Qu’est-ce que le modèle SASE ? | Secure Access Service Edge

Qu’est-ce que le modèle SASE ?

Le modèle SASE (Secure Access Service Edge) est un modèle de sécurité fondé sur le cloud qui associe un SDN à des fonctions de sécurité réseau et les propose en tant que fournisseur unique. Le terme « SASE » a été inventé en 2019 par Gartner, une entreprise internationale de recherche et de conseil.

Fondé sur le cloud, le modèle SASE constitue une alternative à l’infrastructure traditionnelle en étoile (hub-and-spoke, terme issu de l’anglais hub (moyeu) et spoke (rayon)) utilisée pour relier des utilisateurs situés dans plusieurs endroits (les rayons) à des ressources hébergées dans des datacenters centralisés (les moyeux). Dans un modèle de réseau traditionnel, les données et les applications sont stockées au sein d’un datacenter centralisé. Afin d’accéder à ces ressources, les utilisateurs, les bureaux locaux et les applications se connectent au datacenter à partir d’un réseau privé localisé ou d’un réseau secondaire généralement relié au réseau principal via une liaison sécurisée ou un VPN.

Bien que simple dans son principe, le modèle en étoile convient mal aux complexités engendrées par les services fondés sur le cloud, comme l’approche SaaS (logiciel en tant que service), et la hausse des effectifs distribués. En raison du nombre croissant d’applications, de charges de travail et de données professionnelles sensibles migrant vers le cloud, les entreprises sont contraintes de repenser la procédure et le lieu d’inspection du trafic réseau, ainsi que l’endroit où sont gérées les politiques d’accès sécurisé des utilisateurs. Il n’est désormais plus possible de rediriger l’ensemble du trafic via un datacenter centralisé (effet « trombone ») si la plupart des applications et des données sont hébergées dans le cloud, car ceci peut engendrer une latence superflue. Par ailleurs, un grand nombre d’utilisateurs distants peuvent souffrir d’une latence importante lorsqu’ils se connectent à un réseau d’entreprise par l’intermédiaire d’un VPN ou s’exposer à des risques de sécurité supplémentaires lorsqu’ils accèdent aux ressources de l’entreprise via une connexion non sécurisée.

À l’inverse, le modèle SASE place les dispositifs de contrôle du réseau à la périphérie du cloud et non dans le datacenter de l’entreprise. Au lieu de superposer des services cloud nécessitant une configuration et une gestion distinctes, le modèle SASE simplifie les services réseau et de sécurité afin de créer une périphérie de réseau sûre et homogène. La mise en œuvre de politiques d’accès de type Zero Trust, fondées sur les identités, au niveau du réseau périphérique permet aux entreprises d’étendre le périmètre réseau à n’importe quel utilisateur, bureau local, application ou appareil distant. En éliminant la nécessité de passer par des VPN et des pare-feu hérités, cette approche offre aux entreprises un contrôle plus granulaire sur leurs politiques de sécurité réseau. Pour y parvenir, la structure SASE s’appuie sur un réseau mondial unique afin de rapprocher ces services intégrés et les utilisateurs finaux.

Pourquoi le modèle SASE est-il nécessaire ?

On peut se représenter l’architecture réseau traditionnelle comme une banque physique. Supposons maintenant que Bob souhaite vérifier le solde de son compte avant de payer son loyer. Il lui faudra pour cela se rendre en personne à la banque et faire vérifier son identité par le guichetier. Il devra se rendre à nouveau à la banque chaque mois pour répéter cette démarche, ce qui peut lui demander beaucoup de temps et d’efforts, surtout s’il vit loin de la banque.

Cette analogie décrit peu ou prou le fonctionnement de l’architecture réseau axée sur le matériel, au sein de laquelle les décisions en matière de sécurité et d’accès sont prises et appliquées dans un datacenter fixe, sur site, plutôt que dans le cloud. L’ajout de services cloud à une architecture réseau traditionnelle équivaut en quelque sorte à donner à Bob la possibilité de vérifier le solde de son compte en téléphonant à la banque. C’est un peu plus pratique que de se rendre en voiture à la banque, mais cette approche implique de suivre un processus de vérification de l’identité totalement différent (au lieu de présenter sa carte d’identité, par exemple, le client peut être amené à communiquer des informations confidentielles supplémentaires par téléphone pour prouver son identité). La banque devra gérer ces différentes procédures afin de préserver la sécurité des informations de compte de ses clients.

L’infrastructure traditionnelle en étoile n’est pas prévue pour les services basés sur le cloud. Cette approche s’appuie sur un périmètre réseau sécurisé articulé autour d’un datacenter central et n’est donc efficace que lorsque la majeure partie des applications et des données d’une entreprise se trouvent au sein de ce périmètre. Les équipes informatiques peuvent rapidement éprouver des difficultés à gérer et à mettre à jour les différents services de sécurité et politiques d’accès.

Le modèle SASE, en revanche, fonctionne de manière comparable à une application bancaire installée sur le téléphone de Bob. Au lieu de se rendre à la banque pour consulter son compte ou de passer un appel téléphonique chronophage, il peut procéder à un contrôle numérique de son identité et accéder instantanément au solde de son compte, quel que soit l’endroit où il se trouve dans le monde. Et ceci ne concerne pas seulement Bob, mais tous les clients de la banque, peu importe leur emplacement.

Le modèle SASE rapproche les utilisateurs finaux des services de sécurité réseau et des mesures de contrôle des accès en transférant ces opérations importantes dans le cloud. Pour ce faire, il s’appuie sur un réseau mondial, afin de minimiser la latence.

Quelles possibilités l’approche SASE offre-t-elle ?

Le modèle SASE (Secure Access Service Edge) inclut des capacités de réseau étendu définies par logiciel (SD-WAN), ainsi qu’un certain nombre de fonctions de sécurité réseau, toutes accessibles et gérées à partir d’une seule plate-forme située dans le cloud. Les offres SASE comprennent quatre dispositifs de sécurité fondamentaux :

1. Des passerelles web sécurisées (SWG) : également appelées « passerelles Internet sécurisées », les SWG permettent de lutter contre les cybermenaces et les fuites de données en filtrant les contenus indésirables du trafic web, en bloquant les comportements indésirables des utilisateurs et en appliquant les politiques de sécurité des entreprises. Les SWG peuvent être mises en place n’importe où et sont donc idéales pour protéger les employés travaillant à distance.
2. Un Cloud Access Security Broker (CASB, courtier en sécurité d’accès au cloud) : un CASB assure plusieurs tâches de sécurité pour les services hébergés dans le cloud, comme révéler les systèmes informatiques fantômes (systèmes d’entreprise non autorisés), sécuriser les données confidentielles grâce au contrôle des accès et à un système de lutte contre la perte de données (Data Loss Prevention, DLP), garantir le respect de la réglementation en matière de confidentialité des données, etc.
3. Un accès Zero Trust au réseau (Zero Trust Network Access, ZTNA) : les plates-formes ZTNA rendent les ressources internes invisibles pour le public et permettent de se défendre contre d’éventuelles violations de données en exigeant une vérification en temps réel de chaque utilisateur pour chaque application protégée.
4. Un pare-feu en tant que service (Firewall-as-a-Service, FWaaS) : le terme FWaaS désigne les pare-feu fournis en tant que service via le cloud. Un FWaaS protège les plates-formes, les infrastructures et les applications basées sur le cloud contre les cyberattaques. Contrairement aux pare-feu traditionnels, le FWaaS n’est pas un appareil physique, mais un ensemble de dispositifs de sécurité regroupant le filtrage d’URL, la protection contre les intrusions et la gestion uniforme des politiques sur l’ensemble du trafic réseau.

Selon le fournisseur et les besoins de l’entreprise, ces éléments de base peuvent être associés à n’importe quel nombre de services de sécurité supplémentaires, allant de la protection des applications web et des API (WAAP) à l’isolation de navigateur à distance en passant par le DNS récursif, la protection des points d’accès Wi-Fi, la dissimulation/dispersion du réseau, la protection de l’informatique en périphérie, etc.

Quels sont les avantages d’une structure SASE ?

L’approche SASE présente plusieurs avantages par rapport à un modèle de sécurité réseau traditionnel articulé autour d’un datacenter :

• Une mise en œuvre et une gestion simplifiées. Le modèle SASE regroupe plusieurs solutions de sécurité uniques en un seul service fondé sur le cloud. Cette approche permet aux entreprises de faire appel à moins de fournisseurs et de consacrer moins de temps, d’argent et de ressources internes à la configuration et à l’entretien d’une infrastructure physique.
• Une gestion des politiques simplifiée. Au lieu de jongler avec plusieurs politiques s’appliquant à plusieurs solutions distinctes, le modèle SASE permet aux entreprises de définir, surveiller, ajuster et appliquer des politiques d’accès pour tous les emplacements, utilisateurs, appareils et applications à partir d’un seul portail.
• Un accès au réseau Zero Trust fondé sur les identités. Le protocole SASE s’appuie essentiellement sur un modèle de sécurité de type Zero Trust, qui ne permet pas aux utilisateurs d’accéder aux applications et aux données tant que leur identité n’a pas été vérifiée, même s’ils se trouvent déjà dans le périmètre d’un réseau privé. Lors de l’élaboration de politiques d’accès, l’approche SASE ne tient pas seulement compte de l’identité d’une entité, mais aussi de facteurs tels que l’emplacement de l’utilisateur, l’heure de la journée, les règles de sécurité de l’entreprise, les politiques de conformité et une évaluation continue des risques et de la confidentialité.
• Un routage à latence optimisée. Pour les entreprises qui proposent des services affectés par la latence (par exemple, la vidéoconférence, le streaming, les jeux en ligne, etc.), toute augmentation significative de cette dernière constitue un problème. L’approche SASE permet de réduire la latence en acheminant le trafic du réseau à travers un réseau périphérique mondial au sein duquel le trafic est géré au plus près de l’utilisateur. Les optimisations de routage peuvent contribuer à déterminer le chemin réseau le plus rapide en fonction de l’encombrement de ce dernier et d’autres facteurs.

Il convient de souligner que toutes les mises en œuvre de l’approche SASE ne seront pas identiques. Elles pourront partager certaines caractéristiques de base (politiques d’accès fondées sur l’identité, services de sécurité réseau et architecture fondée sur le cloud), mais aussi présenter des différences notables en fonction des besoins des entreprises. Par exemple, une structure SASE pourrait choisir une architecture à client unique plutôt qu’une architecture mutualisée sur plusieurs clients, intégrer un contrôle d’accès au réseau pour les équipements IdO (Internet des objets) et les appareils périphériques, proposer des possibilités de sécurité supplémentaires, utiliser un minimum d’équipements matériels/virtuels pour diffuser ses solutions de sécurité, etc.

Comment Cloudflare contribue-t-elle à promouvoir l’adoption du modèle SASE ?

Le modèle SASE de Cloudflare s’applique à la fois aux solutions Cloudflare for Infrastructure et Cloudflare for Teams, toutes deux soutenues par un réseau mondial unique gérant plus de 25 millions de propriétés Internet. L’architecture unique de Cloudflare lui permet de proposer une plate-forme de services réseau et de sécurité intégrés dans chacune des villes où la société est présente (plus de 200 à ce jour), afin d’éviter aux entreprises d’avoir à acheter et à gérer un ensemble complexe de solutions uniques dans le cloud.

La solution Cloudflare for Infrastructure englobe la suite de services de sécurité et de performances intégrés de Cloudflare, qui protègent, accélèrent et garantissent la fiabilité de n’importe quel environnement, sur site, hybride et cloud. Cloudflare for Infrastructure intègre notamment la solution Cloudflare Magic Transit, qui fonctionne en tandem avec le pare-feu d’applications web (WAF) de Cloudflare afin de se prémunir contre les exploitations de vulnérabilités et de protéger les infrastructures réseau contre les menaces d’attaques DDoS et les attaques au niveau de la couche réseau. Magic Transit s’appuie également sur le réseau mondial de Cloudflare pour accélérer le trafic réseau légitime afin d’optimiser la latence et le débit. Découvrez Cloudflare Magic Transit.

La solution Cloudflare for Teams protège les données des entreprises de deux manières distinctes : à l’aide de Cloudflare Access, une solution d’accès réseau de type Zero Trust, et Cloudflare Gateway, un service de filtrage DNS et de sécurité réseau qui vous protège contre les menaces, comme les logiciels malveillants et l’hameçonnage (phishing). Cloudflare Access vous permet de vous passer des anciens VPN et d’accéder à vos applications et données internes en toute sécurité en contrôlant les identités, quel que soit l’emplacement des utilisateurs. Cloudflare Gateway protège les utilisateurs et les données de l’entreprise en filtrant et en bloquant les contenus malveillants, en identifiant les appareils contaminés et en employant une technologie d’isolation des navigateurs permettant d’empêcher l’exécution du code malveillant sur les appareils des utilisateurs. Découvrez Cloudflare for Teams.