Qu'est-ce que l'architecture SASE ? | Secure Access Service Edge

L'architecture SASE (Secure Access Service Edge, service d'accès sécurisé en périphérie) désigne un modèle informatique associant services réseau et services de sécurité sur une plateforme cloud unique.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le modèle SASE (Secure Access Service Edge).
  • En apprendre davantage sur les composants architecturaux du SASE.
  • Découvrir les avantages et les scénarios d'utilisation du SASE.
  • Comprendre comment le SASE est lié au SSE et à la sécurité Zero Trust.

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu’est-ce que le modèle SASE ?

Le Secure Access Service Edge, ou SASE (prononcé « sassy »), désigne un modèle architectural faisant converger la connectivité réseau avec les fonctions de sécurité réseau, afin de les proposer par l'intermédiaire d'une plateforme cloud unique et/ou d'un plan de contrôle des politiques centralisé.

À l'heure où les entreprises font de plus en plus migrer leurs applications et leurs données vers le cloud, la gestion de la sécurité réseau à l'aide de l'approche traditionnelle du « château entouré de douves » devient plus complexe et plus risquée. Contrairement à l'approche réseau traditionnelle, le SASE unifie la sécurité et le réseau sur une plateforme cloud et un plan de contrôle uniques afin d'assurer une visibilité, une expérience et des mesures de contrôle cohérentes à n'importe quel utilisateur, sur n'importe quelle application.

Le SASE donne naissance à un nouveau réseau professionnel unifié, basé sur les services cloud et fonctionnant sur Internet. Les entreprises peuvent ainsi s'affranchir des nombreuses couches architecturales et des solutions dédiées.

L'architecture SASE allie sécurité Zero Trust et services réseau

Comment le SASE se compare-t-il au réseautage traditionnel ?

Dans un modèle de réseau traditionnel, les données et les applications sont stockées au sein d'un datacenter centralisé. Afin d'accéder à ces ressources, les utilisateurs, les bureaux régionaux et les applications se connectent au datacenter à partir d'un réseau privé localisé ou d'un réseau secondaire (généralement relié au réseau principal via une liaison sécurisée ou un VPN).

Ce modèle convient toutefois mal aux complexités engendrées par les nouveaux services basés sur le cloud et à la hausse des effectifs distribués. La redirection de l'ensemble du trafic via un datacenter centralisé s'avère, par exemple, peu pratique si l'entreprise héberge ses applications SaaS et ses données dans le cloud.

À l'inverse, le modèle SASE place les mesures de contrôle du réseau à la périphérie du cloud et non dans le datacenter de l'entreprise. Au lieu de superposer des services nécessitant une configuration et une gestion distinctes, le SASE fait converger les services réseau et les services de sécurité à l'aide d'un plan de contrôle unique. Il met en œuvre des politiques de sécurité Zero Trust, fondées sur l'identité, en périphérie du réseau afin de permettre aux entreprises d'étendre l'accès réseau à n'importe quelle ressource distante, qu'il s'agisse d'un utilisateur, d'un bureau régional, d'une application ou d'un appareil.

Quelles sont les capacités proposées par le SASE ?

Les plateformes SASE combinent des capacités de réseau en tant que service (NaaS, Network-as-a-Service) avec un certain nombre de fonctions de sécurité gérées à partir d'un plan de contrôle et d'une interface uniques.

Ces services comprennent :

  • Les services réseau qui simplifient la connectivité, comme les réseaux étendus définis par logiciel (SD-WAN) ou le WAN-as-a-Service (WANaaS), conçus pour connecter plusieurs réseaux sous un seul réseau d'entreprise.
  • Les services de sécurité appliqués au trafic entrant et sortant du réseau, conçus pour sécuriser l'accès des utilisateurs et des appareils, se défendre contre les menaces et protéger les données sensibles.
  • Les services opérationnels qui proposent des capacités à l'échelle de la plateforme, comme la surveillance réseau et la journalisation.
  • Un moteur de politiques qui sous-tend l'ensemble des attributs contextuels et des règles de sécurité, puis applique ces politiques à tous les services connectés.

En fusionnant ces services au sein d'une architecture unifiée, le SASE simplifie l'infrastructure du réseau.

Quels sont les composants technologiques d'une plateforme SASE ?

Comme le modèle SASE implique la convergence d'un certain nombre de services traditionnellement disparates, les entreprises peuvent adopter ce type d'architecture progressivement, plutôt que d'un seul coup. Elles peuvent ainsi commencer par mettre en œuvre les composants qui répondent à leurs scénarios d'utilisation les plus prioritaires, avant de transférer l'ensemble des services réseau et des services de sécurité sur une plateforme unique.

Les plateformes SASE comprennent généralement les composants technologiques suivants :

  • Accès réseau Zero Trust (ZTNA) : le modèle de sécurité Zero Trust part du principe que les menaces sont présentes à la fois à l'intérieur et à l'extérieur d'un réseau. Par conséquent, une vérification contextuelle stricte est nécessaire chaque fois qu'un utilisateur, une application ou un appareil tente d'accéder à des ressources situées sur un réseau d'entreprise. La technologie d'accès réseau Zero Trust rend possible l'approche Zero Trust. Elle établit ainsi des connexions individuelles entre les utilisateurs et les ressources dont ils ont besoin, tout en exigeant périodiquement une nouvelle vérification et une recréation de ces connexions.
  • Passerelle web sécurisée (SWG) : une passerelle web sécurisée (SWG, Secure Web Gateway) prévient les cybermenaces et protège les données en filtrant le contenu du trafic web indésirable, mais aussi en bloquant les comportements à risque ou non autorisés des utilisateurs en ligne. Le fait que les SWG puissent être déployées n'importe où les rend idéales pour sécuriser le travail hybride.
  • Cloud Access Security Broker (CASB) : le cloud et les applications SaaS rendent la confidentialité et la sécurité des données plus difficiles à garantir. L'utilisation d'un CASB constitue une solution à ce problème, en proposant des mesures de contrôle de la sécurité des données (et de la visibilité) sur les applications et les services hébergés dans le cloud d'une entreprise.
  • Réseau WAN défini par logiciel (SD-WAN) ou WANaaS : dans une architecture SASE, pour connecter et étendre leurs opérations (p. ex., bureaux, boutiques, datacenters) sur de longues distances, les entreprises ont le choix d'adopter soit le SD-WAN, soit le WAN-as-a-Service (WANaaS). Le SD-WAN et le WANaaS suivent des approches différentes :
    • La technologie SD-WAN met en œuvre des logiciels sur les sites des entreprises et un contrôleur centralisé pour surmonter certaines des limites des architectures WAN traditionnelles, afin de simplifier les opérations et les décisions concernant l'acheminement du trafic.
    • Le WANaaS renforce les avantages du SD-WAN en adoptant une approche « léger sur le régional, fort sur le cloud ». Elle déploie ainsi le minimum d'équipements physiques requis sur les sites physiques et s'appuie sur une connectivité Internet à faible coût pour atteindre la « périphérie de service » (service edge) la plus proche. Cette approche permet de réduire les coûts totaux, de proposer une sécurité plus intégrée, d'améliorer les performances sur le segment intermédiaire et de mieux desservir l'infrastructure cloud.
  • Pare-feu de nouvelle génération (NGFW) : un NGFW (Next-Generation FireWall) inspecte les données à un niveau plus profond qu'un pare-feu traditionnel. Ils peuvent, par exemple, proposer des fonctions d'information et de contrôle des applications, de prévention des intrusions et d'informations sur les menaces, afin d'identifier et de bloquer les menaces susceptibles de se dissimuler au sein d'un trafic d'apparence normale. Les NGFW déployables dans le cloud sont appelés des pare-feu cloud ou des pare-feu en tant que service (FireWall-as-a-Service, FWaaS).

Selon les capacités du fournisseur, les composants SASE ci-dessus peuvent également être associés à des fonctions de sécurité du courrier électronique cloud, de protection des API et des applications web (Web Application and API Protection, WAAP), de sécurité DNS et/ou des capacités SSE (Security Service Edge, services de sécurité en périphérie) décrites plus loin.

Quels sont les principaux avantages du SASE ?

L'approche SASE présente plusieurs avantages par rapport à un modèle de sécurité réseau traditionnel articulé autour d'un datacenter.

Réduction des risques grâce aux principes Zero Trust : le SASE s'appuie fortement sur le modèle de sécurité Zero Trust, qui ne permet pas à un utilisateur d'accéder aux applications et aux données tant que son identité n'a pas été vérifiée, même s'il se trouve déjà au sein du périmètre d'un réseau privé. Lors de l'établissement des politiques d'accès, l'approche SASE ne tient pas seulement compte de l'identité de l'entité, mais aussi de facteurs tels que la géolocalisation, le niveau de sécurité des appareils, les normes de sécurité de l'entreprise et l'évaluation continue du risque/de la confiance.

Réduction des coûts grâce à la consolidation des plateformes : le SASE fait converger les solutions de sécurité dédiées en un seul service basé sur le cloud. Les entreprises peuvent ainsi interagir avec un nombre de fournisseurs plus réduit, tout en consacrant moins de temps, d'argent et de ressources internes à essayer de forcer l'intégration de produits disparates.

Efficacité et agilité opérationnelles : plutôt que de proposer un exercice de jonglage avec des solutions dédiées qui n'ont pas été conçues pour fonctionner ensemble, le SASE permet aux entreprises de définir, d'ajuster et d'appliquer des politiques de sécurité sur l'ensemble des emplacements, des utilisateurs, des appareils et des applications à partir d'une interface unique. Les équipes informatiques peuvent assurer plus efficacement leurs tâches de dépannage et passent moins de temps à résoudre des problèmes simples.

Amélioration de l'expérience utilisateur pour le travail hybride : les optimisations de routage du réseau peuvent contribuer à déterminer le chemin réseau le plus rapide en fonction de l'encombrement du réseau et d'autres facteurs. Le SASE permet de réduire la latence en acheminant le trafic de manière sécurisée via un réseau périphérique mondial au sein duquel le trafic est géré au plus près de l'utilisateur.

Quels sont les scénarios d'utilisation courants du SASE ?

Amélioration ou remplacement des VPN, pour un accès sécurisé plus moderne

Le passage à une architecture SASE est souvent motivé par la volonté d'améliorer l'accès aux ressources et la connectivité. Le routage et le traitement du trafic via un réseau cloud mondial au sein duquel le trafic est géré au plus près de l'utilisateur (plutôt que par l'intermédiaire d'un VPN) permettent de réduire les frictions pour l'utilisateur final, tout en éliminant le risque de mouvements latéraux.

Simplifier l'accès des sous-traitants (tiers)

Le SASE va au-delà des collaborateurs internes et étend l'accès sécurisé aux tiers, comme les sous-traitants, les partenaires et les autres collaborateurs temporaires ou indépendants. Grâce à l'accès basé sur les ressources, les entreprises réduisent le risque de surprovisionnement des sous-traitants.

Défense contre les menaces pour les bureaux décentralisés et les collaborateurs en télétravail

Le SASE permet aux entreprises d'appliquer des politiques de sécurité informatique cohérentes à tous les utilisateurs, où qu'ils se trouvent. En filtrant et en inspectant l'ensemble du trafic réseau entrant et sortant, l'approche SASE peut contribuer à prévenir les menaces, comme les attaques basées sur un logiciel malveillant, le phishing multicanal (des attaques couvrant plusieurs canaux de communication), les menaces internes, l'exfiltration de données et bien davantage.

Protection des données afin d'assurer la conformité réglementaire

Comme le SASE propose une visibilité sur chaque requête réseau, les entreprises peuvent appliquer les politiques aux données contenues dans chaque requête. Ces politiques permettent d'assurer la conformité avec les lois sur la confidentialité des données qui obligent les entreprises à traiter les données sensibles d'une certaine manière.

Simplifiez la connectivité des bureaux régionaux

Une architecture SASE peut permettre d'améliorer ou de remplacer les assemblages hétéroclites de circuits MPLS (MultiProtocol Label Switching, commutation multiprotocole par étiquette) et d'équipements réseau afin d'acheminer plus facilement le trafic entre les bureaux régionaux et de faciliter la connectivité site à site entre les différents emplacements.

En quoi les approches SASE et SSE (Security Service Edge) sont-elles différentes ?

Le cabinet d'analyse Gartner définit l'approche SASE comme intégrant les technologies SD-WAN, SWG, CASB, NGFW et ZTNA afin de « permettre un accès Zero Trust basé sur l'identité de l'appareil ou de l'entité, combiné à des politiques contextuelles de sécurité et de conformité en temps réel ».

En d'autres termes, le SASE intègre l'accès sécurisé d'un utilisateur à l'architecture du réseau. (Il convient de noter ici que le cabinet d'analyse Forrester classe le modèle SASE dans la catégorie « Zero Trust Edge », ou ZTE.)

Or, toutes les entreprises ne disposent pas d'une approche cohérente au sein de leurs équipes chargées de l'informatique, de la sécurité réseau et du réseau lui-même. Par conséquent, elles peuvent donner la priorité au SSE (Security Service Edge, services de sécurité en périphérie), un sous-ensemble de fonctionnalités SASE principalement axées sur la sécurisation de l'accès au web, aux services cloud et aux applications privées.

En outre, si la plupart des plateformes SASE comprennent les capacités fondamentales mentionnées plus haut, certaines intègrent des fonctionnalités SSE supplémentaires, comme les suivantes :

  • Isolement de navigateur à distance (RBI) : le RBI (Remote Browser Isolation) applique la philosophie Zero Trust à la navigation web en partant du principe qu'aucun code de site web (p. ex. HTML, CSS, JavaScript) ne devrait être autorisé à s'exécuter par défaut. Le RBI charge les pages web et exécute le code associé dans le cloud, à bonne distance des appareils locaux des utilisateurs. Cette séparation permet d'éviter les téléchargements de logiciels malveillants, de minimiser le risque de vulnérabilités zero-day au sein du navigateur et de se défendre contre d'autres menaces véhiculées par les navigateurs.
  • Prévention de la perte de données (DLP) : afin d'éviter le vol de données ou leur destruction sans autorisation, les technologies DLP (Data Loss Prevention) détectent la présence de données sensibles dans les applications web, SaaS et privées. Associées à une SWG, les solutions DLP peuvent analyser les données en transit, tandis que combinées à un CASB, ces solutions peuvent analyser les données au repos.
  • Surveillance de l'expérience numérique (DEM) : la DEM (Digital Experience Monitoring) est un outil qui permet de surveiller le comportement des utilisateurs et leur expérience concernant le trafic du site web et les performances de l'application. La solution aide les entreprises à recueillir des données en temps réel sur les problèmes du réseau, les ralentissements de performances et les pannes des applications. Cet outil permet de repérer les problèmes du réseau et d'identifier les causes profondes des anomalies en matière de connectivité.

Le SSE constitue un tremplin courant vers le déploiement complet du SASE. Toutefois, certaines entreprises (notamment celles qui disposent de déploiements SD-WAN matures) peuvent ne pas chercher à consolider complètement leurs solutions vers un fournisseur SASE unique. Ces entreprises peuvent déployer des composants SASE individuels pour répondre à leurs scénarios d'utilisation immédiats, en se réservant la possibilité de poursuivre leurs initiatives de consolidation de leurs plateformes à l'avenir.

Comment Cloudflare permet les SASE

La plateforme SASE de Cloudflare, Cloudflare One, permet de sécuriser les applications, les utilisateurs, les appareils et les réseaux d'une entreprise. Elle repose sur la connectivité cloud Cloudflare, une plateforme unifiée et composable de services programmables cloud-native assurant une connectivité point à point (any-to-any) entre tous les réseaux (réseaux d'entreprise et Internet), les environnements cloud, les applications et les utilisateurs.

Les services Cloudflare One (qui comprennent l'ensemble des aspects du SASE) sont conçus pour s'exécuter dans tous les sites d'implantation du réseau Cloudflare, afin de faire en sorte que l'ensemble du trafic soit connecté, inspecté et filtré à proximité de la source, pour des performances optimales et une expérience utilisateur cohérente. En savoir plus sur Cloudflare One.