Qu’est-ce que le SASE (Secure Access Service Edge) ?

Le SASE (Secure Access Service Edge) est un nouveau modèle de sécurité architectural pour les réseaux et la sécurité réseau (network security) d’entreprise, défini par Gartner comme un moyen de répondre aux besoins des utilisateurs en matière d’accès rapide et sécurisé aux applications. Les architectures SASE font converger les réseaux et les services de sécurité cloud au sein d’une architecture single-pass haute performance à la gestion unifiée.

Explorez d’autres thèmes liés au SASE

Pourquoi utiliser le SASE ?

Trois grandes tendances encouragent le passage au SASE pour les réseaux et la sécurité :

  • Les applications passent au SaaS : Dans les architectures traditionnelles, faire transiter le trafic SaaS par le datacenter accroît la latence et augmente les coûts réseau. À mesure que les services cloud (cloud services) gagnent du terrain, la sécurité doit délaisser le datacenter pour se rapprocher des utilisateurs, à mi-chemin entre eux et le cloud.
  • •Les utilisateurs sont de plus en plus distants et de moins en moins rattachés à un bureau : Les collaborateurs s’attendent à bénéficier de la même expérience et la même sécurité, où qu’ils travaillent. Malheureusement, les VPN traditionnels n’offrent pas de contrôles de sécurité granulaires ou de passerelles web sécurisées, et ils détériorent l’expérience.
  • Les menaces évoluent rapidement : Les équipes de sécurité doivent sans cesse mettre à niveau et à jour leur infrastructure pour faire face aux nouvelles menaces. Face à cette tâche complexe et chronophage, les entreprises se retrouvent souvent exposées aux menaces de type « zero-day ».

Les entreprises d’aujourd’hui doivent pouvoir offrir à tous les collaborateurs une expérience rapide, cohérente et sécurisée, où qu’ils se trouvent et quel que soit l’appareil utilisé. Les équipes IT doivent gagner en agilité et en efficacité opérationnelle, et se concentrer sur la livraison de nouveaux services digitaux, plutôt que sur la gestion de piles réseau et de sécurité complexes.

Quel est le rôle du SASE vis-à-vis de ces tendances ? Il s’agit d’un cadre qui garantit l’évolution et la convergence des réseaux et de la sécurité, et offre les avantages suivants :

  • Une administration agile des réseaux et de la sécurité, depuis une vue unifiée, avec provisioning, contrôle granulaire des stratégies et visibilité. 
  • Un accès rapide et sécurisé aux applications partout, grâce à des capacités WAN complètes qui permettent de surmonter le caractère imprévisible des points d’accès locaux à Internet.
  • Une mise en œuvre cohérente des stratégies de sécurité au travers d’un cloud de sécurité global, pour tous les utilisateurs, où qu’ils se trouvent.

À quoi ressemble une architecture SASE ?

Le SASE fait converger les capacités WAN et les fonctions de sécurité réseau au sein d’une architecture single-pass, administrée via une console unifiée. Gartner, qui a inventé le terme SASE, a répertorié les fonctionnalités « clés » et « recommandées » pour les architectures SASE1 :

  • Fonctionnalités clés
    • SD-WAN : Le SD-WAN permet une connectivité résiliente et à faible latence sur tout type de transport réseau, réduisant la complexité par rapport aux solutions traditionnelles basées sur des routeurs. Le SD-WAN profite tout particulièrement aux applications natives du cloud (cloud-native) et en temps réel. Comment ? Grâce à une sélection des chemins fondée sur une évaluation de la qualité des chemins, l’optimisation WAN et un appairage avec les applications SaaS. Par ailleurs, certains SD-WAN intègrent des mesures de sécurité réseau, notamment des systèmes de détection/prévention des intrusions (IDS/IPS) et une configuration simplifiée des tunnels VPN entre les sites distants et les applications SaaS.
    • Secure Web Gateway : Le Secure Web Gateway (SWG) est une solution de cybersécurité d’entreprise, généralement mise en œuvre sous la forme d’un service cloud entre les utilisateurs et le Web. Le trafic des utilisateurs est envoyé à la SWG afin d’être inspecté (et que d’autres mesures soient prises, le cas échéant), au travers de fonctionnalités de sécurité réseau intégrées comme le filtrage des URL, le contrôle des applications et une protection contre les malwares.
    • Cloud Access Security Broker : Le Cloud Access Security Broker (CASB) permet à une entreprise de gérer le contrôle d’accès pour toutes les applications SaaS, approuvées et non approuvées. Les solutions de CASB sont fondées sur quatre grands axes :
      • Une visibilité accrue, y compris sur les applications de Shadow IT
      • Une sécurité des données qui protège les ressources sensibles de tout accès non autorisé
      • Une protection contre les menaces grâce à une analyse des comportements
      • Une mise en conformité simplifiée
    • Accès réseau Zero Trust : Un accès réseau Zero Trust (zero trust network access ou ZTNA) suit le principe de la séparation des privilèges pour les utilisateurs autorisés qui accèdent aux applications vérifiées. Il tient également compte de l’identité des utilisateurs et du contexte, évalue les tentatives d’accès en fonction des informations d’identité tirées de services cloud comme Microsoft Azure Active Directory et de paramètres tels que l’heure de la journée et le lieu. L’accès peut même être octroyé aux applications plutôt qu’au réseau sous-jacent, afin d’éviter tout déplacement latéral de la menace. Dans l’ensemble, un ZTNA (zero trust network access) offre une meilleure expérience utilisateur, des contrôles de sécurité renforcés et une complexité réduite par rapport aux solutions VPN traditionnelles.
    • FWaaS : Le FWaaS (Firewall-as-a-Service) met en œuvre des contrôles de sécurité entrants et sortants au sein d’un réseau d’entreprise, afin de veiller à ce que seul le trafic vérifié soit autorisé. Dans le détail, une solution FWaaS peut intégrer des fonctions de détection des menaces (sans signature) basée sur les anomalies, d’isolation du réseau et de géolocalisation, ainsi que des logiciels anti-malwares et des systèmes IDS/IPS. Un FWaaS est souvent intégré aux solutions d’analytique afin d’offrir une protection complète pour les datacenters, les instances cloud et les sites distants.
    • Protection contre la perte de données : Des fonctions de protection contre la perte de données (ou de prévention) sont intégrées à l’architecture single-pass d’une plateforme SASE. Un moteur de protection contre la perte de données (Data Loss Prevention ou DLP) offre de la visibilité sur les données utilisées, en mouvement et au repos. Il est capable de mettre en quarantaine les données ou les activités à risque, d’exécuter le chiffrement et d’envoyer des alertes de sécurité réseau afin de réduire le risque global d’une violation de données
    • Chiffrement/Déchiffrement de contenu ultra-rapide et à grande échelle : L’architecture single-pass du SASE permet au trafic chiffré d’être ouvert et inspecté une seule fois, ce qui réduit la latence des piles de sécurité traditionnelles assorties de moteurs d’inspection intégrés à la chaîne de services.
  • Fonctions recommandées :
    • Protection des applications Web et des API : À mesure que l’utilisation des applications Web augmente, il est important de maintenir les demandes et le trafic malveillants à distance. La protection des applications Web et des API, ou WAAP, permet d’intégrer des mesures de sécurité comme la limitation de débit avancée, la protection automatique des applications en cours d’exécution et la réduction des DdoS.
    • Isolation de navigateur à distance : L’isolation de navigateur à distance permet de protéger le réseau d’entreprise des attaques basées sur les navigateurs. Les données des sites Web, y compris celles qui sont susceptibles d’être compromises, ne sont pas transférées sur les appareils des utilisateurs, ce qui réduit la possibilité d’une violation ou d’une infection.
    • Isolation réseau : L’isolation réseau permet d’envoyer le contenu vers un environnement isolé, dans lequel il peut être exécuté sans affecter les autres applications. Les solutions FWaaS au sein de la plateforme SASE peuvent alors inspecter le contenu et bloquer les ressources et les fichiers malveillants si elles en détectent.
    • Prise en charge d’appareils gérés et non gérés : Une plateforme SASE offre un cadre amélioré pour la sécurisation des appareils fournis par l’entreprise et les collaborateurs, à l’aide de plusieurs solutions de sécurité qui protègent des menaces telles que la perte de données, l’accès non autorisé et les malwares.

Les fonctionnalités ci-dessus doivent être livrées dans le cadre d’un modèle « thin branch, heavy cloud » : le SD-WAN est fourni comme une appliance distante « légère », tandis que les fonctions de sécurité sont fournies comme un service de cloud « lourd ».

Avantages de la mise en œuvre d’une architecture SASE

Les architectures SASE ont été conçues pour permettre un accès rapide, fiable et sécurisé aux applications cloud par les collaborateurs mobiles et distants, tout en améliorant l’agilité informatique. Si l’on suppose que les entreprises accordent de l’importance aux nuances proposées en termes de fonctionnalités (par exemple la gestion unifiée sur le réseau et la sécurité, une conception architecturale à passage unique et des fonctions SD-WAN puissantes), un déploiement SASE peut faire bénéficier les entreprises des avantages suivants :

Expérience, collaboration et engagement accrus des utilisateurs : l’accès direct à Internet supprime la latence venant de connexions réacheminées. Cependant, les fonctionnalités SD-WAN et l’optimisation WAN sont nécessaires dans les solutions SASE pour garantir des performances homogènes, même si les performances Internet fluctuent. Les architectures à passage unique garantissent que les moteurs de stratégies et d’inspection eux-mêmes n’ajoutent aucune latence inutile.

Sécurité améliorée indépendamment de la localisation du collaborateur : un accès « zero trust » sensible à l’identité est accordé pour les applications autorisées. Ceci réduit la surface d’attaque et limite le déplacement latéral des malwares dans le réseau d’entreprise. Pour les applications Web et non autorisées, une sécurité complète mise à disposition dans le cloud (cloud public comme privé) garantit une posture de sécurité homogène, quel que soit l’endroit où se trouve le collaborateur.

Des opérations simplifiées avec une agilité informatique améliorée : les architectures SASE peuvent aider à consolider les fournisseurs pour le réseau et la sécurité. Les solutions avec fournisseur unique proposent des intégrations plus profondes et une gestion unifiée, qui simplifient le déploiement, la configuration, le reporting et les services d’assistance. Comme les architectures SASE nécessitent de déplacer la sécurité dans le cloud, l’empreinte matérielle globale est réduite ce qui, en retour, améliore la mise à l’échelle et l’élasticité de l’architecture.

 

Nuances à prendre en compte dans un cadre SASE

Si de nombreux fournisseurs font la promotion de chacun des composants d’une architecture SASE, il est impératif de disposer de l’ensemble des fonctionnalités requises, car le tout unifié est plus important que la somme des parties.

Ce n’est qu’avec une « pile SASE » complète que les entreprises pourront offrir un accès cohérent et sécurisé à toutes les applications, partout et sur tout appareil, tout en améliorant l’agilité informatique. Les architectures SASE les plus puissantes présentent les nuances suivantes, qui les différencient de la concurrence :

  • Intégrations approfondies en matière de sécurité et de réseaux d’entreprise : Une plateforme SASE associe la sécurité du cloud et des fonctionnalités WAN complètes, deux ensembles d’éléments qui s’alimentent les uns les autres. Si la sécurité du cloud favorise les points d’accès locaux à Internet (pour éliminer la latence des architectures de transit), elle ne permet pas de s’affranchir du caractère imprévisible des connexions Internet. Grâce au SD-WAN et à l’optimisation WAN, les modifications des performances réseau n’affectent pas l’expérience des collaborateurs. 
  • Gestion via une vue unifiée : Avec le modèle SASE, les équipes bénéficient d’une vue unifiée sur les déploiements d’infrastructure (y compris pour la cybersécurité), les paramètres des stratégies réseau et de rapports complets. Le tout leur offre un contrôle plus complet et agile sur l’architecture de l’entreprise.
  • Architecture single-pass : La chaîne de services des fonctionnalités oblige souvent le trafic à passer par plusieurs moteurs d’inspection et de stratégies, ce qui contribue à la latence et réduit l’amélioration des performances attendues avec l’architecture SASE. Par contraste, les architectures SASE bien conçues adoptent une approche « single-pass », dans le cadre de laquelle le trafic est ouvert et inspecté une seule fois par l’ensemble des moteurs de stratégies en simultané. 
  • Confidentialité/ségrégation des données au sein de l’architecture SASE elle-même : Les exigences réglementaires et de confidentialité comme le RGPD requièrent souvent une ségrégation des données, un chiffrement sélectif, ainsi que de la visibilité et du contrôle sur l’endroit et la façon dont les données circulent. Avec la sécurité cloud, respecter ces obligations peut être difficile. Il est donc impératif d’évaluer les mesures de conformité de toute solution SASE potentielle. 
  • Gestion unifiée des fournisseurs : L’un des principaux objectifs du SASE est d’améliorer l’agilité informatique. En consolidant les fournisseurs, vous pouvez réduire le nombre d’échanges nécessaires pour concevoir, déployer, gérer et assurer le support d’une architecture complète et unifiée en matière de réseaux et de sécurité. Non seulement cette solution accélère les opérations, mais elle alimente également les échanges transversaux au sein de l’IT, favorisant une prise de décision améliorée et plus stratégique. Par ailleurs, d’un point de vue purement technologique, une architecture provenant d’un fournisseur unique permet une intégration plus approfondie de l’ensemble des fonctionnalités par rapport à l’alliance de technologies entre organisations.

Scénarios d’utilisation du SASE

Les organisations ont besoin de faire évoluer leur infrastructure réseau et sécurité en réponse à l’évolution des schémas d’utilisation (par exemple, à quelles applications les utilisateurs accèdent et comment) afin de satisfaire les attentes des collaborateurs et de répondre aux exigences de l’entreprise. Cette évolution permettra de prendre en charge des initiatives stratégiques plus vastes, comme la possibilité pour les utilisateurs de travailler partout et l’amélioration de la continuité d’activité grâce à un déploiement d’infrastructure agile, élastique et efficace.

Dans l’ensemble, les scénarios d’utilisation informatique en aval peuvent être divisés en trois catégories :

  • Transformez vos architectures réseau et de sécurité : Les architectures traditionnelles basées sur des appliances « hub-and-spoke » contribuent à la latence, augmentent les coûts du WAN et sont compliquées à gérer. Les remplacer par une architecture SASE permet de sécuriser les points d’accès locaux à Internet pour un accès rapide, sécurisé et cohérent à toutes les applications, partout. L’unification de la cybersécurité cloud et du SD-WAN au sein de l’architecture SASE offre de meilleures performances applicatives, une gestion agile et une visibilité sans angles morts.
  • Sécurisez votre déploiement SD-WAN : Si les solutions SD-WAN sont cruciales pour améliorer les performances des applications, l’association d’un SD-WAN et d’une pile de sécurité basée sur le datacenter ajoute une latence évitable et réduit les avantages globaux du SD-WAN. La sécurité basée sur des appliances au sein du site distant requiert également des mises à niveau fréquentes, à mesure que le volume de trafic chiffré augmente, ce qui se répercute sur les coûts et la complexité opérationnelle. La sécurité cloud est une alternative viable, mais elle doit être proposée sous la forme d’une architecture SASE « single-pass » unifiée, en tandem avec une solution SD-WAN. Dans cette configuration, les avantages attendus du SD-WAN (accélération des performances applicatives, agilité opérationnelle, réduction des dépenses opérationnelles) sont maximisés.
  • Livrer un Digital Workspace sûr et productif : Les solutions de Digital Workspace favorisent une expérience collaborateur rationalisée et productive, pour l’ensemble des applications et des postes de travail, indépendamment de l’appareil utilisé. Soutenues par une architecture SASE, les performances applicatives peuvent être améliorées grâce à la priorisation intelligente du trafic et à l’optimisation WAN, une sécurité renforcée par un accès Zero Trust fondé sur l’identité et une puissante protection contre les malwares pour tout le trafic.

Comment Citrix aide les entreprises avec le SASE ?

Citrix fait converger toutes les fonctionnalités SASE au sein d’une architecture unique et unifiée. L’approche unifiée du SASE adoptée par Citrix offre 5 avantages clés :

  1. Une pile de sécurité cloud plus complète, qui protège tous les utilisateurs, où qu’ils se trouvent, contre toutes les menaces, à grande échelle. 
  2. Un accès Zero Trust fondé sur l’identité offrant un accès continu et dynamique aux applications d’entreprise vérifiées, tout en réduisant la surface d’attaque de l’entreprise.
  3. Une meilleure expérience applicative, toujours, avec un SD-WAN puissant et une fonction d’optimisation des applications. 
  4. Une analytique approfondie alimentée par l’intelligence artificielle pour identifier les incidents de sécurité, les activités inhabituelles et les violations de stratégie au service de l’analyse des incidences et de la conformité réglementaire. 
  5. Une gestion unifiée avec une intégration complète des réseaux et de la sécurité pour des opérations simples et agiles.

100 millions d’utilisateurs dans 400 000 organisations font confiance à Citrix pour obtenir les moyens d’être les plus performants possible. Nous serions ravis de vous accompagner dans votre transition vers une architecture plus productive, agile et efficace.  

Ressources supplémentaires :

1Gartner, The Future of Network Security is in the Cloud, Neil MacDonald, Lawrence Orans, et Joe Skorupa, 30 août 2019
Gartner ne soutient aucun éditeur, produit ou service cité dans ses publications de recherche et ne conseille aucunement de privilégier les éditeurs ayant reçu la meilleure évaluation ou toute autre reconnaissance. Les publications de recherche de Gartner reflètent l’opinion de l’organisme de recherche de Gartner et ne doivent pas être considérées comme des faits. Gartner rejette toutes garanties, expresses ou implicites, relatives à cette étude, y compris les garanties de qualité marchande et d’adaptation à un objectif précis.