Qu’est ce que le SASE – Secure Access Service Edge ?

ParOlivier Giraud

Qu’est ce que le SASE – Secure Access Service Edge ?

Un modèle d’architecture de moins en moins adapté

La transformation du fonctionnement du numérique et par conséquent des architectures IT s’accélère actuellement.

Jusqu’à il y a peu, l’architecture était principalement centralisée sur un datacenter où l’ensemble des données de l’entité (entreprise, association, organisme public) est stocké, consulté, traité et partagé. Les utilisateurs sont majoritairement localisés dans un ou quelques sites géographiques avec parfois quelques collaborateurs itinérants. Ils accèdent au datacenter centralisé via un réseau sécurisé, tout deux dotés de plusieurs zones successives de défenses (cybersécurité) avec des pare-feu, des antivirus gérés par des équipes dédiées.  Dans cette architecture, il est difficile d’obtenir un accès au datacenter depuis l’extérieur. Mais tout le monde à l’intérieur du réseau est approuvé par défaut. Si parmi ces personnes, il y a une malveillante, elle peut accéder à l’ensemble des ressources de l’entreprises.

Mais depuis plusieurs années, du fait de la multiplication de l’utilisation du cloud, de la généralisation du travail distant (télétravail) et/ou mobil dans certains secteurs, en raison du covid, de la multiplication des objets connectés (IoT) bientôt boosté par la 5G, les entités ont :

  • Leurs données, leurs appareils, leurs applications et leurs services souvent réparties entre le datacenter de l’entité et de nombreux fournisseurs de cloud.
  • Leurs utilisateurs de plus en plus mobiles ou en travail distant.
  • Un besoin de maîtrise et de contrôle de la cybersécurité des accès et de l’utilisation des données, appareils, applications, services.

Le modèle centralisé de Datacenter et de réseau sécurisé de l’entreprise devient obsolète. Il n’offre plus le niveau de performances, de sécurité et de contrôle d’accès dont les entités et leurs utilisateurs ont besoin.

Un nouveau modèle d’architecture

Pour faire face à cette transformation et ce besoin de cybersécurité, le Gartner a proposé en 2019, un nouveau modèle d’architecture, le « Secure Access Service Edge » ou SASE (prononcer «sassi»).

Le SASE :

  • Identifie les utilisateurs et les terminaux utilisés,
  • Applique une sécurité basée sur les politiques de l’entité,
  • Fournit un accès sécurisé à l’application ou aux données appropriées.

Cette approche permet aux entités d’appliquer un accès sécurisé quel que soit l’emplacement de leurs utilisateurs (collaborateurs, prestataires sous contrats), applications ou appareils.

Le SASE constitue un changement des principes d’architecture IT qui s’éloigne du modèle d’architecture centralisé, vers un modèle d’architecture décentralisé.

Cette approche architecturale fait converger les exigences de réseau et de sécurité en une solution unique dans le cloud. Le SASE distribue l’accès des utilisateurs aux ressources de l’entité au lieu de les regrouper en un seul endroit.

Il permet de répondre ainsi aux besoins de transformation numérique rapide des entités, d’adoption des nouvelles technologies et de mobilité des personnes.

Quels sont les apports du SASE ?

Le modèle SASE peut apporter à votre entité :

  • Flexibilité : avec une architecture basée sur le cloud, vous pouvez mettre en œuvre et fournir autant de services de sécurité que vous le souhaitez tels que :
    • Une prévention des menaces,
    • La sécurité DNS,
    • Le filtrage Web,
    • Le sandboxing des fichiers suspects,
    • La protection contre le vol d’informations d’identification,
    • La prévention de la perte de données.
  • Baisses de coûts : vous pouvez simplifier votre architecture informatique, au lieu d’avoir recours et à gérer plusieurs produits ponctuels pour maintenir les serveurs et la sécurité en interne. Consolider votre pile de sécurité dans une seule plate-forme chez un seul fournisseur cloud réduira considérablement vos coûts et vos ressources informatiques et produira des économies d’échelle.
  • Complexité réduite et prévention des menaces : En choisissant un fournisseur SASE, vous pouvez gérer tous les aspects de la sécurité à partir d’une seule console. Vos équipes de sécurité peuvent :
    • Surveiller qui est connecté au réseau,
    • Analyser toutes les sessions d’accès,
    • Inspecter les contenus pour identifier les logiciels malveillants et les données sensibles,
    • Créer des règles de pare-feu,
    • Mettre à jour les antivirus sur des appareils spécifiques
    • Rechercher des activités ou des attaques suspectes.
    • Isoler des terminaux individuels qui semblent être compromis.
  • Performances améliorées : avec l’architecture cloud performante du fournisseur SASE, l’accès ininterrompu et immédiat aux applications, à Internet et aux données de l’entité pourra être disponible dans le monde entier grâce à un réseau privé (SD-WAN) composé de POP (Point of présence = point d’interface entre plusieurs réseaux ou dispositifs de communication) présents dans le monde entier. Ce réseau privé, au routage optimisé, permet d’acheminer les données en évitant les problèmes de latence d’internet. Ceci est crucial pour les applications de vidéo, de collaboration, de conférence Web, et toute autre application sensible à la latence.
  • Accès Zero Trust «zéro confiance» (ZTNA = Zero Trust Network Access)  : il s’agit d’une approche dont le principe est de «ne jamais faire confiance, et de toujours vérifier l’identité des utilisateurs, des appareils et des applications qui tentent de se connecter au réseau de l’entité. Les connexions ne sont plus basées sur une adresse IP, mais sur la capacité de l’utilisateur, appareil et application à s’identifier correctement. Le personnel n’aura accès qu’à des applications spécifiques pour lui permettre de faire son travail.

Sur quelles technologies s’appuient le SASE ?

Le SASE fait converger en un seul service :

  • Les services SD-WAN (Software Defined – Wide Area Network),
  • Le pare-feu de nouvelle génération NGFW (physique) ou FWaaS  (basé sur le cloud),
  • La passerelle Web sécurisée (SWG) : solutions unifiées de prévention des menaces, telles que le filtrage d’URL, l’antivirus, l’IPS, l’anti-bot et la prévention des attaques Zero-Day.l’accès
  • Un accès ZTNA (Zero Trust Network Access),
  • Les courtiers de sécurité d’accès au cloud (CASB : Cloud Access Security Broker). Service qui permet le contrôle des applications SaaS de l’entité, notamment en sécurisant l’accès aux applications et en éliminant les défis du Shadow IT.

Cette approche SASE est très récente, les offres ne sont donc pas encore totalement matures. Il faut choisir une offre totalement intégrée et non une offre proposant une multitude de produits assemblés qui seront difficiles à intégrés et ne permettront pas un fonctionnement optimal du SASE.

Perspectives

Le SASE répond à des besoins nouveaux qui se généralisent très rapidement : l’utilisation du cloud, le travail distant, les IoT. Cette approche, SASE, décrit donc probablement une architecture qui devrait s’inscrire dans la durée, révolutionnant ainsi les architectures IT.

À propos de l’auteur

Olivier Giraud administrator

Laisser un commentaire