SASE est une approche de la sécurité des réseaux qui combine les capacités de mise en réseau et de sécurité des réseaux en un seul service cloud. La principale différence entre SASE et la sécurité réseau traditionnelle est qu'au lieu d'acheminer tout le trafic vers un centre de données pour appliquer les politiques de sécurité, SASE fournit des capacités de sécurité et d'autres services au plus près de l'emplacement de connexion des utilisateurs et des points de terminaison, à la périphérie du réseau.

Le modèle SASE offre de grandes possibilités pour renforcer la sécurité du réseau, simplifier la gestion des performances du réseau et améliorer l'expérience globale de l'utilisateur.

À mesure que les entreprises poursuivent leur transformation numérique – et qu'elles adoptent de plus en plus les environnements cloud, l'edge computing et le travail à domicile ou les modèles de travail hybrides –, de plus en plus d'utilisateurs et de ressources informatiques résideront en dehors du périmètre traditionnel du réseau. SASE permet aux organisations de fournir des connexions directes, sécurisées et à faible latence entre les utilisateurs et ces ressources, quel que soit l'endroit où ils se trouvent. SASE est peut-être une technologie relativement nouvelle – l'analyste du secteur Gartner a défini le terme en 2019 – mais de nombreux experts en sécurité estiment qu'elle représente l'avenir de la sécurité des réseaux.

SASE est la combinaison, ou la convergence, de deux technologies de base : SD-WAN (Software-Defined Wide Area Networking) et SSE (Secure Service Edge). Il est plus facile de comprendre le fonctionnement de SASE si vous comprenez d'abord ce que fait chacune de ces technologies.

SD-WAN

Un SD-WAN est un réseau étendu qui a été virtualisé, de la même manière que les serveurs sont virtualisés. Il dissocie la fonctionnalité réseau du matériel sous-jacent (connexions, commutateurs, routeurs, passerelles) pour créer un pool de capacités de mise en réseau et de sécurité du réseau qui peut être divisé, regroupé et appliqué au trafic sous le contrôle du logiciel.

Les réseaux étendus (WAN) traditionnels ont été conçus pour relier les utilisateurs des succursales d'une entreprise aux applications d'un centre de données central de l'entreprise, généralement par le biais de connexions réseau dédiées, privées et coûteuses en ligne louée. Les routeurs installés dans chaque succursale contrôlent et hiérarchisent le trafic afin de garantir des performances optimales pour les applications les plus importantes. Des fonctions de sécurité, telles que l'inspection des paquets et le chiffrement des données, ont été appliquées au centre de données central.

Le SD-WAN a été développé à l'origine pour permettre aux entreprises de dupliquer leurs capacités WAN sur une infrastructure internet moins coûteuse et plus évolutive. Mais la demande de SD-WAN s'est accélérée car de plus en plus d'entreprises ont commencé à adopter des services cloud avant même d'être prêtes à faire confiance à la sécurité d'Internet. Le modèle de sécurité WAN a été remis en question : l'acheminement de volumes toujours plus importants de trafic en provenance d'Internet via le centre de données de l'entreprise créait un goulot d'étranglement coûteux, et les performances du réseau ainsi que l'expérience des utilisateurs se dégradaient.

Le SD-WAN élimine ce goulot d'étranglement en permettant d'appliquer la sécurité au trafic sur le point de connexion, plutôt que de forcer le trafic à être acheminé vers la sécurité. Il permet aux entreprises d'établir des connexions directes, sécurisées et optimisées entre les utilisateurs et ce dont ils ont besoin : SaaS (logiciel en tant que service), ressources cloud ou services Internet publics.

SSE

Autre terme inventé par Gartner, SSE est "la partie sécuritaire de SASE". Gartner définit SSE comme la convergence de trois technologies clés de sécurité natives du cloud :

Passerelles Web sécurisées (Secure Web Gateways – SWG). Une SWG (Secure Web Gateway) est un agent de trafic Internet bidirectionnel. Elle empêche le trafic malveillant d'atteindre les ressources du réseau, en utilisant des techniques telles que le filtrage du trafic et l'inspection des requêtes du système de nom de domaine (DNS) pour identifier et bloquer les logiciels malveillants, les ransomware et autres cybermenaces. Elle empêche également les utilisateurs autorisés de se connecter à des sites Web suspects : au lieu de se connecter directement à internet, les utilisateurs et les points de terminaison se connectent à la SWG, par laquelle ils ne peuvent accéder qu'aux ressources approuvées (par exemple, les centres de données sur site, les applications d'entreprise et les applications et services cloud).

Courtiers en sécurité d'accès au cloud (Cloud Access Security Brokers – CASB). Les CASB se situent entre d'un côté les utilisateurs et de l'autre les applications et ressources cloud. Les CASB appliquent les politiques de sécurité de l'entreprise, telles que le chiffrement, le contrôle d'accès et la détection des logiciels malveillants, lorsque les utilisateurs accèdent au cloud, quels que soient le lieu et le mode de connexion. Ils peuvent le faire sans installer de logiciel sur le point de terminaison, ce qui en fait un outil idéal pour la sécurisation du BYOD (bring your own device) et d'autres cas d'utilisation de la transformation des effectifs. et d'autres CASB peuvent également appliquer des politiques de sécurité lorsque les utilisateurs se connectent à des ressources cloud inconnues.

Accès au réseau Zero Trust (Zero Trust Network Access – ZTNA). Une approche Zero Trust de l'accès au réseau consiste à ne jamais faire confiance et à valider en permanence tous les utilisateurs et entités, qu'ils soient à l'extérieur ou déjà à l'intérieur du réseau. Les utilisateurs et les entités validés se voient accorder l'accès le moins privilégié possible pour accomplir leurs tâches. Tous les utilisateurs et toutes les entités sont obligés d'être validés à nouveau chaque fois que leur contexte change, et chaque interaction de données est authentifiée paquet par paquet jusqu'à la fin de la session de connexion.

ZTNA n'est pas un produit de sécurité en soi, mais une approche de la sécurité des réseaux mise en œuvre à l'aide de diverses technologies, notamment la gestion des identités et des accès (IAM), l'authentification multifactorielle (MFA), l'analyse du comportement des utilisateurs et des entités (UEBA) et diverses solutions de détection et de réponse aux menaces.

Les plateformes SASE des différents fournisseurs peuvent inclure d'autres fonctionnalités de prévention des menaces et de sécurité, notamment le pare-feu en tant que service (FWaaS), la prévention de la perte de données (DLP), le contrôle d'accès au réseau (NAC) et les plateformes de protection des points de terminaison (EPP).

Rassembler le tout

Les solutions SASE utilisent le SD-WAN pour fournir des services de sécurité SSE aux utilisateurs, aux appareils et aux autres points de terminaison à l'endroit ou à proximité de l'endroit où ils se connectent, à la périphérie du réseau.

Plus précisément, au lieu de renvoyer tout le trafic vers un centre de données central pour inspection et chiffrement, les architectures SASE dirigent le trafic vers des points distribués de points de présence (PoP) situés à proximité de l'utilisateur final ou du point de terminaison. (Les PoP sont soit détenus par le fournisseur de services SASE, soit établis dans le centre de données d'un fournisseur tiers.) Le PoP sécurise le trafic à l'aide des services ESS fournis par le cloud, puis l'utilisateur ou le point de terminaison est connecté aux clouds publics et privés, aux applications SaaS (Software-as-a-Service), à l'internet public ou à toute autre ressource.

SASE offre des avantages commerciaux importants aux équipes de sécurité, au personnel informatique, aux utilisateurs finaux et à l'organisation dans son ensemble.

Économies de coûts, c'est-à-dire moins de dépenses de capital. SASE est essentiellement une solution de sécurité SaaS : Les clients achètent l'accès au logiciel permettant de configurer et de contrôler le SASE, et bénéficient de tous les avantages du matériel du fournisseur de services cloud sur lequel il est livré. Au lieu d'acheminer le trafic du routeur d'une succursale vers le matériel d'un centre de données sur site pour des raisons de sécurité, les clients de SASE acheminent le trafic vers le cloud à partir de la connexion Internet la plus proche.

Les entreprises peuvent également utiliser SASE comme une solution hybride fournie à la fois dans le cloud public et dans l'infrastructure sur site de l'organisation, en intégrant le matériel de réseau physique, les appareils de sécurité et le centre de données à leurs équivalents virtualisés natifs du cloud.

Gestion et opérations simplifiées. Les cadres SASE fournissent une solution unique et cohérente pour sécuriser tout ce qui se connecte ou tente de se connecter au réseau - pas seulement les utilisateurs, mais aussi les appareils de l'internet des objets (IoT), les API, les microservices conteneurisés ou les applications sans serveur, et même les machines virtuelles (VM) qui tournent à la demande. Cette solution élimine également la nécessité de gérer une pile de solutions de sécurité (routeurs, pare-feu, etc.) à chaque point de connexion. À la place, les équipes informatiques ou de sécurité peuvent élaborer une politique unique et centrale pour sécuriser toutes les connexions et ressources du réseau, et elles peuvent tout gérer à partir d'un seul point de contrôle.

Une cybersécurité renforcée. Correctement mis en œuvre, SASE peut améliorer la sécurité à plusieurs niveaux. La gestion simplifiée renforce la sécurité en réduisant les risques d'erreurs ou de mauvaises configurations. Pour sécuriser le trafic des utilisateurs distants, SASE remplace l'autorisation générale et unique de l'accès au réseau privé virtuel (VPN) par le contrôle d'accès à granularité fine, basé sur l'identité et le contexte des applications, des répertoires, des ensembles de données et des charges de travail de ZTNA. 

Une expérience utilisateur améliorée et plus cohérente. Avec SASE, les utilisateurs se connectent au réseau de la même manière, qu'ils travaillent sur site, dans une succursale, à domicile ou en déplacement, et qu'ils se connectent à des applications et des ressources hébergées dans le cloud ou sur site. Les services SD-WAN acheminent automatiquement le trafic vers le PoP le plus proche et, une fois les politiques de sécurité appliquées, optimisent les connexions pour obtenir les meilleures performances possibles.

SASE offre des avantages à toute organisation qui s'éloigne du modèle de centre de données central pour la livraison d'applications. Mais une poignée de cas d'utilisation spécifiques incitent à son adoption aujourd'hui.

Sécurisation des effectifs hybrides sans goulots d'étranglement VPN. Les VPN sont le principal moyen de sécuriser les utilisateurs distants ou mobiles depuis près de deux décennies. Mais les VPN ne s'adaptent pas facilement ni à peu de frais, ce que de nombreuses organisations ont appris à leurs dépens lorsque leur personnel a été entièrement délocalisé en raison de la pandémie de COVID-19. En revanche, SASE peut évoluer de manière dynamique pour répondre aux exigences de sécurité des travailleurs à distance en particulier et d'une main-d'œuvre en constante évolution en général.

Adoption du cloud hybride et migration vers le cloud. Le cloud hybride combine le cloud public, le cloud privé et l'infrastructure sur site en un seul environnement informatique flexible, où les charges de travail se déplacent librement entre les infrastructures au gré des circonstances. Les solutions de sécurité WAN ne sont pas conçues pour ce type de mobilité des charges de travail, mais SASE, qui fait abstraction des capacités de sécurité de l'infrastructure sous-jacente, sécurise le trafic partout où il se déplace. Cette solution offre également aux entreprises la possibilité de migrer les charges de travail vers le cloud au rythme qui leur convient.

Edge Computing et prolifération des dispositifs IoT/OT. L'edge Computing désigne un modèle d'informatique répartie qui place les applications et les ressources informatiques hors du centre de données centralisé et plus près des sources de données telles que les téléphones mobiles, les appareils IoT ou de technologie opérationnelle (OT) et les serveurs de données. Cette proximité permet d'améliorer les temps de réponse des applications et de découvrir plus rapidement des informations, en particulier pour les applications d'intelligence artificielle (IA) et d'apprentissage automatique qui traitent d'énormes volumes de données en temps réel.

Pour activer ces applications, les organisations ou les fournisseurs de solutions ont déployé des milliers de capteurs IoT ou d'appareils OT, dont beaucoup sont peu ou pas configurés du point de vue de la sécurité. Cela fait de ces appareils des cibles de choix pour les pirates, qui peuvent les détourner pour accéder à des sources de données sensibles, perturber les opérations ou organiser des attaques DDoS (déni de service distribué). SASE peut appliquer des politiques de sécurité à ces appareils dès qu'ils se connectent au réseau, et fournir une visibilité de gestion sur tous les appareils connectés à partir d'un tableau de bord central.