SASE : Une nouvelle frontière dans la connectivité sécurisée des entreprises

Vous avez probablement entendu parler du concept de SASE (Secure Access Service Edge) si vous avez envisagé l’upgrade de la solution de connectivité réseau de votre entreprise, ou si vous êtes simplement intéressé par les dernières tendances et évolutions en matière de télécommunications. Mais si vous avez demandé ce qu'est exactement SASE, vous avez peut-être rencontré un certain nombre de réponses confuses, voire contradictoires. Si vous essayez de décider si cette technologie est adaptée à votre organisation, cela ne vous servira pas à grand-chose.

N'ayez crainte. C'est pour cela que vous êtes entré dans la bibliothèque de didacticiels techniques de GTT. Dans cet article, nous tenterons d'expliquer les concepts essentiels du SASE, comment cette technologie est entrée en scène, comment elle est liée à la technologie du réseau étendu à definition logicielle (SD-WAN), les solides mécanismes de cybersécurité qu'elle intègre et son potentiel d'adoption généralisée dans les années à venir.

Les bases du SASE

La façon la plus simple de décrire le concept SASE est qu'il s'agit de quelque chose comme un réseau étendu (WAN), mais sans une architecture centralisée ayant un centre de données à sa base. Au contraire, l'architecture de SASE est basée sur le cloud. Une succursale ou un appareil individuel se connecterait à la périphérie du service SASE (service edge) par le biais de divers points de présence (PoP) distribués par le biais de divers points de présence (PoP) distribués.

Ainsi, SASE a peu à voir avec l'Internet public, au-delà de son recours occasionnel aux coulds publics tels que Amazon Web Services (AWS) et Google Cloud Platform (GCP). Il se distingue également des autres options de réseau étendu par les fonctions de sécurité réseau avancées qu'il intègre dans sa propre conception, qui sont similaires aux fonctions de sécurité du cloud les plus avant-gardistes (nous en parlerons plus en détail ci-dessous ; elles comprennent des techniques de cryptage et de pare-feu très avancées, entre autres méthodes).

SASE et SD-WAN sont parfois désignés ensemble, en partie parce qu'il existe encore une certaine confusion au sujet de SASE : il est parfois présenté comme un substitut idéal à un SD-WAN , ce qui (pour des raisons que nous verrons plus loin dans ce didacticiel technique) n'est pas nécessairement vrai, du moins pour le moment. Il existe des cas où le SD-WAN peut fonctionner parallèlement au SASE, ou comme élément central d'un service SASE. La différence fondamentale entre les deux réside dans le fait que le SD-WAN exploite l'internet public (pour créer la couche virtualisée qui lui sert de tissu conjonctif), alors que le SASE l'évite autant que possible.

Historique du modèle de réseau SASE

Le SASE est un concept imaginé par Gartner : il a été mentionné pour la première fois dans son rapport Hype Cycle de mi-2019, et plus tard (avec beaucoup plus de détails) dans le cadre d'un livre blanc devenu célèbre : "The Future of Network Security is in the Cloud."

Ce dernier document, rédigé par Neil MacDonald, Lawrence Orans et Joe Skorupa, postule que les besoins de sécurité des entreprises modernes et les "exigences d'accès dynamiques" les obligent à rompre leur dépendance vis-à-vis du centre de données et à se concentrer sur le cloud. Les analystes de Gartner ont dicté bon nombre des principes de base de SASE : l'utilisation d'un réseau mondial de points de présence (PoP) pour connecter les employés des succursales et les utilisateurs disparates par le biais du nuage, la convergence des fonctions de sécurité de haut niveau dans une pile logicielle périmétrique, et un fort accent sur la faible latence.

En un sens, SASE peut être considéré comme le point culminant (ou un tournant) dans le développement des systèmes de réseaux étendus (WAN) à l'échelle de l'entreprise. Il ne fait aucun doute que l'évolution de la technologie est logique compte tenu de la direction prise para les affaires et les communications mondiales : les organisations ont été complètement transformées numériquement, et leurs effectifs sont désormais répartis sur une combinaison de bureaux, de domiciles et d'autres lieux. Ils s'appuient également fortement sur de nombreuses applications SaaS (Software-as-a-Service) qui résident dans le cloud, il n'est donc pas surprenant qu'une telle méthode de mise en réseau hypercentrée sur le cloud se soit imposée si rapidement.

Cela dit, à certains égards, SASE est encore plus un concept qu'une technologie concrète. En dehors des conditions que MacDonald, Orans et Skorupa ont énoncées dans leur livre blanc Gartner, le modèle SASE n'a pas été formellement codifié ou normalisé. C'est pourquoi certains de ses aspects font l’objet de débat : par exemple, certains insistent sur le fait que la philosophie de Gartner, qui consiste à le placer sur la périphérie du cloud, implique que le cloud public ne peut pas faire partie d'un réseau SASE d'entreprise, tandis que d'autres pensent que les clouds hybrides et publics sont tout aussi utiles pour le SASE que leurs homologues privés.

Ce manque de clarté a également pour conséquence que tout grand fournisseur de télécommunications peut prétendre être un fournisseur de SASE, alors que le plus que certains d'entre eux parviennent à offrir sont des solutions que l'on pourrait au mieux qualifier de "presque-SASE". Ils peuvent correspondre au modèle de réseau SASE, mais avoir une latence plus élevée qu'optimale, ou ne pas être aussi sûrs que le concept Gartner l'exigerait. Dans d'autres cas, des fournisseurs tels que Fortinet et Palo Alto Networks ont tiré parti de leur expertise en matière de sécurité pour concevoir des plates-formes SASE qui atteignent ou dépassent le seuil (plutôt flou) de Gartner, Fortinet offrant sa solution SD-WAN native dans le cadre de l'offre. Il faudra probablement attendre un certain temps avant qu'il existe une norme définitive, au-delà de celle de Gartner, sur ce qui est et n'est pas un SASE.

Avantages du SASE en termes de sécurité

Les fonctions clés qui devraient être incluses dans l'arsenal de sécurité de toute solution SASE digne de ce nom sont les suivantes :

• Secure web gateways (SWGs): Ces portails sécurisées analysent le trafic entrant à la recherche de codes malveillants, d'URL suspectes, de malware ou d'autres menaces de cybersécurité, selon les paramètres définis dans les politiques de sécurité de l'administrateur réseau. Les SWG peuvent contribuer à garantir que les utilisateurs ne disposent que du niveau d'accès exact dont ils ont besoin pour leurs responsabilités professionnelles spécifiques.
• Cloud access security broker (CASB): la présence du CASB garantit que toute faille de sécurité pouvant exister dans le chemin entre l'utilisateur final situé à un point d'accès SASE et un fournisseur de services en nuage ne constitue pas une menace pour les données sensibles lors de l'utilisation d'applications SaaS ou d'autres outils basés sur le cloud.
• Next-generation firewalls (NGFWs): Le fait que SASE dépende du cloud pour son fonctionnement rend essentiel l'utilisation de pare-feux qui offrent une sécurité intégrée dans les environnements cloud et physiques, et c'est là que les NGFW entrent en jeu. Selon le fournisseur, ces éléments peuvent être virtualisés ou basés sur du matériel.
• Advanced threat protection (ATP): À mesure que les cyberattaquants deviennent plus audacieux, les logiciels malveillants qu'ils développent sont de plus en plus complexes et difficiles à combattre. Les systèmes ATP combinent des outils de sécurité des points de terminaison, des passerelles de messagerie, des technologies anti-malware et d'autres méthodes pour faire face aux cybermenaces de toutes origines.
• Zero trust network access (ZTNA): Cette solution de sécurité permet aux réseaux SASE de restreindre l'accès uniquement aux utilisateurs, appareils et applications identifiés, et non à des lieux ou adresses IP spécifiques. À l'heure du télétravail, la technologie ZTNA est devenue extrêmement utile.

Seules les solutions SD-WAN les plus sécurisées peuvent égaler ce qu'une plateforme SASE entièrement déployée peut offrir. Les réseaux étendus traditionnels, y compris de nombreux réseaux MPLS, ne s'en approchent même pas.

Le potentiel de performance et d'accès au cloud qu'offre SASE

Les opinions varient quant au pourcentage de leurs données commerciales et de leur capacité opérationnelle que les entreprises ont déplacé vers le cloud : les estimations faites à la fin des années 2010 et au début des années 20 prévoyaient un chiffre supérieur à 80 % ; les données disponibles sur l'utilisation du cloud public suggèrent un chiffre plus proche de 50 % à la mi-2020. Mais il n'y a aucun doute sur la direction dans laquelle le vent souffle : vers une augmentation constante de l’utilisation du cloud.

Cela rend indispensable une disponibilité permanente pour les utilisateurs professionnels, quel que soit leur emplacement, et c'est exactement ce que SASE offre en termes d'accès au cloud et de performances. La redirection du trafic en temps réel en fonction des besoins instantanés des applications améliore les performances au moment où les utilisateurs finaux en ont le plus besoin, et la création de points de présence (PoP) en combinant installations matérielles de colocation, le cloud public et les centres de données privés garantit un accès sécurisé au réseau depuis n'importe quel endroit et n'importe quel appareil.

Le SASE n'en est encore qu'à ses débuts, mais vu la façon dont les choses évoluent dans le monde des télécoms, ce n'est qu'une question de temps avant que son adoption ne se généralise. Si votre entreprise veut être à la pointe de la technologie, contactez GTT : grâce à la force de notre backbone Tier 1 et à nos partenariats avec des fournisseurs de sécurité spécialisés tels que Fortinet, Aruba (SilverPeak) et VMWare (VeloCloud), nous pouvons vous aider à obtenir un réseau aux performances exceptionnelles dans un monde de plus en plus centré sur le cloud.