Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.

Une introduction rapide à l’architecture SASE


SASE fait converger toutes les capacités de mise en réseau et de sécurité vers une architecture nichée dans le cloud et à service unique, qui fait passer les questions de sécurité d’une approche centrée sur le flux de trafic vers une approche centrée sur l’identité. SASE est un ensemble de technologies qui intègre la sécurité dans la structure du réseau mondial afin de la rendre accessible en permanence, indépendamment de l’endroit où se trouve l’utilisateur, de la localisation de l’application ou de la ressource à laquelle il accède, ou encore de la combinaison de technologies de transport qui relie l’utilisateur à la ressource.

SASE permet une sécurité omniprésente et directe du client vers le cloud, basée sur l’identité et le contexte de l’utilisateur, entièrement intégrée au routage WAN optimal du client vers le cloud. Cela permet de réaliser une architecture réseau flexible et évolutive qui offre une sécurité intégrée et des performances optimales à la périphérie du périmètre défini par logiciel (SDP).

L’architecture d’identité
SASE – Convergence et inversion des architectures de réseau et de sécurité

Architecture SASE de haut niveau


Dans la représentation que Gartner fait de l’architecture SASE, le noyau dur de SASE est composé de :

  1. Des utilisateurs, des appareils, des applications et des ressources
  2. L’identité, les risques, les rôles, les profils, les privilèges et les politiques qui régulent les relations entre ces composants

Autour de ce noyau gravite la couche externe SASE, qui est, elle aussi, composée de toutes les technologies de sécurité et de mise en réseau nécessaires pour connecter en toute sécurité les entités du noyau : le périmètre défini par logiciel (SDP). Le SDP assure le suivi des connexions transitoires entre les entités centrales, plutôt que le suivi des périmètres rigides des architectures de réseau traditionnelles qui sont alignées sur des emplacements fixes, la géographie, les zones de réseau physique, l’adressage IP ou les bâtiments.

Cinq composants SASE sont impliqués dans la définition et la protection du SDP : ces composants interviennent dans une connexion au besoin (il s’agit de NGFW, SWG ou CASB), ou représentent des capacités fondamentales faisant partie intégrante de la structure du SASE (à savoir SD-WAN et ZTNA).

  • Secure SD-WAN
  • Passerelle Web sécurisée (SWG)
  • Courtier en sécurité d’accès au cloud (Cloud Access Security Broker, CASB)
  • Accès réseau à confiance zéro (Zero Trust Network Access, ZTNA)
  • Pare-feu : NGFW et Firewall-as-a-Service (FWaaS)

Architecture du SD-WAN

Les architectures du SD-WAN permettent aux entreprises de tirer le meilleur parti de la connectivité directe à l’Internet pour faciliter les flux de travail du client vers le cloud.


Architecture traditionnelle du WAN
Architecture traditionnelle du WAN

Les architectures traditionnelles du WAN utilisent Internet (pour autant qu’elles l’utilisent) exclusivement comme une connexion point à point – protégée par la technologie VPN – entre un utilisateur hors site et les bureaux centraux ou le centre de données. De là, qui représente le lieu d’application de la sécurité et des politiques, le trafic est acheminé vers des destinations dans le cloud. Cette conception souffre de déficits liés à la latence et à l’évolutivité.

Architecture du SD-WAN
Architecture du SD-WAN

Les architecture du SD-WAN – basées sur les principes du réseau défini par logiciel (SDN) – utilisent l’Internet comme un réseau dorsal de transport maillé, les destinations du centre de données ou du cloud étant accessibles directement et de la même manière par tout utilisateur de Work-from-Anywhere (WFA). Cette conception minimise le temps de latence et optimise l’évolutivité, mais a besoin de SASE pour déclencher la mise en œuvre de la sécurité dans cet environnement de connexions de type « any-to-any » où les termes « sur site » et « hors site » ont perdu leur signification.

Architecture SDP

Le concept de SDP est inspiré du modèle de l’Agence des systèmes d’information de la défense (DISA) de 2007, selon lequel il faut limiter les connexions aux personnes indispensables, plutôt que de faire confiance à tous ceux qui se trouvent dans le champ du périmètre fixe. En 2013, le groupe de travail SDP de la Cloud Security Alliance (CSA) a vulgarisé le SDP pour créer des réseaux de bout en bout hautement sécurisés et de confiance permettant une large utilisation par les entreprises, en y intégrant également :

  • Normes de l’Institut national des normes et de la technologie (NIST)
  • Les principes de confiance zéro facilitent l’accès sécurisé entre les hôtes, indépendamment de leurs emplacements.

Un attribut fondamental d’une architecture SDN est la séparation des plans de contrôle, de données et de gestion. Cette séparation permet de contrôler à la fois le plan de contrôle SD-WAN et le plan de contrôle SDP dans un réseau, et par conséquent de mettre en œuvre à la fois le SD-WAN et la sécurité SD dans le même composant de contrôle logiciel.

Architecture du périmètre défini par logiciel

Architecture SWG

Une SWG protège les entreprises et les utilisateurs des accès et infections par des trafics Web malveillants. Elle les protège également contre des contaminations par des sites Web espions contenant des menaces ou des virus.

En se basant sur un contexte utilisateur, d’appareil ou de contexte, une SWG évalue la politique de l’application et les droits d’accès uniquement si la politique permet une requête sur la base d’un contexte identitaire.

Les pare-feu
prennent des décisions sur une base de paquet par paquet
Pas de fin,
numérisation du flux uniquement
SWG – Les proxies
reçoivent une requête complète de la part du client avant de procéder à la prise de décisions
Fin de la session,
mise en œuvre de la politique

Architecture CASB

Un CASB fournit un emplacement central pour la politique et la gouvernance simultanées de plusieurs services dans le cloud pour les utilisateurs et les appareils, ainsi qu’une visibilité granulaire et un contrôle des activités des utilisateurs et des données sensibles. Il existe deux options de déploiement pour les CASB, le mode API et le mode proxy.

Mode API
Mode proxy

Architecture ZTNA

Le ZTNA est à la base de l’architecture SDP. La raison d’être du ZTNA est de ne pas faire confiance à n’importe quel appareil et d’authentifier chaque tentative d’accès sur la base de l’identité et du contexte. La fonction principale du ZTNA dans une architecture SASE est d’authentifier les utilisateurs auprès des applications en utilisant une identité avancée basée sur le contexte et les rôles, combinée à une authentification multi-factorielle (MFA).

Livre électronique gratuit

SASE
pour les nuls

Découvrez le contexte commercial et technique de SASE, y compris les meilleures pratiques, les déploiements réels chez les clients et les avantages d’une organisation dotée de SASE.