L'architecture SASE (Secure Access Service Edge, service d'accès sécurisé en périphérie) désigne un modèle informatique associant services réseau et services de sécurité sur une plateforme cloud unique.
Cet article s'articule autour des points suivants :
Contenu associé
Sécurité Zero Trust
Qu'est-ce qu'un réseau en tant que service (NaaS) ?
Passerelle web sécurisée
Contrôle des accès
Sécurité du cloud
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le Secure Access Service Edge, ou SASE (prononcé « sassy »), désigne un modèle architectural faisant converger la connectivité réseau avec les fonctions de sécurité réseau, afin de les proposer par l'intermédiaire d'une plateforme cloud unique et/ou d'un plan de contrôle des politiques centralisé.
À l'heure où les entreprises font de plus en plus migrer leurs applications et leurs données vers le cloud, la gestion de la sécurité réseau à l'aide de l'approche traditionnelle du « château entouré de douves » devient plus complexe et plus risquée. Contrairement à l'approche réseau traditionnelle, le SASE unifie la sécurité et le réseau sur une plateforme cloud et un plan de contrôle uniques afin d'assurer une visibilité, une expérience et des mesures de contrôle cohérentes à n'importe quel utilisateur, sur n'importe quelle application.
Le SASE donne naissance à un nouveau réseau professionnel unifié, basé sur les services cloud et fonctionnant sur Internet. Les entreprises peuvent ainsi s'affranchir des nombreuses couches architecturales et des solutions dédiées.
Dans un modèle de réseau traditionnel, les données et les applications sont stockées au sein d'un datacenter centralisé. Afin d'accéder à ces ressources, les utilisateurs, les bureaux régionaux et les applications se connectent au datacenter à partir d'un réseau privé localisé ou d'un réseau secondaire (généralement relié au réseau principal via une liaison sécurisée ou un VPN).
Ce modèle convient toutefois mal aux complexités engendrées par les nouveaux services basés sur le cloud et à la hausse des effectifs distribués. La redirection de l'ensemble du trafic via un datacenter centralisé s'avère, par exemple, peu pratique si l'entreprise héberge ses applications SaaS et ses données dans le cloud.
À l'inverse, le modèle SASE place les mesures de contrôle du réseau à la périphérie du cloud et non dans le datacenter de l'entreprise. Au lieu de superposer des services nécessitant une configuration et une gestion distinctes, le SASE fait converger les services réseau et les services de sécurité à l'aide d'un plan de contrôle unique. Il met en œuvre des politiques de sécurité Zero Trust, fondées sur l'identité, en périphérie du réseau afin de permettre aux entreprises d'étendre l'accès réseau à n'importe quelle ressource distante, qu'il s'agisse d'un utilisateur, d'un bureau régional, d'une application ou d'un appareil.
Les plateformes SASE combinent des capacités de réseau en tant que service (NaaS, Network-as-a-Service) avec un certain nombre de fonctions de sécurité gérées à partir d'un plan de contrôle et d'une interface uniques.
Ces services comprennent :
En fusionnant ces services au sein d'une architecture unifiée, le SASE simplifie l'infrastructure du réseau.
Comme le modèle SASE implique la convergence d'un certain nombre de services traditionnellement disparates, les entreprises peuvent adopter ce type d'architecture progressivement, plutôt que d'un seul coup. Elles peuvent ainsi commencer par mettre en œuvre les composants qui répondent à leurs scénarios d'utilisation les plus prioritaires, avant de transférer l'ensemble des services réseau et des services de sécurité sur une plateforme unique.
Les plateformes SASE comprennent généralement les composants technologiques suivants :
Selon les capacités du fournisseur, les composants SASE ci-dessus peuvent également être associés à des fonctions de sécurité du courrier électronique cloud, de protection des API et des applications web (Web Application and API Protection, WAAP), de sécurité DNS et/ou des capacités SSE (Security Service Edge, services de sécurité en périphérie) décrites plus loin.
L'approche SASE présente plusieurs avantages par rapport à un modèle de sécurité réseau traditionnel articulé autour d'un datacenter.
Réduction des risques grâce aux principes Zero Trust : le SASE s'appuie fortement sur le modèle de sécurité Zero Trust, qui ne permet à aucun utilisateur d'accéder aux applications et aux données tant que son identité n'a pas été vérifiée, même s'il se trouve déjà au sein du périmètre d'un réseau privé. Lors de l'établissement des politiques d'accès, la méthode SASE ne tient pas seulement compte de l'identité de l'entité, mais aussi de facteurs tels que la géolocalisation, le niveau de sécurité des appareils, les normes de sécurité de l'entreprise et l'évaluation continue du risque/de la confiance.
Réduction des coûts grâce à la consolidation des plateformes : le SASE fait converger les solutions de sécurité dédiées en un seul service basé sur le cloud. Les entreprises peuvent ainsi interagir avec un nombre de fournisseurs plus réduit, tout en consacrant moins de temps, d'argent et de ressources internes à essayer de forcer l'intégration de produits disparates.
Efficacité et agilité opérationnelles : plutôt que de proposer un exercice de jonglage avec des solutions dédiées qui n'ont pas été conçues pour fonctionner ensemble, le SASE permet aux entreprises de définir, d'ajuster et d'appliquer des politiques de sécurité sur l'ensemble des emplacements, des utilisateurs, des appareils et des applications à partir d'une interface unique. Les équipes informatiques peuvent assurer plus efficacement leurs tâches de dépannage et passent moins de temps à résoudre des problèmes simples.
Amélioration de l'expérience utilisateur pour le travail hybride : les optimisations de routage du réseau peuvent contribuer à déterminer le chemin réseau le plus rapide en fonction de l'encombrement du réseau et d'autres facteurs. Le SASE permet de réduire la latence en acheminant le trafic de manière sécurisée via un réseau périphérique mondial au sein duquel le trafic est géré au plus près de l'utilisateur.
Amélioration ou remplacement des VPN, pour un accès sécurisé plus moderne
Le passage à une architecture SASE est souvent motivé par la volonté d'améliorer l'accès aux ressources et la connectivité. Le routage et le traitement du trafic via un réseau cloud mondial au sein duquel le trafic est géré au plus près de l'utilisateur (plutôt que par l'intermédiaire d'un VPN) permettent de réduire les frictions pour l'utilisateur final, tout en éliminant le risque de mouvements latéraux.
Simplifier l'accès des sous-traitants (tiers)
Le SASE va au-delà des collaborateurs internes et étend l'accès sécurisé aux tiers, comme les sous-traitants, les partenaires et les autres collaborateurs temporaires ou indépendants. Grâce à l'accès basé sur les ressources, les entreprises réduisent le risque de surprovisionnement des sous-traitants.
Défense contre les menaces pour les bureaux décentralisés et les collaborateurs en télétravail
Le SASE permet aux entreprises d'appliquer des politiques de sécurité informatique cohérentes à tous les utilisateurs, où qu'ils se trouvent. En filtrant et en inspectant l'ensemble du trafic réseau entrant et sortant, la solution SASE peut contribuer à la prévention des menaces, comme les attaques basées sur un logiciel malveillant, le phishing multicanal (des attaques couvrant plusieurs canaux de communication), les menaces internes, l'exfiltration de données et bien davantage.
Protection des données afin d'assurer la conformité réglementaire
Comme le SASE propose une visibilité sur chaque requête réseau, les entreprises peuvent appliquer les politiques aux données contenues dans chaque requête. Ces politiques permettent d'assurer la conformité avec les lois sur la confidentialité des données qui obligent les entreprises à traiter les données sensibles d'une certaine manière.
Simplifiez la connectivité des bureaux régionaux
Une architecture SASE peut permettre d'améliorer ou de remplacer les assemblages hétéroclites de circuits MPLS (MultiProtocol Label Switching, commutation multiprotocole par étiquette) et d'équipements réseau afin d'acheminer plus facilement le trafic entre les bureaux régionaux et de faciliter la connectivité site à site entre les différents emplacements.
Le cabinet d'analyse Gartner définit l'approche SASE comme intégrant les technologies SD-WAN, SWG, CASB, NGFW et ZTNA afin de « permettre un accès Zero Trust basé sur l'identité de l'appareil ou de l'entité, combiné à des politiques contextuelles de sécurité et de conformité en temps réel ».
En d'autres termes, le SASE intègre l'accès sécurisé d'un utilisateur à l'architecture du réseau. (Il convient de noter ici que le cabinet d'analyse Forrester classe le modèle SASE dans la catégorie « Zero Trust Edge », ou ZTE.)
Or, toutes les entreprises ne disposent pas d'une approche cohérente au sein de leurs équipes chargées de l'informatique, de la sécurité réseau et du réseau lui-même. Par conséquent, elles peuvent donner la priorité au SSE (Security Service Edge, services de sécurité en périphérie), un sous-ensemble de fonctionnalités SASE principalement axées sur la sécurisation de l'accès au web, aux services cloud et aux applications privées.
En outre, si la plupart des plateformes SASE comprennent les capacités fondamentales mentionnées plus haut, certaines intègrent des fonctionnalités SSE supplémentaires, comme les suivantes :
Le SSE constitue un tremplin courant vers le déploiement complet du SASE. Toutefois, certaines entreprises (notamment celles qui disposent de déploiements SD-WAN matures) peuvent ne pas chercher à consolider complètement leurs solutions vers un fournisseur SASE unique. Ces entreprises peuvent déployer des composants SASE individuels pour répondre à leurs scénarios d'utilisation immédiats, en se réservant la possibilité de poursuivre leurs initiatives de consolidation de leurs plateformes à l'avenir.
La plateforme SASE de Cloudflare, Cloudflare One, permet de sécuriser les applications, les utilisateurs, les appareils et les réseaux d'une entreprise. Elle repose sur le cloud de connectivité Cloudflare, une plateforme unifiée et composable constituée de services programmables cloud-native assurant une connectivité point à point (any-to-any) entre tous les réseaux (réseaux d'entreprise et Internet), les environnements cloud, les applications et les utilisateurs.
Les services Cloudflare One (qui comprennent l'ensemble des aspects du SASE) sont conçus pour s'exécuter dans tous les sites d'implantation du réseau Cloudflare, afin de faire en sorte que l'ensemble du trafic soit connecté, inspecté et filtré à proximité de la source, pour des performances optimales et une expérience utilisateur cohérente. En savoir plus sur Cloudflare One et les autres solutions de sécurité réseau.