécurité des réseaux, notamment des passerelles web sécurisées (SWG), des agents de sécurité d'accès au cloud (CASB), des pare-feu cloud (FWaaS) et des politiques d'accès réseau Zero Trust (ZTNA), déployés à la périphérie du réseau.

Plutôt que de dépendre d'équipements physiques inefficaces ou d'assembler des services de sécurité cloisonnés, le modèle SASE propose une vision rationalisée de la sécurité des réseaux. Il élimine la complexité liée à la redirection (backhauling) par la périphérie d'Internet afin de permettre aux entreprises d'acheminer, d'inspecter et de sécuriser le trafic en une seule passe. L'approche SASE applique le concept Zero Trust, c'est-à-dire l'idée selon laquelle chaque utilisateur de chaque application doit continuellement être authentifié, et le pousse même au-delà de son schéma initial. Associé à des politiques d'accès Zero Trust et à une protection contre les menaces au niveau du réseau, le modèle SASE élimine la nécessité de déployer des solutions traditionnelles de VPN, des pare-feu physiques et des équipements de protection contre les attaques DDoS. Il permet ainsi aux entreprises de consolider leurs services de sécurité réseau et aux équipes de sécurité de bénéficier d'une meilleure visibilité et d'un meilleur contrôle sur les configurations de sécurité de leur réseau.

En pratique, la mise en œuvre de SASE peut varier considérablement d’un fournisseur à l’autre et d’une organisation à l’autre. Cependant, la plupart des solutions SASE ont en commun plusieurs avantages essentiels par rapport aux configurations de sécurité des réseaux sur site et hybrides :

• Regroupement des fournisseurs : plutôt que de jongler entre plusieurs fournisseurs et solutions ponctuelles, les organisations peuvent bénéficier d’une protection complète de leur réseau auprès d’un fournisseur de SASE unique, et ainsi, éviter des coûts inutiles et la configuration complexe de différents services.

• Unification du périmètre de sécurité : en fournissant ces services à la périphérie du réseau (un réseau mondial de serveurs et d’appareils géographiquement proches de l’utilisateur final), SASE permet aux entreprises de sécuriser leurs applications, données et utilisateurs depuis n’importe quel endroit dans le monde.

• Plus de visibilité : en consolidant la connectivité réseau et les services de sécurité des réseaux et en les déployant depuis une plateforme unique dans le Cloud, SASE comble les failles de sécurité existant entre les services, offre une meilleure visibilité de l’activité du réseau aux équipes informatiques et simplifie le processus de migration vers le Cloud.

SASE promet de faire évoluer la sécurité vers de nouveaux sommets, où les services de sécurité et de réseau en silo peuvent être fusionnés sur une plateforme de Cloud unique et sont proposés en tant que service.

Cette démarche, lorsqu’elle est correctement mise en œuvre, permet aux entreprises de s’assurer que leurs réseaux internes restent mondiaux, distribués et continuellement connectés, sans aucun compromis en matière de sécurité et de performances.

Afin de répondre aux besoins des entreprises d'aujourd'hui, Cloudflare a lancé Cloudflare One, une solution NaaS (Network as a Service) complète et fondée sur le cloud. Cette dernière vient remplacer un ensemble hétérogène d'équipements et de technologies WAN par un réseau unique offrant sécurité, performances et contrôle depuis une interface utilisateur unique. Le réseau étant le dénominateur commun de toutes les applications, l'intégration de mesures de contrôle au sein de ce dernier permet à Cloudflare One de garantir la cohérence des politiques, peu importe qu'il s'agisse d'une application récente ou ancienne, qu'elle soit exécutée sur site ou dans le cloud, ou qu'elle soit proposée depuis votre infrastructure ou par l'intermédiaire d'un fournisseur SaaS mutualisé. Grâce à la fantastique présence de Cloudflare à l'échelle mondiale, le trafic est sécurisé, routé et filtré au sein d'une infrastructure optimisée, qui tire parti d'un corpus d'informations sur Internet en temps réel afin d'offrir une protection contre les toutes dernières menaces et d'acheminer le trafic en contournant les « intempéries » et les défaillances du réseau Internet.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Principales conclusions

Cet article vous permettra de comprendre les points suivants :

• Les obstacles associés à l'approche de sécurité du type « château entouré de douves »

• La complexité introduite par le cloud

• Les avantages principaux du SASE

• La promesse du SASE

Ressources associées

• Guide : Débuter avec le modèle SASE

• Qu’est-ce que le modèle SASE ?

• La plateforme SASE Cloudflare One

• 451 Research : Rapport sur les perspectives de Cloudflare One sur le marché