Solution SASE : pour le travail hybride et une sécurité sans compromis pour l’accès aux ressources. Ces dernières années, les entreprises ont vécu un changement majeur des usages des technologies réseau. Auparavant, la grande majorité des entreprises utilisaient par exemple des Datacenters internes pour l’hébergement et déploiement leurs applications métiers. Et les utilisateurs, quant à eux, travaillaient essentiellement dans leur bureau.

Puis, les choses changent avec la pandémie de Covid-19 qui a notamment fait accélérer le télétravail. Le télétravail et le travail hybride invitent les entreprises à passer au Cloud Computing.

Et les utilisateurs eux souhaitent accéder aux applications depuis chez eux, mais aussi depuis leur bureau dans les locaux de leur entreprise. Tout cela fait qu’on vit aujourd’hui dans une période où les applications et les données peuvent être un peu n’importe où, en multi cloud, sur les Datacenters, mais aussi chez des partenaires en mode SaaS, IaaS ou PaaS…

Cependant, fonctionner ainsi oblige les entreprises à acquérir, employer et gérer différents produits pour la sécurité des réseaux, ce qui n’est pas très pratique. Par conséquent, une nouvelle approche de la façon de connecter et sécuriser les accès aux données et applications s’impose. C’est là qu’intervient le SASE. Il s’agit d’une solution logicielle basée sur le Cloud permettant aux entreprises d’accéder facilement et de manière sécurisée à leurs données et applications peu importe où se trouvent celles-ci, dans des data center, en multi cloud…

Solution SASE : pour le travail hybride et une sécurité sans compromis pour l’accès aux ressources. Découvrez dans cet article tout ce qu’il y a à savoir sur ce nouveau concept de cybersécurité très à la mode aujourd’hui.

Qu’est-ce que le SASE (ou Secure Access Service Edge) ?

Déjà expliqué plus haut, la hausse du télétravail, la croissance de l’utilisation du Cloud Computing mais aussi l’augmentation de l’utilisation d’appareils mobiles professionnels et privés par les employés pour accéder aux données de l’entreprise.

Tout cela fait que nous accédons aujourd’hui à nos données et à nos applications de manière plus distribuée et délocalisée qu’avant, étant donné que nos données et applications sont situées dans différents clouds.

Cela étant dit, les sites distants classiques n’ont pas pour autant disparu.

On peut donc observer une certaine tendance à la décentralisation des services, ce qui rend très difficile la sécurisation des accès au moyen d’une solution unique. Du moins, c’était le cas avant !

Le concept SASE a en effet été créé pour permettre aux entreprises d’unifier leurs réseaux et leurs outils de sécurité dans une seule console de gestion. Une solution SASE combine des fonctions de mise en réseau et de sécurité dans le cloud pour fournir un accès facile et sécurisé aux applications et données, partout où les utilisateurs travaillent. C’est la raison pour laquelle le SASE est fait pour le travail hybride. Pour information, le travail hybride consiste pour les employeurs à donner aux employés la possibilité travailler à domicile, au bureau ou n’importe où dans le monde selon leurs préférences.

Quelques avantages de l’architecture SASE ?

Voici les principaux avantages du SASE :

• SASE – Économies.

SASE n’est pas seulement une technologie, mais un ensemble complet de technologies, comprenant : le réseau étendu défini par logiciel (SD-WAN), une passerelle Web sécurisée (SWG), un courtier en sécurité d’accès au cloud (CASB), un accès réseau zéro confiance (ZTNA), un Pare-feu en tant que service (FWaaS).

Plutôt que d’acheter et de gérer tous ses produits spécialisés chez différents fournisseurs, vous exploitez une seule et unique plateforme, votre solution SASE. Cela vous permet d’économiser considérablement sur vos coûts et vos ressources IT.

• SASE – Réduction de la complexité.

Le fait qu’une solution SASE intègre plusieurs technologies réseau réduit aussi les produits que votre équipe informatique doit gérer

L’application cohérente des politiques, appliquée par SASE, réduit toutes les complexités de gestion, et bénéficie ainsi à  l’ensemble du travail du personnel du service informatique, quant à  son approche SaaS, elle améliore la technicité, renforçant ainsi la sécurité à moindre coût.

Le (SD-WAN), le pare-feu nouvelle génération en tant que service, la passerelle Web sécurisées (SWG), le courtier de sécurité d’accès au cloud ou encore l’accès réseau zéro confiance (ZTNA). Tous ces composants du SASE contribuent à garantir une meilleure protection des données et la prévention des menaces.

• SASE – Facile à déployer.

Une solution SASE est une solution Cloud Computign. Pour cette raison, elle s’intègre facilement dans les environnements existants. Vous n’aurez pas non plus à faire de nombreuses installations complexes ou encore à devoir acheter et installer des matériels.

• SASE – Amélioration et optimisation de la performance.

L’architecture SASE élimine les flux de trafic réacheminés et permet ainsi de réduire la latence entre le client et le cloud. Il en résulte une amélioration et l’optimisation de la performance de l’ensemble de votre réseau.

Comment fonctionne le SASE ?

Pour comprendre le fonctionnement du SASE, il convient de s’interroger sur le rôle de chacune des technologies qui le composent :

Le SASE vous fait passer du WAN au SD-WAN

Dans une architecture réseau traditionnelle, les employés se connectent au réseau de l’entreprise depuis leur bureau et accèdent aux applications dans un centre de données privé à l’aide d’un WAN privé et sécurisé de site à site ; la connectivité Internet étant sécurisée depuis le siège de l’entreprise ou les centres de données.

Le SD-WAN, appelé aussi réseau étendu à définition logicielle, de son côté, fonctionne différemment. Ce type de réseau fournit une mise en réseau complète avec une sécurité intégrée et permet une connexion Internet plus sécurisée via un accès Internet direct (DIA) à chaque emplacement pour connecter les utilisateurs directement au Cloud et aux applications SaaS.

SD-WAN est réellement ce qui correspond le plus aux besoins des entreprises aujourd’hui dans la mesure où les utilisateurs accèdent aujourd’hui principalement aux applications de n’importe où et à tout moment, et ce depuis que les entreprises sont passées au SaaS pour les applications critiques afin de répondre aux besoins de vitesse, d’agilité et économiques.

Passerelle Web sécurisée (SWG) protègeant, contre les menaces d’Internet

Une passerelle Web sécurisée est un service de sécurité réseau sur site ou dans le cloud. Installées entre les utilisateurs et Internet, les passerelles Web sécurisées offrent une protection avancée du réseau contre l’infection par des logiciels indésirables ou des logiciels malveillants en inspectant les requêtes Web par rapport à la politique de l’entreprise pour s’assurer que les applications et les sites Web malveillants sont bloqués et inaccessibles.

La technologie SWG, qui est un composant fondamental d’une solution SASE, comprend notamment un système de filtrage URL (Uniform Resource Locator), un système de protection anti-malware et antivirus. Il possède aussi des capacités d’identification et de contrôle des applications, ainsi que des capacités de prévention des pertes de données.

CASB pour sécuriser la communication (utilisateurs et plateformes) du Cloud

Un courtier en sécurité d’accès au cloud ou CASB est une application servant de point de contrôle de sécurité entre les utilisateurs du réseau cloud et les applications basées sur le cloud. Il gère et applique toutes les politiques et pratiques de sécurité des données, y compris l’authentification, l’autorisation, les alertes et le chiffrement. Les CASB améliorent aussi la visibilité d’une organisation sur les utilisateurs qui accèdent aux données et aussi sur la façon dont les données sont utilisées.

Dans les détails, un CASB peut :

• Inspecter les données, les applications ainsi que les comportements des utilisateurs dans les services cloud ;
• Se placer entre les utilisateurs et les services cloud pour sécuriser la communication entre les deux ;
• Effectuer un contrôle d’accès de tout utilisateur, appareil ou emplacement ;
• Fournir une visibilité de tous les utilisateurs, appareils et emplacement du réseau ;
• S’intégrer au fournisseur d’identité existant d’une entreprise, à l’outil de gestion des informations et des événements de sécurité (SIEM) et au produit de gestion unifiée des terminaux (UEM) ;
• Identifier les sessions malveillantes et exécuter des actions permettant de supprimer les menaces ;
• Ou encore faire la distinction entre les instances professionnelles et personnelles des services cloud et offrir la possibilité de limiter ou de bloquer l’échange de données entre elles.

ZTNA va bien gérer l’autorisation d’accès, des applications et des données

Un composant essentiel de l’architecture SASE, ZTNA est une catégorie de technologies qui fournit un accès à distance sécurisé aux applications et aux services sur la base de politiques de contrôle d’accès définies.

À la différence des solutions d’accès à distance comme les VPN qui accordent aux utilisateurs un accès complet à un réseau local une fois la connexion établie, les solutions ZTNA, elles, sont conçues et programmées pour refuser par défaut les accès sans contrôles d’identité très poussés au préalable.

C’est le principe de confiance zéro. L’accès est accordé uniquement sur la base du besoin de savoir et du moindre privilège défini par des politiques granulaires, améliorant ainsi considérablement et les applications et les données.

Une architecture Zero Trust est la clé d’une stratégie SASE forte, car elle n’accorde l’accès qu’au trafic entre les utilisateurs, les appareils et les applications authentifiés. Elle présente aussi l’avantage de réduire considérablement la surface d’attaque en masquant l’emplacement des actifs critiques aux attaquants.

Pare-feu (nouvelle génération) protection : réseaux et infrastructure cloud.

Un firewall est à la base de toute pile de sécurité réseau. Il va de soi qu’une architecture vendue par tous les experts comme extrêmement sécurisée telle que le SASE doit forcément intégrer un pare-feu. Le FWaaS (Firewall-as-a-Service de nouvelle génération) de votre solution SASE va agir comme un bouclier pour votre infrastructure cloud, pour une meilleure protection des données.

Les pare-feu de nouvelle génération ont des capacités plus évoluées qu’on ne retrouve pas chez les pare-feu standard. Ainsi, outre les capacités standard telles que le filtrage des paquets, l’inspection dynamique des paquets et la sensibilisation aux réseaux privés virtuels (VPN) qu’ont tous les pare-feu, les pare-feu de nouvelle génération possèdent en plus des capacités plus avancées comme la prévention des intrusions, l’inspection approfondie des paquets, la sensibilisation et contrôle des applications et aussi la capacité d’identifier les dernières menaces.

Auteur Antonio Rodriguez Editeur et Directeur de Clever Technologies

Pour approfondir le sujet :

• importance du Sase pour assurer la sécurité des données