Une introduction rapide à l'architecture SASE

SASE est un modèle architectural qui fait converger les capacités de mise en réseau et de sécurité vers une plateforme cloud-native à service unique qui fait passer la sécurité d'une approche centrée sur le flux de trafic à une approche centrée sur l'identité. SASE englobe un ensemble de technologies qui intègrent la sécurité dans le tissu global du réseau afin qu'elle soit toujours disponible, quel que soit l'endroit où se trouve l'utilisateur, l'application ou la ressource à laquelle il accède, ou la combinaison de technologies de transport qui relie l'utilisateur à la ressource.

SASE permet une sécurité omniprésente et directe du client vers le nuage, basée sur l'identité de l'utilisateur et le contexte, entièrement intégrée à un routage optimal du client vers le nuage sur le réseau étendu. Cela permet de réaliser une architecture réseau flexible et évolutive qui fournit une sécurité intégrée ainsi que des performances optimales le long du périmètre défini par logiciel (Software-Defined Perimeter, SDP).

Architecture SASE de haut niveau

Dans la représentation Gartner de l'architecture SASE , le cœur de SASE est composé de.. :

  1. Les utilisateurs, les appareils, les applications et les ressources, et
  2. L'identité, les risques, les rôles, les profils, les privilèges et les politiques qui régissent l'accès entre eux.

Autour de ce noyau se trouve la couche extérieure de SASE , composée de toutes les technologies de sécurité et de mise en réseau nécessaires pour connecter de manière sécurisée les entités du noyau : le périmètre défini par logiciel (SDP). Le SDP suit les connexions transitoires entre les entités centrales, plutôt que les périmètres rigides des architectures de réseau traditionnelles qui s'alignent sur des emplacements fixes, la géographie, les zones de réseau physique, l'adressage IP ou les bâtiments.

Cinq composants SASE participent à la définition et à la protection du SDP : ces composants sont engagés dans une connexion en cas de besoin (comme un NGFW, un SWG ou un CASB), ou sont des capacités fondamentales faisant partie intégrante du tissu de SASE (comme le SD-WAN et le ZTNA).

  • Secure SD-WAN
  • Passerelle Web sécurisée (SWG)
  • Courtier en sécurité de l'accès au nuage (CASB)
  • Accès au réseau sans confiance (ZTNA)
  • Pare-feu : NGFW et Firewall-as-a-Service (FWaaS)
Architecture SASE
L'architecture SASE
SASE Convergence et inversion des architectures réseau et de sécurité

Architecture SD-WAN

Les architectures SD-WAN ont permis aux organisations de tirer parti de la connectivité directe à l'internet pour activer les flux de travail du client vers le cloud.

Architecture WAN traditionnelle

Les architectures WAN traditionnelles utilisent l'internet (si elles l'utilisent) uniquement comme une connexion point à point - protégée par la technologie VPN - entre un utilisateur hors site et le siège ou le centre de données. De là, où la sécurité et les politiques sont appliquées, le trafic est acheminé vers des destinations en nuage. Cette conception souffre de problèmes de latence et d'évolutivité.

Architecture WAN traditionnelle
Architecture WAN traditionnelle

Architecture SD-WAN

Les architectures SD-WAN - basées sur les principes du Software-Defined Networking (SDN) - utilisent l'internet comme un réseau maillé de transport, avec les destinations du centre de données ou du cloud également et directement accessibles par tout utilisateur Work-from-Anywhere (WFA). Cette conception minimise la latence et optimise l'évolutivité, mais nécessite une SASE pour permettre l'application de la sécurité dans cet environnement de connexions any-to-any où les termes "on-prem" et "off-prem" ont perdu de leur signification.

illus-traditionnel-vs
Architecture SD-WAN

Architecture du SDP

Le concept SDP s'inspire du modèle de l'Agence des systèmes d'information de la défense (DISA) de 2007, qui consiste à restreindre les connexions à ceux qui ont besoin de savoir, plutôt que de faire confiance à tout ce qui se trouve à l'intérieur du périmètre fixe d'un réseau. En 2013, le groupe de travail SDP de la Cloud Security Alliance (CSA) a popularisé le SDP pour créer des réseaux de bout en bout hautement sécurisés et fiables, destinés à une large utilisation par les entreprises et intégrant également :

  • Normes de l'Institut national des normes et de la technologie (NIST)
  • Principes de confiance zéro pour faciliter l'accès sécurisé entre les hôtes, quel que soit leur emplacement

Un attribut fondamental d'une architecture SDN est la séparation des plans de contrôle, de données et de gestion. Cette séparation permet de contrôler à la fois les plans de contrôle SD-WAN et SDP dans un réseau, ce qui permet de mettre en œuvre à la fois le SD-WAN et le SD-Security dans le même composant de contrôle logiciel.

Architecture du SDP
Architecture périmétrique définie par logiciel

SWG Architecture

Un SWG protège les entreprises et les utilisateurs contre l'accès et l'infection par du trafic Web malveillant, ainsi que contre la contamination par des sites Web piratés contenant des logiciels malveillants ou des virus.

Sur la base du contexte de l'utilisateur, de l'appareil et de l'emplacement, le groupe de travail évalue la politique d'application et n'accorde l'accès que si la politique autorise la demande sur la base du contexte d'identité.

Pare-feu

Prendre des décisions au cas par cas

illus-swg-architecture
Pas de terminaison, analyse de flux uniquement

SWG - Proxys

Attendre de recevoir la demande complète du client avant de prendre une décision

illus-swg-architecture
Fin de session, application des règles

Architecture de la CASB

Un CASB offre un point centralisé permettant d'appliquer de manière simultanée des politiques et des mesures de gouvernance sur plusieurs services cloud, tant pour les utilisateurs que pour les appareils, tout en assurant une visibilité et un contrôle précis sur les activités des utilisateurs et les données sensibles. Il existe deux options de déploiement pour les CASB : le mode API et le mode proxy.

Mode API

illus-casb-architecture-api

Mode Proxy

illus-casb-architecture-proxy

ZTNA Architecture

Le ZTNA est à la base de l'architecture SDP. Le principe fondamental du ZTNA consiste à ne faire confiance à rien et à authentifier chaque tentative d'accès en fonction de l'identité et du contexte. Au sein d'une SASE , la fonction principale du ZTNA est d'authentifier les utilisateurs auprès des applications en utilisant une identité avancée basée sur le contexte et les rôles, combinée à l'authentification multifactorielle (MFA).

ZTNA Architecture

ebook gratuit

SASE pour les nuls

Découvrez le contexte commercial et technique du SASE les meilleures pratiques, les déploiements réels chez les clients et les avantages offerts par une organisation SASE .

Obtenir le livre électronique
SASE les nuls

En savoir plus

Trouvez plus de recherches, d'analyses et d'informations sur SASE (Secure Access Service Edge), les réseaux, la sécurité, le SD-WAN et le cloud auprès de leaders d'opinion, d'analystes et d'experts de l'industrie.

Webinaire à la demande : 60 min

Secure Access Service EdgeSASE

Secure Access Service Edge, ou SASE, est un concept de cybersécurité émergent. Dans cette vidéo, vous comprendrez comment les capacités clés du SASE répondent aux exigences d'un réseau de plus en plus étendu et aux défis de la transformation numérique de votre entreprise.

En savoir plus

10:08 min Vidéo

DémonstrationNetworks et sécurité de Versa Networks

Une démonstration complète vous présentant les bases de Versa , l'intégration des appareils, les modèles de services d'application, la sécurité et le dépannage.

En savoir plus

Webinaire à la demande : 60 min

Sécurité intégrée complète

Découvrez comment une architecture de sécurité intégrée complète peut améliorer considérablement la protection contre les menaces, les performances et l'expérience des applications.

En savoir plus