Qu’est-ce que SASE ? SASE (Secure Access Service Edge) est défini par Gartner.
Les fonctions de sécurité du réseau ne sont pas nouvelles, et le SD-WAN n’est pas nouveau pour l’industrie.
Le SASE les fournit sous la forme d’un service en nuage.
En d’autres termes, le SASE combine le SD-WAN et les fonctions de sécurité du réseau et les fournit sous la forme d’un service en nuage.
Les fournisseurs de SD-WAN offrent une connectivité déterministe et fiable aux entreprises ayant plusieurs bureaux dans différents endroits via une infrastructure PoP géo-distribuée.
Le service SD-WAN fournit également un accès à distance sécurisé basé sur un VPN pour connecter les utilisateurs WFH (Work-From-Home) et les utilisateurs itinérants aux réseaux de l’entreprise.
De nombreux services SD-WAN comprennent également des composants de sécurité de base tels que le pare-feu et le NAT.
La combinaison des fonctions de protection contre les menaces – pare-feu de nouvelle génération, anti-logiciels malveillants, filtrage des URL et prévention de la perte de données – pour protéger les différents actifs de l’entreprise avec le SD-WAN offre de nombreux avantages aux entreprises.
Il s’agit notamment d’une infrastructure réseau moins complexe, d’une montée/descente plus rapide en cas de modification des sites de l’entreprise, des services en nuage, des services SaaS, de la main-d’œuvre distribuée, et d’un déploiement plus rapide en cas d’augmentation de la charge des applications de l’entreprise.
Les administrateurs d’entreprise disposent également d’un point de vue unique pour la gestion et l’observabilité des politiques.
Les points d’application distribués du réseau et de la sécurité offrent une expérience cohérente et déterministe aux utilisateurs et aux applications, où qu’ils se trouvent. Qu’est-ce que SASE ? L’image ci-dessous donne une vue consolidée de SASE.
Le service SASE se situe entre les entités clientes et les applications/données de l’entreprise.
Les clients peuvent être des clients humains, des appareils et des programmes.
Les clients peuvent se trouver n’importe où.
Les applications et les données de l’entreprise dans le cadre de la transformation numérique ne se limitent pas aux sites On-Prem de l’entreprise et aux Colos.
Les entreprises déploient les applications dans plusieurs régions et plusieurs nuages pour des raisons de résilience, de redondance, de faible latence et de réglementation.
Les entreprises utilisent également de plus en plus de services SaaS qui sont également déployés sur plusieurs sites.
En raison de l’existence de clients et de services en tout lieu, le service SASE est également fourni en tant que service distribué, mais bien sûr avec un plan de gestion commun.
Les principaux composants du SASE sont les suivants SD-WAN: le SD-WAN fournit une connectivité sécurisée, optimisée, déterministe et fiable entre les bureaux et les centres de données via de multiples PoP avec une gestion centralisée.
Les services SD-WAN deviennent plus intelligents.
Ils ne se limitent plus aux fonctions de base liées au remplacement de MPLS, mais proposent également un routage/QoS adapté à l’utilisateur et à l’application, l’accélération du SaaS via un routage intelligent, l’optimisation du WAN et la mise en cache pour un accès à faible latence aux données redondantes, et même des services de sécurité de base tels que NAT, Firewall et VPN. Pare-feu de nouvelle génération (NGFW): Il s’agit d’une technologie de sécurité fondamentale pour tout type d’accès.
Il fournit normalement des services de NAT, d’inspection dynamique et d’IDS/IPS (système de détection et de prévention des intrusions).
Pour répondre aux exigences de la confiance zéro, le NGFW dans l’architecture SASE doit prendre en charge la fonctionnalité d’accès tenant compte de l’identité. Accès au réseau sans confiance (ZTNA): La fonctionnalité ZTNA protège les applications d’entreprise et les données associées.
Les services SD-WAN disposent d’une fonctionnalité ZTNA de base via un VPN et un pare-feu à inspection dynamique.
Cela n’est pas suffisant pour parler de ZTNA dans l’architecture SASE.
La fonctionnalité ZTNA comprend l’accès aux applications en fonction de l’identité, l’accès granulaire aux applications en fonction du rôle de l’utilisateur pour répondre au principe de « l’accès au moindre privilège », l’ingénierie du trafic vers plusieurs instances de l’application à travers les nuages et les centres de données, la gestion de l’accès privilégié aux services critiques, et plus encore.
Les cadres ZTNA différenciés sont complétés par des fonctionnalités WAF (Web Application Firewall), API security, DLP (Data Loss Prevention) et Anti-Malware pour la protection contre les menaces et pour stopper toute tentative d’exfiltration de données. Cloud Access Security Broker (CASB): La fonctionnalité CASB protège les données de l’entreprise dans les services SaaS en garantissant que les utilisateurs authentiques accèdent aux ressources autorisées.
Plus important encore, elle offre une visibilité sur les utilisateurs et les ressources auxquelles on accède.
Les CASB permettent également d’empêcher l’accès aux sites SaaS non autorisés.
Étant donné que les CASB s’interposent dans le trafic, ils peuvent également identifier tout accès à l’informatique parallèle et déterminer s’il y a des fuites de données entre les comptes d’entreprise et les comptes personnels.
Certains fournisseurs de SaaS ne recommandent pas la sécurité en ligne.
Pour répondre aux exigences de sécurité des entreprises pour ces services SaaS, les CASB au niveau de l’API devraient être présents dans la solution SASE. Les CASB au niveau de l’API travaillent avec les API des fournisseurs de SaaS pour automatiser les privilèges et analyser le contenu à la recherche de logiciels malveillants et de fuites de données (sensibles, PII). Passerelle Web sécurisée (SWG): La fonctionnalité SWG protège les actifs des clients de l’entreprise lorsqu’ils accèdent à Internet.
Elle empêche les utilisateurs de visiter des sites malveillants qui hébergent des logiciels malveillants et des sites d’ingénierie sociale qui volent les mots de passe.
Elle empêche également les utilisateurs de télécharger ou de téléverser des contenus malveillants.
Pour ce faire, SWG intègre des fonctions de filtrage des URL malveillantes et de lutte contre les logiciels malveillants.
SWG offre également une fonction de filtrage d’URL basée sur l’identité afin de fournir un accès différencié aux services Internet en fonction du groupe/rôle de l’utilisateur. SASE unifié Une véritable convergence des multiples fonctions de sécurité et du SD-WAN est essentielle pour que les entreprises puissent bénéficier pleinement des avantages du SASE.
Les solutions SASE ont commencé par un couplage lâche de plusieurs fonctions de sécurité fournies sur l’infrastructure SD-WAN.
Bien que les entreprises voient un seul fournisseur pour toutes les fonctions de SASE, cette approche de solution désagrégée (« SASE désagrégé ») présente quelques défis :
- Multiples tableaux de bord de configuration des politiques : Cela peut conduire à une configuration répétitive et à une courbe d’apprentissage abrupte, et donc à des erreurs de configuration.
- Multiples piles d’observabilité : le manque d’observabilité et de corrélations de bout en bout peut conduire à des incidents manqués et à des réponses lentes aux incidents.
- Problèmes de performance avec le chaînage de proxy : plusieurs proxys sur le chemin du trafic peuvent conduire à de multiples terminaisons TCP/TLS, authentifications, et à de multiples sauts.
Cela peut se traduire par une latence plus élevée et un débit plus faible, ce qui a un impact sur l’expérience de l’utilisateur. - Problèmes de performance avec plusieurs PoP : les fonctions de sécurité et le SD-WAN dans différents PoP peuvent conduire à des sauts de PoP pour le trafic, ce qui entraîne des problèmes d’expérience pour l’utilisateur en raison de la latence plus élevée introduite par les sauts de PoP.
SASE unifié est le terme associé aux fournisseurs qui relèvent les défis susmentionnés.
Le SASE unifié permet
- Véritable vitrine unique pour la configuration et l’observabilité
- Objets communs réseau/service/application/utilisateur pour les fonctions SD-WAN et les fonctions de sécurité.
- Une session de trafic donnée ne passe que par un seul PoP pour les fonctions SD-WAN et les fonctions de sécurité.
- Inspection du trafic TLS une seule fois.
- Architecture à passage unique pour une session donnée à travers les fonctions SD-WAN et de sécurité.
- Réduction de la surface d’attaque sur le SASE lui-même
Les entreprises bénéficient ainsi d’une meilleure expérience utilisateur, de coûts réduits et d’une plus grande confiance.
Il est également important de comprendre que les fournisseurs de SASE peuvent ne pas être en mesure de développer toutes les fonctions de sécurité par eux-mêmes.
Les partenariats technologiques sont essentiels, car certains fournisseurs se spécialisent dans quelques fonctions de sécurité.
Il incombe aux fournisseurs de SASE de créer une solution complète grâce à une collaboration technique approfondie avec leurs partenaires afin de concrétiser la vision d’un « SASE unifié ». SASE universel La partie « périphérique » du SASE est un ensemble de sites PoP d’un fournisseur de SASE ou un ensemble de multiples PoP/Clouds de divers fournisseurs de fonctions de sécurité du SASE.
Il s’agit d’une architecture distribuée, ce qui signifie que les PoP sont répartis dans le monde entier et que les fonctions SASE déployées dans chaque PoP rendent le SASE distribué.
Cela dit, la manière dont le SASE est fourni aujourd’hui ne couvre pas bien toutes les sessions de trafic.
Elle couvre très bien les flux de trafic qui passent par le WAN entre les clients et les ressources de l’Internet et de l’entreprise.
Pensez à ces flux de trafic.
Ils ne sont pas bien pris en compte par les fournisseurs de SASE.
- Sessions de trafic lorsque les entités clientes et les entités de service d’application se trouvent dans le même centre de données/VPC.
- Sessions de trafic entre microservices au sein d’un cluster Kubernetes.
- Flux de trafic entre VPC qui passent par les services WAN des fournisseurs de cloud.
- Sessions de trafic provenant d’utilisateurs mobiles 5G et d’applications « Edge ».
L’automatisation du réseau et l’application de la sécurité sont soit censées être prises en charge par d’autres mécanismes, soit le trafic est épinglé aux points d’accès SASE.
Dans le premier cas, l’uniformité est perdue, et dans le second cas, l’expérience de l’utilisateur pourrait être compromise.
D’où l’exigence d’un SASE universel.
Le service SASE ne doit pas être limité à l’emplacement des points d’accès.
Les entreprises attendent des services communs de réseau et de sécurité pour toutes les sessions de trafic d’une manière uniforme.
Le SASE universel doit permettre un plan de données distribué natif du nuage avec une plateforme de gestion et d’observabilité fournie par le nuage. Résumé : le voyage SASE a commencé en 2019.
Bien que la » première génération » de SASE ait commencé par des fonctions SD-WAN et de sécurité faiblement couplées, le voyage conduira à un SASE unifié et universel pour réaliser une véritable architecture zéro confiance pour les entreprises qui ont une main-d’œuvre distribuée et des déploiements d’applications distribuées.
Chez Aryaka, nous sommes sur cette voie. N’hésitez pas à nous contacter si vous souhaitez en savoir plus. Ressources supplémentaires Rapport du groupe Dell’Oro : Unified SASE : Considerations for Single-Vendor SASE (SASE unifié : considérations pour un SASE à fournisseur unique)
-
Blog CTO Insights
La série de blogs Aryaka CTO Insights fournit un leadership éclairé sur les thèmes du réseau, de la sécurité et de la SASE.
Pour les spécifications des produits Aryaka, consultez les fiches techniques d’Aryaka.