Les entreprises se sont éloignées des architectures traditionnelles en étoile où la sécurité du réseau se concentrait sur la protection du périmètre du réseau, c’est-à-dire la frontière entre le réseau interne fiable et le réseau externe non fiable. Dans le paysage actuel, les utilisateurs et les charges de travail des entreprises sont fortement distribués en raison de l’adoption massive de l’informatique dématérialisée, de l’utilisation du SaaS et d’un modèle de main-d’œuvre hybride. Les entreprises doivent également faire face à un nombre croissant de cyberattaques sophistiquées. Les acteurs de la menace trouvent constamment des moyens innovants d’exploiter l’infrastructure informatique de l’entreprise et de compromettre ses données et ses actifs numériques.
Dans cet environnement dynamique et distribué, il est important de s’assurer que les utilisateurs distants et locaux bénéficient de performances optimales et d’un accès sécurisé aux applications, aux données et à l’internet. Pour répondre à ces besoins en matière de réseau et de sécurité, les entreprises doivent s’appuyer sur des solutions multipoints qui accroissent la complexité opérationnelle, posent des problèmes de gestion et augmentent les coûts. Les entreprises cherchent à passer de solutions conventionnelles centrées sur le produit à un modèle cohésif de type « as-a-service ».
Aryaka Unified SASE combine le réseau et la sécurité dans une solution « as-a-service » (« tout-en-un ») qui aide les entreprises à moderniser leur infrastructure. Cette solution permet à une entreprise de configurer, de gérer et d’observer son réseau, sa sécurité, ses applications et ses utilisateurs, le tout au moyen d’une console de gestion unique, sans avoir à recourir à des solutions désagrégées à point unique pour chaque fonction indépendamment. L’une des caractéristiques de la solution SASE unifiée d’Aryaka est son architecture à passage unique qui permet aux entreprises d’effectuer des inspections et des traitements complets, tout en n’examinant qu’une seule fois un paquet de données donné. Cette approche réduit la surface d’attaque et minimise la latence qui résulterait autrement du traitement séparé de chaque fonction.
Aryaka a construit une architecture intégrée qui offre une solution de déploiement hybride pour répondre aux besoins de l’entreprise, tant pour les utilisateurs sur site que pour les utilisateurs distants. L’application de la sécurité pour les charges de travail et les utilisateurs se fait directement au niveau de l’appliance périphérique : soit au niveau du point d’accès au réseau Aryaka (ANAP) pour les utilisateurs sur site, soit au niveau du point d’accès au réseau Aryaka (POP) pour les utilisateurs distants. En outre, les entreprises peuvent bénéficier de notre support intégré de gestion du cycle de vie et de nos services gérés qui offrent une expérience personnalisée pour les déploiements et la résolution des problèmes 24 heures sur 24, 7 jours sur 7. Aryaka prévoit d’incorporer des capacités et des fonctionnalités supplémentaires à l’avenir, toutes intégrées de manière transparente dans notre architecture à passage unique.
La stratégie Aryaka NGFW-SWG (Next Generation Firewall- Secure Web Gateway) vise à permettre aux entreprises
de remplacer les services traditionnels de réseau et de sécurité multifournisseurs par une plateforme unifiée
d’un seul fournisseur.
L’objectif principal est décrit dans les deux cas d’utilisation distincts suivants :
The first use case is replacing an enterprise’s existing on-premises firewall from a third-party security vendor with our natively built Aryaka solution. To accomplish this, Aryaka has built a dedicated security stack on top of our Software Defined Wide Area Network (SD-WAN) architecture that applies a common framework to a series of security policy engines.
Many vendors must tunnel traffic to POPs for security inspections. Aryaka can inspect traffic on the ANAP itself for on-premises users. Policy engines perform Next Generation Firewall and Secure Web Gateway (NGFW-SWG) security inspections, ensuring traffic is only sent to its intended destination when required. Both inbound and outbound traffic undergoes thorough examination for both pre-SSL and post-SSL data flows for the connections initiated from the LAN interface. In this use case, internet breakout occurs at the ANAP.
The second use case is replacing an enterprise’s cloud-based Secure Internet Access (SIA) or Secure Web Gateway (SWG) vendors with Aryaka’s natively built security stack on both POPs and ANAPs. The Aryaka NGFW-SWG protects web-based and SaaS application users from internet-borne threats.
Using our POP-centric cloud service delivery, Aryaka offers comprehensive security directly from the POP to remote users who access enterprise resources and cloud applications using the Aryaka VPNaaS client. This ensures secure connectivity for direct connections from headquarters and branch offices that do not have an ANAP within a cloud-as-a-service model. In these scenarios, internet breakout occurs at the POP. The ANAP and the POP both host identical security stacks to secure enterprise users and workloads from modern internet-borne threats. This ensures a consistent user experience whether the user is on-premises or remote. User licenses are used to provide NGFW-SWG security services to private access users.
Depicted below is the distributed policy enforcement on Aryaka POPs and ANAPs. Security scanning occurs at the service edges to protect both on-premises and remote users.
The Aryaka single-pass architecture processes network and security policies in a single pass, without the need for a packet to go through multiple security processing stages that can introduce latency and increase processing requirements. We process a packet once and only perform one TLS inspection across the entire packet flow.
Our management interface—MyAryaka— provides dashboards, analytics, observability, management, and monitoring for all networking and security services. Telemetry is collected in near-real time from all security engines and provides insights into security incidents, threat management, and performance. Using our intuitive interface, enterprises have the flexibility to self-manage security policies and create access controls without having to switch between multiple management consoles.
Our unified control plane combines networking and security capabilities to provide consistent policy enforcement on the ANAP, the POP, or both. This protects the enterprise’s users wherever they are.
The distributed data plane allows for policy enforcement at the nearest POP and at the ANAP edge, allowing security enforcement to happen closer to the source. For enterprises with site users behind an ANAP, network, security and application processing are performed at the ANAP itself. For private access users and enterprise sites without an ANAP, traffic is processed at one of our 40+ globally distributed hyperscale POPs that reach 95% of the world’s business population across six continents (including China).
| Caractéristiques | Description |
| Aryaka SmartSecure NGFW-SWG | |
|---|---|
| Réputation du domaine | Protège les utilisateurs contre les domaines malveillants en utilisant les scores de réputation de plus de 750 millions de domaines. Pour le trafic HTTP, les noms de domaine sont extraits des en-têtes HTTP. Pour le trafic HTTPS, les noms de domaine sont extraits du message « Server Hello » pendant la poignée de main SSL/TLS. |
| Filtrage DNS | Inspecte les requêtes et les réponses DNS afin d’autoriser ou de refuser l’accès à des sites web spécifiques sur la base des scores de réputation du domaine et de l’IP. Si des messages de protocole non DNS arrivent sur le port 53, les paquets sont automatiquement rejetés. |
| Contrôle d’accès au web | Fournit un contrôle d’accès pour le trafic post-SSL, y compris des correspondances avec les en-têtes HTTP pour le trafic HTTP et HTTPS. Les en-têtes HTTP peuvent être enregistrés en tant que ressources réutilisables auxquelles les politiques de sécurité peuvent faire référence. |
| Contrôle d’accès au réseau | Permet de contrôler l’accès au trafic pré-SSL. Le trafic peut être autorisé, refusé ou autorisé à passer à tous les moteurs de traitement suivants. |
| Gestion des identités et des accès (contrôle d’accès basé sur l’utilisateur) | Permet aux entreprises de se connecter à des fournisseurs d’identité tiers (IdP) ou d’utiliser Aryaka comme IdP. Les IdP pris en charge sont Enterprise LDAP, AD sur site, Okta, Azure AD et Aryaka DB. Azure AD et Okta sont basés sur les normes d’authentification SAML et OIDC. L’IdP redirige l’utilisateur vers le portail captif pour l’authentification et l’autorisation. Les utilisateurs non autorisés sont redirigés vers des pages de blocage personnalisées. |
| Aryaka NGFW-SWG Add-on | |
| Inspection et décryptage SSL/TLS | Détecte les attaques dans le trafic crypté et non crypté à l’aide de la génération dynamique de certificats, avec la possibilité de décrypter sélectivement les paquets en fonction de la sensibilité des informations personnelles identifiables (PII). Pour mieux détecter les anomalies dans le trafic crypté, l’inspection TLS est utilisée pour décrypter les paquets. Les paquets sont ensuite recryptés une fois l’inspection terminée. |
NGFW-SWG has two types of licenses to meet different deployment needs: site licenses and user licenses. Site licenses are used to enable NGFW-SWG at a specific location. User-licenses are used to enable NGFW-SWG services for remote users.
| Service de sécurité | Prérequis | Droits lors de l’inscription |
| NGFW-SWG | Aryaka Unified SASE | All Aryaka SD-WAN and Unified SASE features (See Below) |
SD-WAN sécurisé
Connectivité mondiale
Multi-cloud
Optimisation du réseau WAN
AI> Perform
Accès sécurisé à distance
Tout dans Aryaka SD-WAN plus
NGFW-SWG
IPS
Anti-Malware
Tout ce qui se trouve dans la SASE unifiée, plus
CASB
DLP*
*Prochainement
Global, évolutif et flexible
Bénéficiez d’une sécurité complète pour tout utilisateur, partout et à tout moment.
Avec plus de 40 PoP, Aryaka peut faire face à la croissance de l’entreprise, aux changements de la demande et s’adapter à des besoins opérationnels uniques.
Connectivité de bout en bout avec un seul fournisseur
Maintenez un point de contact unique pour les services de réseau et de sécurité grâce à la solution « as-a-service » d’Aryaka.
Une protection cohérente partout
Offrez une sécurité uniforme aux travailleurs sur site et à distance grâce à une mise en réseau et une sécurité liées dans un cadre de politique de sécurité commun.
Simplicité opérationnelle
Constatez une réduction de la complexité, des frais généraux et de la formation nécessaires au déploiement et à la maintenance d’un réseau et d’une solution de sécurité multifournisseurs grâce à la console de gestion unifiée d’Aryaka, MyAryaka.
Expérience utilisateur supérieure
Offrez un accès rapide et transparent aux applications tout en sécurisant les données en transit et au repos.
Réduction du coût total de possession (TCO)
Réduire les coûts en éliminant le fardeau du dimensionnement, de l’achat, de l’installation, de la mise à niveau, de la correction et de la gestion de solutions matérielles et logicielles à points multiples dans un environnement de menaces complexe et en constante évolution.
Aryaka est le leader dans la fourniture de SASE unifié en tant que service, une solution entièrement intégrée combinant le réseau, la sécurité et l’observabilité. Conçue pour répondre aux exigences de l’IA générative ainsi qu’au monde hybride multi-cloud d’aujourd’hui, Aryaka permet aux entreprises de transformer leur réseau sécurisé pour offrir des performances, une agilité, une simplicité et une sécurité sans compromis. Les options de livraison flexibles d’Aryaka permettent aux entreprises de choisir leur approche préférée pour la mise en œuvre et la gestion. Des centaines d’entreprises internationales, dont plusieurs figurent dans le classement Fortune 100, font confiance à Aryaka pour leurs solutions de réseaux sécurisés. Pour en savoir plus sur Aryaka, veuillez consulter le site www.aryaka.com.