Qu'est-ce que le SASE ?

Qu'est-ce que le SASE ?

Le terme Secure Access Service Edge (SASE) a été inventé par Gartner en 2019 et décrit une architecture de cybersécurité moderne. Le modèle SASE rapproche les services de sécurité des utilisateurs et leur accorde le niveau d'accès approprié en fonction de leur niveau de risque à un moment donné.

SASE (à prononcer « sassy ») incarne la synergie du réseau avec la sécurité. Une plateforme SASE offre une protection robuste contre les attaques et garantit une application uniforme des politiques, où que se trouvent les utilisateurs et sans avoir à réacheminer le trafic vers un site de l'entreprise. Ce processus est transparent pour les utilisateurs et offre un environnement plus sécurisé.

 

À quelles problématiques le SASE répond-il ?

De nombreuses organisations disposent d'une infrastructure de réseau compliquée : sites distribués, utilisateurs distants, équipements trop nombreux. La complexité opérationnelle de ces éléments crée d'importantes difficultés de gestion et de maintenance pour les équipes SecOps.

De nombreux contrôles de sécurité utilisent leur propre système de gestion de la sécurité, chacun ayant ses propres processus de configuration et ses propres problèmes d'interopérabilité. Cette situation entraîne souvent un manque de visibilité qui peut augmenter les risques et submerger les équipes informatiques. En outre, les fluctuations du trafic réseau et la diversité des applications nécessitent des ressources supplémentaires pour faire face aux pics d'utilisation tout en minimisant la latence. 

La plupart des équipes informatiques ont investi beaucoup de temps et d'argent pour se préparer à l'augmentation du trafic et au barrage attendu de cyberattaques. Ils sont souvent contraints de prendre des décisions difficiles entre l'accessibilité et la sécurité. En effet, les architectures traditionnelles acheminent le trafic vers un hub de réseau centralisé pour l'inspection de sécurité et le dirige ensuite vers l'application ou le service souhaité. Ce processus, bien que très sécurisé, a un impact négatif sur les performances et le budget, surtout lorsqu'il devient évident qu'il faut ajouter de la capacité.

Une architecture SASE, au contraire, inspecte le trafic et rend les services accessibles aux points de présence à proximité de la géolocalisation de l'utilisateur. Des ressources supplémentaires peuvent être ajoutées de manière flexible pour répondre aux pics de demande, puis réduites lorsque la demande diminue. En éliminant le backhaul, les entreprises n'ont plus à choisir entre sécurité et accessibilité, ce qui fluidifie l'expérience de l'utilisateur final et réduit les risques.

 

Comment le SASE crée-t-il un réseau « sensible aux menaces » ?

Une plateforme SASE combine des solutions réseau et de sécurité sous un service unique qui répond aux problématiques de gestion du réseau et de sécurité d'une organisation. Les équipes informatiques peuvent exploiter tous les points de connexion du réseau pour détecter les activités malveillantes, automatiser leurs réponses et neutraliser les menaces. Elles n'ont plus à gérer ces tâches par le biais d'une passerelle de datacenter ou en périphérie du réseau physique.

Ces capacités permettent au réseau d'être « sensible aux menaces », c'est-à-dire d'être capable de détecter les menaces et de les empêcher de s'implanter dans le réseau. Ainsi, la protection de l'identité des utilisateurs, des applications et de l'infrastructure devient plus facile.

Un modèle SASE offre un réseau sensible aux menaces à l'ère du cloud public et devrait à terme améliorer la sécurité tout en réduisant la complexité et en rationalisant la gestion. Et qui dit gestion simplifiée de la sécurité, dit meilleure fluidité opérationnelle du réseau.

Diagramme SASE en un coup d'œil

Le SASE en bref

Quels sont les avantages de SASE ?

SASE n'est pas un simple produit, mais bien une nouvelle façon architecturale de mettre en œuvre les technologies réseau et de sécurité. Dans un contexte de démocratisation du cloud et du télétravail, les fournisseurs de SASE offrent aux entreprises un moyen plus flexible, plus évolutif et plus sécurisé de gérer leurs réseaux. Les entreprises comptent par ailleurs sur SASE pour simplifier leurs architectures réseau complexes de manière rentable. En appliquant une architecture SASE à leur réseau, les entreprises peuvent :

  • Améliorer la sécurité : les acteurs malveillants utilisent tous les moyens nécessaires pour attaquer un réseau. Il est donc essentiel de disposer de politiques et de services de sécurité cohérents à l'échelle du réseau pour protéger les utilisateurs, l'infrastructure et les applications, où qu'ils résident. SASE offre une solution de sécurité améliorée, facile à déployer, qui exploite des points de connexion distribués pour appliquer la politique de sécurité et prévenir les menaces afin de renforcer la sécurité de bout en bout.
  • Gagner en agilité opérationnelle : la visibilité sur tout le réseau est essentielle pour évaluer rapidement l'intégrité des applications et du réseau et identifier les activités potentiellement malveillantes. Grâce à une réduction de la complexité, les ressources existantes peuvent faire plus et voir plus loin. La convergence naturelle du réseau avec les capacités de sécurité fournit aux administrateurs système un point focal clair. La cohérence des stratégies réduit les erreurs de configuration et améliore l'efficacité globale de la sécurité.
  • Simplifier l'utilisation : auparavant, les organisations devaient router le trafic via plusieurs couches de défense vers les goulots d'étranglement que sont les pare-feu. Sans oublier tous les autres contrôles d'accès à gérer. Avec SASE, l'accent est mis sur la liaison directe de l'appareil client au cloud.
  • Améliorer les performances : SASE améliore les performances du réseau en acheminant le trafic vers le point de présence (PoP) le plus proche, ce qui réduit la latence. Il permet aux utilisateurs de se connecter directement et en toute sécurité aux applications cloud sans avoir à renvoyer le trafic vers un datacenter, ce qui améliore l'expérience utilisateur. De plus, rapprocher les sites de périphérie des utilisateurs garantit de meilleures performances pour les applications critiques.
  • Une réduction des coûts opérationnels : le SASE diminue le besoin de produits multiples (par exemple, des solutions de pare-feu, VPN ou WAN distinctes) en combinant des services réseau et de sécurité sur un framework unique, ce qui réduit les coûts opérationnels. Ce modèle basé sur le cloud élimine le besoin de matériel coûteux sur chaque site, ce qui minimise les dépenses d'investissement.

 

Comment SASE aide-t-il à sécuriser le réseau ?

SASE aide à sécuriser le réseau en combinant plusieurs fonctions de sécurité sur une plate-forme cloud native unifiée. Il répond aux problématiques de sécurité des environnements modernes et distribués où les utilisateurs, les appareils et les applications sont répartis sur plusieurs sites. SASE comprend les composants suivants :

  • Réseau étendu défini par logiciel (SD-WAN) : une approche automatisée et programmatique de la gestion de la connectivité du réseau d'entreprise et des coûts de circuit
  • Pare-feu en tant que service (FWaaS) : identifie les applications et inspecte le trafic à la recherche d'exploits et de logiciels malveillants avec une efficacité de plus de 99,8 %
  • Passerelle Web sécurisée (SWG) : protège l'accès au Web en appliquant des politiques n'autorisant que les utilisations voulues et en prévenant les menaces Web.
  • Cloud Access Security Broker (CASB) : offre une visibilité sur les applications SaaS et des contrôles précis pour garantir l'accès autorisé, la prévention des menaces et la conformité
  • Data Loss Prevention (DLP) : classe et surveille les transactions de données et garantit le respect des exigences de conformité et des règles de protection des données de l'entreprise
  • Accès réseau Zero Trust (ZTNA) : permet aux utilisateurs distants d'accéder en toute sécurité aux ressources de l'entreprise et du cloud en offrant une connectivité fiable et une sécurité constante à tous les appareils, où qu'ils se trouvent. Réduit les risques en étendant la visibilité et l'application des politiques aux utilisateurs et aux appareils distants, où qu'ils se trouvent
  • Advanced Threat Prevention : découvre les logiciels malveillants et les connexions malveillantes zero-day, y compris de botnets et de commande et contrôle, même lorsque le trafic ne peut pas être déchiffré. Applique des mécanismes de protection précis, tels que la mise en quarantaine des fichiers et des droits d'accès réduits

 

Cas d'usage de SASE

Une architecture SASE est parfaitement adaptée pour répondre à une variété de besoins réseau et de sécurité modernes. Parmi les cas d'usage les plus courants, mentionnons :

  • Sécuriser les équipes distribuées : SASE fournit un accès sécurisé aux applications cloud et sur site à l'aide de ZTNA et SWG. Où qu'ils se trouvent, les collaborateurs peuvent ainsi profiter d'une connexion très performante qui respecte les politiques de sécurité.
  • Adopter des applications cloud et SaaS : SASE permet d'accéder directement et de manière sécurisée aux applications cloud (par exemple, AWS, Microsoft 365 ou encore Salesforce) sans sans backhaul du trafic via un datacenter centralisé. Cette approche optimise les performances grâce à l'Edge Computing et au SD-WAN tout en fournissant des services de sécurité comme CASB pour contrôler l'utilisation des applications cloud et protéger les données.
  • Simplifier la gestion du réseau et de la sécurité : SASE converge le réseau et la sécurité en une plate-forme unique qui centralise le contrôle et la visibilité. Cette approche unifiée simplifie la gestion des politiques, réduit le besoin de solutions multiples et garantit une application uniforme des politiques de sécurité sur l'ensemble du réseau. 
  • Connectivité des sites distants : SASE remplace MPLS par SD-WAN, ce qui garantit une connectivité sécurisée hautes performances pour les sites distants. Des services de sécurité tels que les pare-feu de nouvelle génération (NGFW) et la protection contre les menaces sont intégrés à l'architecture, ce qui garantit que chaque site distant est protégé sans avoir besoin de matériel de sécurité sur site.
  • Mise en œuvre de la sécurité Zero Trust : SASE s'articule autour du modèle ZTNA qui vérifie en permanence l'identité des utilisateurs et des appareils et ne leur permet d'accéder qu'aux ressources spécifiques dont ils ont besoin. Cette approche limite les mouvements latéraux des menaces au sein du réseau.
  • Sécuriser l'accès Internet et SaaS : SASE tire parti de SWG et de CASB pour fournir un accès sécurisé et contrôlé aux applications SaaS et Web. Il garantit également que les politiques de sécurité sont appliquées de manière uniforme, ce qui protège les données et empêche les logiciels malveillants ou les attaques de phishing.
  • Protection des données et conformité : SASE comprend des capacités DLP qui aident les organisations à surveiller et à contrôler les mouvements de données sensibles. Sa plate-forme unifiée simplifie également l'audit et la production de rapports, et garantit ainsi le respect des réglementations telles que le RGPD, HIPAA ou PCI-DSS.
  • Optimiser les performances pour les équipes mondiales : SASE tire parti d'une architecture cloud mondiale distribuée et de l'Edge Computing pour garantir que les utilisateurs se connectent au point de présence (PoP) le plus proche. Cette approche réduit la latence et optimise les performances des applications, notamment pour les utilisateurs sur sites distants.

Pour résumer, l'architecture SASE est idéale pour les organisations qui cherchent à sécuriser leurs effectifs distribués, à adopter des applications cloud et SaaS, à simplifier la gestion du réseau et de la sécurité et à améliorer les performances tout en garantissant la protection des données et le respect de la réglementation.

 

SASE et SSE

SASE est un framework complet qui combine à la fois le réseau (par exemple, un SD-WAN) et les services de sécurité (par exemple, SWG, CASB ou encore ZTNA) en une solution cloud native unique conçue pour relier en toute sécurité les utilisateurs, les appareils et les sites distribués. SSE (Security Service Edge) est un sous-ensemble de SASE qui se concentre uniquement sur les services de sécurité, sans inclure les aspects réseau, tels que le SD-WAN. SSE sécurise l'accès aux services cloud, aux applications privées et à Internet, mais délègue la gestion et l'optimisation du réseau à d'autres solutions. En bref, SASE couvre à la fois le réseau et la sécurité, tandis que SSE se limite exclusivement aux fonctions de sécurité.

 

Solution SASE de Juniper

Plus qu'une simple solution de sécurité, Secure AI-Native Edge est un véritable atout qui aide les organisations à améliorer leurs résultats en optimisant l'efficacité opérationnelle et l'expérience utilisateur. Combiné à une sécurité ultra-efficace, il offre une protection et des performances supérieures avec une agilité opérationnelle exceptionnelle.

Avec Secure AI-Native Edge, Juniper propose la seule solution qui unifie le réseau et la sécurité dans un portail opérationnel commun intégrant une AIOps leader. De quoi améliorer la collaboration et la visibilité sur le réseau, avec à la clé, une résolution plus efficace des problèmes et des réponses plus rapides aux incidents de sécurité. 

Secure AI-Native Edge offre une sécurité complète pour les applications Web, SaaS et sur site. Il garantit aux utilisateurs un accès continu et sécurisé où qu'ils aillent et les protège efficacement contre un large éventail de cybermenaces. Combinée au SD-WAN piloté par l'IA de Juniper, la solution Secure AI-Native Edge offre une approche SASE optimale qui simplifie les opérations WAN, améliore les performances des applications cloud et garantit une connectivité sécurisée et optimisée en tout lieu.

Juniper contribue à réduire les risques grâce aux services de prévention des menaces les plus efficaces du marché pour l'inspection du trafic. Vous pouvez ainsi garantir un accès sécurisé aux applications Web, SaaS et sur site en tout lieu.

Questions fréquentes sur le SASE

Qu'est-ce que le SASE ?

SASE (Secure Access Service Edge) est un framework de cybersécurité qui combine des fonctionnalités de réseau étendu (WAN) à des services de sécurité pour répondre aux besoins d'accès dynamique et sécurisé des organisations modernes.

SASE est-il basé sur le cloud ?

Oui, SASE est conçu pour être basé sur le cloud. Il intègre des services réseau et sécurité sur une plate-forme cloud native unifiée. Cette approche centrée sur le cloud permet à SASE d'offrir évolutivité, flexibilité et gestion centralisée aux entreprises ayant des équipes dispersées, plusieurs sites distants et des environnements cloud.

Est-ce que SASE nécessite un réseau de backhaul ?

Non, SASE n'a pas besoin de backhaul au sens traditionnel du terme. Par rapport aux anciennes architectures réseau, c'est même l'un de ses principaux avantages : sans backhaul, pas de trafic redondant sur le réseau. La bande passante est ainsi libérée, et le réseau est plus efficace en général.

Qu'est-ce qu'un réseau sensible aux menaces ?

Un réseau sensible aux menaces est un réseau conçu pour détecter, réagir et atténuer les menaces de sécurité de manière proactive et en temps réel. Il intègre des mécanismes de sécurité et de Threat Intelligence avancés pour surveiller le trafic, identifier les vulnérabilités potentielles et agir rapidement pour neutraliser les activités malveillantes avant qu'elles causent des dommages. La caractéristique clé d'un réseau sensible aux menaces est sa capacité à évaluer et à s'adapter en permanence à l'évolution des cybermenaces.

SASE est-il une solution rentable ?

Oui, SASE est généralement considéré comme une solution rentable pour plusieurs raisons : l'unification des outils de sécurité et de réseau, la réduction des coûts de matériel et de maintenance, la meilleure utilisation de la bande passante et le gain d'évolutivité. Son architecture cloud native élimine le besoin de matériel coûteux, tandis que les modèles de tarification par abonnement offrent une grande flexibilité financière. De plus, SASE optimise les performances du réseau et améliore la sécurité, ce qui réduit à la fois les dépenses opérationnelles et les risques financiers associés aux cybermenaces. C'est bien un investissement responsable pour les entreprises modernes.