Préparer le terrain pour le SASE : Aryaka et Check Point

En matière de sécurité des réseaux, tout le monde monte dans le train SASE (Secure Access Service Edge).
Et ce, pour de très bonnes raisons : Le modèle architectural de SASE est parfaitement adapté à la prise en charge des besoins consolidés en matière de réseau et de sécurité pour tout ce qui concerne le XaaS.
Répondre aux besoins architecturaux de l’informatique dématérialisée est l’un des principaux modèles de conception WAN et a été l’un des principaux moteurs de l’adoption du SD-WAN.
Les architectures cloud ne s’accommodent pas des règles de conception WAN traditionnelles, qui acheminent l’ensemble du trafic vers le siège ou le centre de données privé.
Les solutions SD-WAN de première génération offraient une plus grande flexibilité en permettant l’accès à l’internet local, mais cela ne représente qu’une capacité très basique et rudimentaire qui n’offre pas de véritable optimisation.
Elle se contente de passer la balle à la connectivité internet publique de base sans aucune garantie d’amélioration autre que l’optimisation des coûts, avec toutefois l’inconvénient d’une performance imprévisible.
En outre, dès qu’un architecte de réseau permet une capacité locale d’accès à l’internet public dans n’importe quel endroit, le dispositif de sécurité doit être élargi afin de contrecarrer les nouvelles menaces compte tenu de la surface d’attaque élargie.
Cependant, il existe des approches architecturales distinctes pour résoudre ce problème :

• Branche lourde : Fournit une sécurité de pointe dans la succursale elle-même avec un pare-feu de nouvelle génération (NGFW).
  La « branche lourde » offre des capacités avancées de mise en réseau et de sécurité qui, idéalement, sont intégrées dans un seul appareil à la périphérie, réduisant ainsi la « prolifération » traditionnelle des appareils.
  La mise en œuvre optimale de la branche lourde nécessite un CPE de branche consolidé qui tire parti de la technologie de virtualisation pour fournir à la fois des capacités avancées de mise en réseau et de NGFW en tant que VNF (fonctions de réseau virtuelles).
• Cloud lourd : Ce modèle tient compte du fait que le trafic applicatif de nombreuses entreprises s’est déplacé vers l’informatique en nuage, alors pourquoi ne pas transférer tout le trafic de la succursale vers un service de sécurité en nuage ?
  Il suffit pour cela de mettre en place une politique de transfert très basique dans la succursale, et le service de sécurité en nuage s’en charge ensuite.

Un sondage ONUG aussi récent que 2019 a établi que plus de 65% des architectes réseau favorisaient encore un modèle de sécurité de branche lourde, bien que le fait que près de 30% favorisaient un modèle de sécurité centré sur le nuage montre clairement qu’un changement est en cours.
Cependant, si l’on considère le défi de l’architecture de sécurité émergente de manière binaire, en plaçant la religion technologique en premier, on passe à côté du fait que, bien que de nombreux architectes d’entreprise envisagent une architecture axée sur le cloud, très peu ont migré vers une architecture axée uniquement sur le cloud.
En outre, de nombreuses entreprises conserveront toujours un modèle de nuage hybride qui combine des éléments de nuage public XaaS avec des éléments de nuage privé.
Cela impose également une approche hybride de leur architecture de sécurité réseau : une approche mixte qui combine certains éléments de sécurité avancés de la branche avec plusieurs éléments de sécurité intégrés dans l’informatique dématérialisée.
Le modèle d’architecture SASE conclut que cela nécessite de manière optimale une posture de sécurité « légère » combinée à des services de sécurité fournis dans le « nuage lourd ».
SASE fait appel à des fonctions de mise en réseau avancées, telles que la reconnaissance et l’optimisation des applications, ainsi qu’à toute une série d’autres capacités.
Mais voilà le problème : Même Gartner, l’usine à idées qui nous a apporté le concept SASE, reconnaît que le SASE ne se généralisera pas avant 3 à 5 ans.
Nous entendons le bruit inévitable de nombreux fournisseurs affirmant qu’ils disposent déjà de la SASE, tout comme AT&T Wireless affirme fournir la 5G depuis plus d’un an.
Je suis un client fidèle d’AT&T Wireless depuis plus de 20 ans, mais cette affirmation est tout aussi inexacte que celle des fournisseurs de SD-WAN qui prétendent prendre en charge le SASE dès maintenant.
Si nous regardons la réalité en face, le simple fait est que les besoins des entreprises en matière de sécurité exigent aujourd’hui le pouvoir du choix.
La possibilité d’adapter une solution aux besoins existants – ici et maintenant – tout en conservant la possibilité de migrer en douceur vers une architecture cible SASE au fur et à mesure que la pile technologique envisagée émerge réellement en tant que solution convergente et facile à gérer que les entreprises peuvent déployer avec la facilité des solutions X-as-a-Service – une approche qui a révolutionné l’informatique et la fourniture d’applications, mais qui échappe encore au monde des réseaux.
Les entreprises ont besoin de pouvoir choisir parce qu’elles ont des besoins architecturaux et/ou réglementaires très particuliers.
La stratégie de sécurité d’Aryaka a toujours tourné autour de la possibilité de choisir :

• modèles d’architecture à forte concentration de branches ou à forte concentration de nuages, ou une combinaison personnalisable de ces modèles.
• Partenariats technologiques de pointe avec les leaders de l’industrie de la sécurité.
• Proposer un modèle géré optionnel (très populaire) qui offre une simplicité de déploiement et un meilleur retour sur investissement technologique car toutes les fonctionnalités avancées sont configurées et maintenues par les experts du domaine d’Aryaka, ce qui rend les solutions complexes de réseau et de sécurité aussi faciles à utiliser que les services XaaS.

Passons maintenant à la meilleure partie : aujourd’hui, nous annonçons notre partenariat technologique avec Check Point.
Avec la famille Check Point CloudGuard, nous disposons désormais de solutions de pointe pour toutes les approches de sécurité que nous avons présentées ci-dessus :

• CloudGuard Edge prend en charge une approche de sécurité axée sur les succursales qui fonctionne comme une fonction réseau virtuelle (VNF) sur le CPE ANAP d’Aryaka, et combine les fonctions réseau avancées d’Aryaka avec les capacités NGFW de premier plan de CloudGuard Edge.
• CloudGuard Connect offre un modèle de déploiement de la sécurité centré sur le nuage.
  Le CPE ANAP d’Aryaka achemine le trafic vers le nuage de sécurité Check Point CloudGuard Connect par le biais de simples politiques de transfert.

Ainsi, les entreprises peuvent combiner les capacités de mise en réseau d’Aryaka les plus performantes et les plus adaptées au cloud avec l’architecture de sécurité qui répond le mieux à leurs besoins.
Les clients du monde réel approuvent immédiatement cette approche, comme le montre notre communiqué de presse.
Mieux encore, cette approche se prête à une migration transparente des modèles de sécurité à forte concentration de succursales vers des modèles à faible concentration de succursales et à forte concentration de nuages à l’avenir, à mesure que les entreprises adopteront les modèles d’architecture de sécurité SASE.
Nous sommes très heureux de collaborer avec Check Point et de fournir aux entreprises l’approche personnalisée et facile à consommer des capacités de réseau et de sécurité dont elles ont besoin à mesure qu’elles transforment inévitablement leurs infrastructures WAN pour devenir Cloud-First.