Qu’est-ce que le modèle SASE ? | Secure Access Service Edge

Qu’est-ce que le modèle SASE ?

Le service d'accès sécurisé en périphérie, ou SASE, est un modèle informatique basé sur le cloud qui regroupe le réseau défini par logiciel avec des fonctions de sécurité réseau et les fournit à partir d'un seul fournisseur de services. Gartner, une société mondiale de recherche et de conseil, a inventé le terme "SASE" en 2019.

Une approche SASE offre un meilleur contrôle et une meilleure visibilité des utilisateurs, du trafic et des données accédant à un réseau d'entreprise - des capacités vitales pour les organisations modernes, distribuées dans le monde entier. Les réseaux construits avec SASE sont flexibles et évolutifs, capables de connecter des employés et des bureaux répartis dans le monde entier, quel que soit le lieu et le dispositif utilisé.

Quelles sont les capacités de sécurité incluses dans SASE ?

SASE combine les capacités d'un réseau étendu défini par logiciel (SD-WAN) avec un certain nombre de fonctions de sécurité réseau , toutes fournies à partir d'une seule plateforme cloud . Ainsi, SASE permet aux employés de s'authentifier et de se connecter en toute sécurité aux ressources internes depuis n'importe où, et donne aux organisations un meilleur contrôle sur le trafic et les données qui entrent et sortent de leur réseau interne.

SASE comprend quatre composantes de sécurité essentielles :

1. Les passerelles Web sécurisées (SWG) : permettent de lutter contre les cybermenaces et les fuites de données en filtrant les contenus indésirables du trafic Web, en bloquant les comportements non autorisés des utilisateurs et en appliquant les politiques de sécurité de l'entreprise. Les SWG peuvent être mises en place n’importe où et sont donc idéales pour protéger les employés travaillant à distance.
2. Courtier en sécurité de l'accès au cloud (CASB) : Un CASB remplit plusieurs fonctions de sécurité pour les services hébergés dans le cloud, notamment en révélant l'informatique fantôme (systèmes d'entreprise non autorisés), en sécurisant les données confidentielles par le biais du contrôle d'accès et de la prévention des pertes de données (DLP), et en assurant la conformité avec les réglementations sur la confidentialité des données .
3. Un accès Zero Trust au réseau (Zero Trust Network Access, ZTNA) : les plates-formes ZTNA rendent les ressources internes invisibles pour le public et permettent de se défendre contre d’éventuelles violations de données en exigeant une vérification en temps réel de chaque utilisateur pour chaque application protégée.
4. Un pare-feu en tant que service (Firewall-as-a-Service, FWaaS) : le terme FWaaS désigne les pare-feu fournis en tant que service via le cloud. Un FWaaS protège les plates-formes, les infrastructures et les applications basées sur le cloud contre les cyberattaques. Contrairement aux pare-feu traditionnels, le FWaaS n’est pas un appareil physique, mais un ensemble de dispositifs de sécurité regroupant le filtrage d’URL, la protection contre les intrusions et la gestion uniforme des politiques sur l’ensemble du trafic réseau.

Selon le fournisseur et les besoins de l'entreprise, ces composants de base peuvent être associés à des services de sécurité supplémentaires, notamment la protection des applications web et des API (WAAP), l'isolation du navigateur à distance , ou la protection des hotspots Wi-Fi.

Quels sont les avantages d’une structure SASE ?

L’approche SASE présente plusieurs avantages par rapport à un modèle de sécurité réseau traditionnel articulé autour d’un datacenter :

• Un accès au réseau Zero Trust fondé sur les identités. Le protocole SASE s’appuie essentiellement sur un modèle de sécurité de type Zero Trust, qui ne permet pas aux utilisateurs d’accéder aux applications et aux données tant que leur identité n’a pas été vérifiée, même s’ils se trouvent déjà dans le périmètre d’un réseau privé. Lors de l’élaboration de politiques d’accès, l’approche SASE ne tient pas seulement compte de l’identité d’une entité, mais aussi de facteurs tels que l’emplacement de l’utilisateur, l’heure de la journée, les règles de sécurité de l’entreprise, les politiques de conformité et une évaluation continue des risques et de la confidentialité.
• Blocage des attaques contre l'infrastructure réseau. Les composants pare-feu et CASB de SASE permettent d'empêcher les attaques externes (comme les attaques DDoS et les exploits de vulnérabilité) de pénétrer et de compromettre les ressources internes. Les réseaux sur site et dans le nuage peuvent être protégés par une approche SASE.
• Prévention des activités malveillantes. En filtrant les URL, les requêtes DNS et les autres trafics réseau sortants et entrants, SASE contribue à prévenir les attaques basées sur des logiciels malveillants, l'exfiltration de données et d'autres menaces pour les données de l'entreprise.
• Une mise en œuvre et une gestion simplifiées. Le modèle SASE regroupe plusieurs solutions de sécurité uniques en un seul service fondé sur le cloud. Cette approche permet aux entreprises de faire appel à moins de fournisseurs et de consacrer moins de temps, d’argent et de ressources internes à la configuration et à l’entretien d’une infrastructure physique.
• Une gestion des politiques simplifiée. Au lieu de jongler avec plusieurs politiques s’appliquant à plusieurs solutions distinctes, le modèle SASE permet aux entreprises de définir, surveiller, ajuster et appliquer des politiques d’accès pour tous les emplacements, utilisateurs, appareils et applications à partir d’un seul portail.
• Un routage à latence optimisée. L’approche SASE permet de réduire la latence en acheminant le trafic du réseau à travers un réseau périphérique mondial au sein duquel le trafic est géré au plus près de l’utilisateur. Les optimisations de routage peuvent contribuer à déterminer le chemin réseau le plus rapide en fonction de l’encombrement de ce dernier et d’autres facteurs.

Comment le SASE se compare-t-il au réseautage traditionnel ?

Dans un modèle de réseau traditionnel, les données et les applications sont stockées au sein d’un datacenter centralisé. Afin d’accéder à ces ressources, les utilisateurs, les bureaux locaux et les applications se connectent au datacenter à partir d’un réseau privé localisé ou d’un réseau secondaire généralement relié au réseau principal via une liaison sécurisée ou un VPN.

Ce modèle s'est avéré mal adapté pour gérer les complexités introduites par les services en nuage tels que software-as-a-service (SaaS) et l'augmentation des effectifs distribués. Il n'est plus pratique de réacheminer tout le trafic par un centre de données centralisé si les applications et les données sont hébergées dans le nuage.

À l’inverse, le modèle SASE place les dispositifs de contrôle du réseau à la périphérie du cloud et non dans le datacenter de l’entreprise. Au lieu de superposer des services cloud nécessitant une configuration et une gestion distinctes, le modèle SASE simplifie les services réseau et de sécurité afin de créer une périphérie du réseau sûre et homogène. La mise en œuvre de politiques d’accès de type Zero Trust, fondées sur les identités, au niveau du réseau périphérique permet aux entreprises d’étendre le périmètre réseau à n’importe quel utilisateur, bureau local, application ou appareil distant.

Comment les organisations peuvent-elles mettre en œuvre SASE

De nombreux organismes adoptent une approche fragmentaire de la mise en œuvre de SASE. En fait, certains ont peut-être déjà adopté certains éléments SASE sans le savoir. Les principales étapes que les organismes peuvent franchir pour adopter pleinement un modèle SASE sont les suivantes :

1. Sécuriser les effectifs en télétravail
2. Placer les bureaux régionaux derrière un périmètre cloud.
3. Déplacer la protection contre les attaques DDoS à la périphérie
4. Migration d'applications autonomes vers le cloud computing
5. Remplacer les appareils de sécurité par une application unifiée des politiques dans le nuage.

Ces étapes sont détaillées plus en détail dans le livre blanc "Getting started with SASE," disponible en téléchargement ici.

Comment Cloudflare permet les SASE

Cloudflare est conçu de manière unique pour fournir une plateforme de services intégrés de réseau et de sécurité dans des centres de données situés dans plus de 275 villes réparties dans le monde entier, ce qui évite aux entreprises d'avoir à acheter et à gérer un ensemble complexe de solutions ponctuelles.

Cloudflare One est une plateforme SASE qui connecte en toute sécurité les utilisateurs, bureaux et centres de données distants entre eux et aux ressources dont ils ont besoin. Pour commencer avec Cloudflare One, consultez la page produit Cloudflare One. Vous pouvez également consulter pour en savoir plus sur ZTNA, une technologie cruciale pour SASE.