Une introduction rapide à l'architecture SASE

SASE est un modèle architectural qui fait converger les capacités de mise en réseau et de sécurité vers une plateforme cloud-native à service unique qui fait passer la sécurité d'une approche centrée sur le flux de trafic à une approche centrée sur l'identité. SASE englobe un ensemble de technologies qui intègrent la sécurité dans le tissu global du réseau afin qu'elle soit toujours disponible, quel que soit l'endroit où se trouve l'utilisateur, l'application ou la ressource à laquelle il accède, ou la combinaison de technologies de transport qui relie l'utilisateur à la ressource.

SASE permet une sécurité omniprésente et directe du client vers le nuage, basée sur l'identité de l'utilisateur et le contexte, entièrement intégrée à un routage optimal du client vers le nuage sur le réseau étendu. Cela permet de réaliser une architecture réseau flexible et évolutive qui fournit une sécurité intégrée ainsi que des performances optimales le long du périmètre défini par logiciel (Software-Defined Perimeter, SDP).

L'architecture d'identité SASE
SASE- Convergence et inversion des architectures de réseau et de sécurité
Architecture SASE

Architecture SASE de haut niveau

Dans la représentation Gartner de l'architecture SASE , le cœur de SASE est composé de.. :

  1. Les utilisateurs, les appareils, les applications et les ressources, et
  2. L'identité, les risques, les rôles, les profils, les privilèges et les politiques qui régissent l'accès entre eux.

Autour de ce noyau se trouve la couche extérieure de SASE , composée de toutes les technologies de sécurité et de mise en réseau nécessaires pour connecter de manière sécurisée les entités du noyau : le périmètre défini par logiciel (SDP). Le SDP suit les connexions transitoires entre les entités centrales, plutôt que les périmètres rigides des architectures de réseau traditionnelles qui s'alignent sur des emplacements fixes, la géographie, les zones de réseau physique, l'adressage IP ou les bâtiments.

Cinq composants SASE participent à la définition et à la protection du SDP : ces composants sont engagés dans une connexion en cas de besoin (comme un NGFW, un SWG ou un CASB), ou sont des capacités fondamentales faisant partie intégrante du tissu de SASE (comme le SD-WAN et le ZTNA).

  • SD-WAN sécurisé
  • Passerelle Web sécurisée (SWG)
  • Courtier en sécurité de l'accès au nuage (CASB)
  • Accès au réseau sans confiance (ZTNA)
  • Pare-feu : NGFW et Firewall-as-a-Service (FWaaS)

Architecture SD-WAN

Les architectures SD-WAN ont permis aux organisations de tirer parti de la connectivité directe à l'internet pour activer les flux de travail du client vers le cloud.

Architecture WAN traditionnelle

Architecture WAN traditionnelle

Architecture WAN traditionnelle

Les architectures WAN traditionnelles utilisent l'internet (si elles l'utilisent) uniquement comme une connexion point à point - protégée par la technologie VPN - entre un utilisateur hors site et le siège ou le centre de données. De là, où la sécurité et les politiques sont appliquées, le trafic est acheminé vers des destinations en nuage. Cette conception souffre de problèmes de latence et d'évolutivité.

Architecture SD-WAN

Architecture SD-WAN

Architecture SD-WAN

Les architectures SD-WAN - basées sur les principes du Software-Defined Networking (SDN) - utilisent l'internet comme un réseau maillé de transport, avec les destinations du centre de données ou du cloud également et directement accessibles par tout utilisateur Work-from-Anywhere (WFA). Cette conception minimise la latence et optimise l'évolutivité, mais nécessite une SASE pour permettre l'application de la sécurité dans cet environnement de connexions any-to-any où les termes "on-prem" et "off-prem" ont perdu de leur signification.

Architecture du SDP

Le concept SDP s'inspire du modèle de l'Agence des systèmes d'information de la défense (DISA) de 2007, qui consiste à restreindre les connexions à ceux qui ont besoin de savoir, plutôt que de faire confiance à tout ce qui se trouve à l'intérieur du périmètre fixe d'un réseau. En 2013, le groupe de travail SDP de la Cloud Security Alliance (CSA) a popularisé le SDP pour créer des réseaux de bout en bout hautement sécurisés et fiables, destinés à une large utilisation par les entreprises et intégrant également :

  • Normes de l'Institut national des normes et de la technologie (NIST)
  • Principes de confiance zéro pour faciliter l'accès sécurisé entre les hôtes, quel que soit leur emplacement

Un attribut fondamental d'une architecture SDN est la séparation des plans de contrôle, de données et de gestion. Cette séparation permet de contrôler à la fois les plans de contrôle SD-WAN et SDP dans un réseau, ce qui permet de mettre en œuvre à la fois le SD-WAN et le SD-Security dans le même composant de contrôle logiciel.

Architecture périmétrique définie par logiciel
Architecture du SDP

 

SWG Architecture

Un GTS protège les entreprises et les utilisateurs contre l'accès et l'infection par du trafic web malveillant, ainsi que contre la contamination par des sites web détournés contenant des logiciels malveillants ou des virus.

Sur la base du contexte de l'utilisateur, de l'appareil et de l'emplacement, le groupe de travail évalue la politique d'application et n'accorde l'accès que si la politique autorise la demande sur la base du contexte d'identité.

Pare-feu
Prendre des décisions sur unebase
paquet par paquet

SWG Architecture

Pas de terminaison,
Balayage de flux uniquement
SWGs - Proxies
Recevoir une demande complète du client
avant de prendre des décisions

SWG Architecture

Fin de session,
Mise en œuvre de la politique

Architecture de la CASB

Un CASB fournit un emplacement central pour la politique et la gouvernance simultanées à travers de multiples services en nuage pour les utilisateurs et les appareils, ainsi qu'une visibilité granulaire et un contrôle sur les activités des utilisateurs et les données sensibles. Il existe deux options de déploiement pour les CASB : le mode API et le mode proxy.

Mode API

Architecture de la CASB

Mode Proxy

Architecture de la CASB

ZTNA Architecture

ZTNA est à la base de l'architecture SDP. L'essence de ZTNA est de ne faire confiance à personne et d'authentifier chaque tentative d'accès sur la base de l'identité et du contexte. La fonction principale de ZTNA dans une architecture SASE est d'authentifier les utilisateurs aux applications en utilisant une identité avancée basée sur le contexte et le rôle, combinée à une authentification multifactorielle (MFA).

ZTNA Architecture

 

Livre électronique gratuit

SASE pour les nuls

Découvrez le contexte commercial et technique de SASE , y compris les meilleures pratiques, les déploiements réels chez les clients et les avantages qui découlent d'une organisation dotée de SASE .

Obtenir le livre électronique

En savoir plus

Trouvez plus de recherches, d'analyses et d'informations sur SASE (Secure Access Service Edge), les réseaux, la sécurité, le SD-WAN et le cloud auprès de leaders d'opinion, d'analystes et d'experts de l'industrie.

 

 

Webinaire à la demande : 60 min

Secure Access Service EdgeSASE

Secure Access Service Edge, ou SASE, est un concept de cybersécurité émergent. Dans cette vidéo, vous comprendrez comment les capacités clés du SASE répondent aux exigences d'un réseau de plus en plus étendu et aux défis de la transformation numérique de votre entreprise.

 

 

 

10:08 min Vidéo

Démonstration du SD-WAN et de la sécurité de Versa Networks

Une démonstration complète vous permettant d'acquérir les bases de la terminologie Versa, de l'intégration des appareils, des modèles de services d'application, de la sécurité et du dépannage.

 

 

 

Webinaire à la demande : 60 min

Sécurité intégrée complète

Découvrez comment une architecture de sécurité intégrée complète peut améliorer considérablement la protection contre les menaces, les performances et l'expérience des applications.