Le modèle SASE (Secure Access Service Edge, service d’accès sécurisé en périphérie) désigne un modèle informatique fondé sur le cloud et associant services réseau et services de sécurité.
Le modèle SASE (Secure Access Service Edge) est un modèle de sécurité fondé sur le cloud qui associe un SDN à des fonctions de sécurité réseau et les propose en tant que fournisseur unique. Le terme « SASE » a été inventé en 2019 par Gartner, une entreprise internationale de recherche et de conseil.
Fondé sur le cloud, le modèle SASE constitue une alternative à l’infrastructure traditionnelle en étoile (hub-and-spoke, terme issu de l’anglais hub (moyeu) et spoke (rayon)) utilisée pour relier des utilisateurs situés dans plusieurs endroits (les rayons) à des ressources hébergées dans des datacenters centralisés (les moyeux). Dans un modèle de réseau traditionnel, les données et les applications sont stockées au sein d’un datacenter centralisé. Afin d’accéder à ces ressources, les utilisateurs, les bureaux locaux et les applications se connectent au datacenter à partir d’un réseau privé localisé ou d’un réseau secondaire généralement relié au réseau principal via une liaison sécurisée ou un VPN.
Bien que simple dans son principe, le modèle en étoile convient mal aux complexités engendrées par les services fondés sur le cloud, comme l’approche SaaS (logiciel en tant que service), et la hausse des effectifs distribués. En raison du nombre croissant d’applications, de charges de travail et de données professionnelles sensibles migrant vers le cloud, les entreprises sont contraintes de repenser la procédure et le lieu d’inspection du trafic réseau, ainsi que l’endroit où sont gérées les politiques d’accès sécurisé des utilisateurs. Il n’est désormais plus possible de rediriger l’ensemble du trafic via un datacenter centralisé (effet « trombone ») si la plupart des applications et des données sont hébergées dans le cloud, car ceci peut engendrer une latence superflue. Par ailleurs, un grand nombre d’utilisateurs distants peuvent souffrir d’une latence importante lorsqu’ils se connectent à un réseau d’entreprise par l’intermédiaire d’un VPN ou s’exposer à des risques de sécurité supplémentaires lorsqu’ils accèdent aux ressources de l’entreprise via une connexion non sécurisée.
À l’inverse, le modèle SASE place les dispositifs de contrôle du réseau à la périphérie du cloud et non dans le datacenter de l’entreprise. Au lieu de superposer des services cloud nécessitant une configuration et une gestion distinctes, le modèle SASE simplifie les services réseau et de sécurité afin de créer une périphérie de réseau sûre et homogène. La mise en œuvre de politiques d’accès de type Zero Trust, fondées sur les identités, au niveau du réseau périphérique permet aux entreprises d’étendre le périmètre réseau à n’importe quel utilisateur, bureau local, application ou appareil distant. En éliminant la nécessité de passer par des VPN et des pare-feu hérités, cette approche offre aux entreprises un contrôle plus granulaire sur leurs politiques de sécurité réseau. Pour y parvenir, la structure SASE s’appuie sur un réseau mondial unique afin de rapprocher ces services intégrés et les utilisateurs finaux.
On peut se représenter l’architecture réseau traditionnelle comme une banque physique. Supposons maintenant que Bob souhaite vérifier le solde de son compte avant de payer son loyer. Il lui faudra pour cela se rendre en personne à la banque et faire vérifier son identité par le guichetier. Il devra se rendre à nouveau à la banque chaque mois pour répéter cette démarche, ce qui peut lui demander beaucoup de temps et d’efforts, surtout s’il vit loin de la banque.
Cette analogie décrit peu ou prou le fonctionnement de l’architecture réseau axée sur le matériel, au sein de laquelle les décisions en matière de sécurité et d’accès sont prises et appliquées dans un datacenter fixe, sur site, plutôt que dans le cloud. L’ajout de services cloud à une architecture réseau traditionnelle équivaut en quelque sorte à donner à Bob la possibilité de vérifier le solde de son compte en téléphonant à la banque. C’est un peu plus pratique que de se rendre en voiture à la banque, mais cette approche implique de suivre un processus de vérification de l’identité totalement différent (au lieu de présenter sa carte d’identité, par exemple, le client peut être amené à communiquer des informations confidentielles supplémentaires par téléphone pour prouver son identité). La banque devra gérer ces différentes procédures afin de préserver la sécurité des informations de compte de ses clients.
L’infrastructure traditionnelle en étoile n’est pas prévue pour les services basés sur le cloud. Cette approche s’appuie sur un périmètre réseau sécurisé articulé autour d’un datacenter central et n’est donc efficace que lorsque la majeure partie des applications et des données d’une entreprise se trouvent au sein de ce périmètre. Les équipes informatiques peuvent rapidement éprouver des difficultés à gérer et à mettre à jour les différents services de sécurité et politiques d’accès.
Le modèle SASE, en revanche, fonctionne de manière comparable à une application bancaire installée sur le téléphone de Bob. Au lieu de se rendre à la banque pour consulter son compte ou de passer un appel téléphonique chronophage, il peut procéder à un contrôle numérique de son identité et accéder instantanément au solde de son compte, quel que soit l’endroit où il se trouve dans le monde. Et ceci ne concerne pas seulement Bob, mais tous les clients de la banque, peu importe leur emplacement.
Le modèle SASE rapproche les utilisateurs finaux des services de sécurité réseau et des mesures de contrôle des accès en transférant ces opérations importantes dans le cloud. Pour ce faire, il s’appuie sur un réseau mondial, afin de minimiser la latence.
Le modèle SASE (Secure Access Service Edge) inclut des capacités de réseau étendu définies par logiciel (SD-WAN), ainsi qu’un certain nombre de fonctions de sécurité réseau, toutes accessibles et gérées à partir d’une seule plate-forme située dans le cloud. Les offres SASE comprennent quatre dispositifs de sécurité fondamentaux :
Selon le fournisseur et les besoins de l’entreprise, ces éléments de base peuvent être associés à n’importe quel nombre de services de sécurité supplémentaires, allant de la protection des applications web et des API (WAAP) à l’isolation de navigateur à distance en passant par le DNS récursif, la protection des points d’accès Wi-Fi, la dissimulation/dispersion du réseau, la protection de l’informatique en périphérie, etc.
L’approche SASE présente plusieurs avantages par rapport à un modèle de sécurité réseau traditionnel articulé autour d’un datacenter :
Il convient de souligner que toutes les mises en œuvre de l’approche SASE ne seront pas identiques. Elles pourront partager certaines caractéristiques de base (politiques d’accès fondées sur l’identité, services de sécurité réseau et architecture fondée sur le cloud), mais aussi présenter des différences notables en fonction des besoins des entreprises. Par exemple, une structure SASE pourrait choisir une architecture à client unique plutôt qu’une architecture mutualisée sur plusieurs clients, intégrer un contrôle d’accès au réseau pour les équipements IdO (Internet des objets) et les appareils périphériques, proposer des possibilités de sécurité supplémentaires, utiliser un minimum d’équipements matériels/virtuels pour diffuser ses solutions de sécurité, etc.
Le modèle SASE de Cloudflare s’applique à la fois aux solutions Cloudflare for Infrastructure et Cloudflare for Teams, toutes deux soutenues par un réseau mondial unique gérant plus de 25 millions de propriétés Internet. L’architecture unique de Cloudflare lui permet de proposer une plate-forme de services réseau et de sécurité intégrés dans chacune des villes où la société est présente (plus de 200 à ce jour), afin d’éviter aux entreprises d’avoir à acheter et à gérer un ensemble complexe de solutions uniques dans le cloud.
La solution Cloudflare for Infrastructure englobe la suite de services de sécurité et de performances intégrés de Cloudflare, qui protègent, accélèrent et garantissent la fiabilité de n’importe quel environnement, sur site, hybride et cloud. Cloudflare for Infrastructure intègre notamment la solution Cloudflare Magic Transit, qui fonctionne en tandem avec le pare-feu d’applications web (WAF) de Cloudflare afin de se prémunir contre les exploitations de vulnérabilités et de protéger les infrastructures réseau contre les menaces d’attaques DDoS et les attaques au niveau de la couche réseau. Magic Transit s’appuie également sur le réseau mondial de Cloudflare pour accélérer le trafic réseau légitime afin d’optimiser la latence et le débit. Découvrez Cloudflare Magic Transit.
La solution Cloudflare for Teams protège les données des entreprises de deux manières distinctes : à l’aide de Cloudflare Access, une solution d’accès réseau de type Zero Trust, et Cloudflare Gateway, un service de filtrage DNS et de sécurité réseau qui vous protège contre les menaces, comme les logiciels malveillants et l’hameçonnage (phishing). Cloudflare Access vous permet de vous passer des anciens VPN et d’accéder à vos applications et données internes en toute sécurité en contrôlant les identités, quel que soit l’emplacement des utilisateurs. Cloudflare Gateway protège les utilisateurs et les données de l’entreprise en filtrant et en bloquant les contenus malveillants, en identifiant les appareils contaminés et en employant une technologie d’isolation des navigateurs permettant d’empêcher l’exécution du code malveillant sur les appareils des utilisateurs. Découvrez Cloudflare for Teams.
Après avoir lu cet article, vous pourrez :
Sécurité Zero Trust
Passerelle web sécurisée
Qu’est-ce que l’lAM ?
Contrôle d’accès
Périmètre défini par logiciel
Pour vous garantir une expérience optimale sur notre site Web, il se peut que nous utilisions des cookies, comme décrit ici.En cliquant sur J’accepte, en fermant cette bannière ou en continuant à naviguer sur notre site Web, vous acceptez l’utilisation de ces cookies.