Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.



Quels sont les principaux composants de SASE ?

SASE associe un réseau SD-WAN et des capacités de sécurité intégrées dans une approche « cloud native » qui fait passer la sécurité d’une approche centrée sur le flux de trafic à une approche centrée sur l’identité.

Les architectures réseau antérieures étaient conçues avec des points d’application de politiques réseau spécifiques et le trafic était acheminé de force – créant souvent des points d’agrégation et des goulets d’étranglement très inefficaces en cours de route – à travers ces points pour appliquer les contrôles de sécurité. L’approche de SASE est tout à fait opposée en cela que l’application de la sécurité se fait là où se trouve le flux de trafic : les points d’extrémité des clients et des applications, ainsi que des passerelles et des proxies stratégiquement placés le long du chemin le plus efficace déjà établi.

SASE permet une sécurité omniprésente et directe du client vers le cloud, basée sur l’identité et le contexte de l’utilisateur, entièrement intégrée au routage WAN optimal du client vers le cloud. Cela permet de réaliser une architecture réseau flexible et évolutive offrant une sécurité intégrée ainsi que des performances optimales le long du périmètre défini par logiciel (Software-Defined Perimeter, SDP).

Les quatre facteurs sur lesquels repose SASE

Les politiques en matière de sécurité régissant les sessions des utilisateurs pour accéder aux ressources ou aux applications sont découplées de l’emplacement de l’utilisateur, du dispositif et de la ressource, et sont plutôt basées sur quatre facteurs :

  1. L’identité de l’entité qui demande l’accès
  2. Le contexte de la session (par exemple, l’état de santé et le comportement de l’utilisateur et/ou du dispositif, ou la sensibilité des ressources auxquelles on accède)
  3. Les politiques en matière de sécurité et de conformité accordant des privilèges d’accès dans chaque situation spécifique
  4. L’analyse et l’évaluation des risques en cours pour chaque session

Tissu de connexion SASE

SASE fournit un tissu de connexion sécurisé entre le client SDP et la périphérie du service, y compris les clouds publics et privés, les centres de données, les réseaux privés d’entreprise et gouvernementaux, Internet, les grands bureaux, les succursales, les bureaux à domicile, les sites mobiles ou temporaires, les utilisateurs mobiles, les utilisateurs de Work-from-Anywhere (WFA), les appareils mobiles, le BYOD, l’IdO, les emplacements sur site et hors site.

SASE prédit l’accès en fonction de l’identité d’un individu, d’un appareil, d’une application ou d’un service et du contexte dans lequel ils se connectent les uns aux autres. SASE fournit à l’utilisateur du WFA un accès à toutes les applications et données, quel que soit l’endroit où se trouve l’utilisateur ou les technologies de transport entre eux, ou la propriété des réseaux de transport.

Les capacités et attributs de SASE

Une solution SASE de premier plan est une solution purement logicielle qui présente les caractéristiques suivantes :


Identité
  • Accès par session basé sur l’identité
  • Authentification de niveau entreprise pour chaque tentative d’accès
Architecture et transport
  • Architecture du cloud natif
  • Prend en charge tous les types de bordures le long du SDP
  • Indépendance vis-à-vis du transport : tout accès Internet câblé, sans fil ou cellulaire disponible
  • Une empreinte SD-WAN distribuée à l’échelle mondiale avec une intelligence de chemin de routage optimisée
  • Permet une connectivité sécurisée entre le client et le cloud
  • Analyse cryptée du trafic
  • Des passerelles et des proxies distribués à l’échelle mondiale avec une sécurité intégrée qui s’intègre de manière transparente aux méthodes d’authentification de l’entreprise
  • Isolation multi-locataire
  • Accès micro-segmenté à toutes les ressources et à tous les actifs
Pilotage par les politiques
  • Approche de confiance zéro pour tous les utilisateurs, appareils et ressources, indépendamment de leur localisation
  • Application distribuée et cohérente de la politique de sécurité de l’entreprise par session, indépendamment de l’endroit où se trouve l’utilisateur, du dispositif utilisé, du bien auquel il accède ou de l’endroit où se trouve le bien
  • Accès au moindre privilège, au besoin de savoir, en fonction des applications
Orchestration et visibilité
  • Permet le diagnostic et l’atténuation continus (Continuous Diagnostics and Mitigation, CDM)
  • Évaluation et surveillance continues des risques et de la confiance
  • Analyse avancée et évaluation des risques grâce à l’apprentissage automatique et à l’intelligence artificielle (ML/AI)
  • Visibilité et contrôle complets des utilisateurs, des applications et des risques

Les composants de SASE

SASE fait converger les capacités de mise en réseau et de sécurité dans un modèle cloud natif à service unique, et comprend plusieurs composants distincts.

Plus qu’une technologie unique, SASE est un ensemble complet de technologies qui intègre la sécurité dans la structure globale du réseau afin qu’elle soit toujours disponible, où que se trouve l’utilisateur, où se trouve l’application ou la ressource à laquelle il accède, ou quelle que soit la combinaison de technologies de transport qui relie l’utilisateur à la ressource.


WAN défini par logiciel (SD-WAN)

La technologie Secure SD-WAN constitue la base d’une solution SASE en permettant des performances optimales et un routage intelligent dans une architecture réseau client au cloud. Les principales capacités comprennent :

  • Une rampe d’accès et une rampe de sortie sécurisées pour le trafic
  • Connectivité multi-cloud
  • Fonctions de sécurité UTM intégrées
  • Exploitation des réseaux dorsaux basés sur Internet
  • Acheminement du trafic depuis n’importe où
  • DIA, accès direct au cloud et orientation intelligente du trafic
  • Sélection de chemins pour optimiser l’expérience utilisateur cohérente
  • Cryptage en ligne
  • Routage avancé et sélection dynamique des chemins
  • Sensibilité aux applications et classification du trafic
  • Passerelles distribuées à l’échelle mondiale
  • Optimisation de la latence
  • Capacités d’auto-réparation du réseau

Pare-feu : NGFW et Firewall-as-a-Service (FWaaS)

Un pare-feu de nouvelle génération (Next-Generation Firewall, NGFW) basé dans le cloud est une solution logicielle évolutive et adaptée aux applications qui permet aux entreprises d’éliminer les difficultés liées aux solutions traditionnelles basées sur des appareils, en offrant un ensemble complet de fonctions UTM. Une solution NGFW va au-delà d’un pare-feu dynamique en offrant des fonctions telles que la protection contre les menaces avancées, la visibilité du Web et du réseau, les renseignements sur les menaces et le contrôle d’accès. Au minimum, les organisations doivent s’attendre à ce que leur déploiement NGFW offre les éléments suivants :

  • Contrôle d’accès des utilisateurs et des applications
  • Détection et prévention des intrusions
  • Détection avancée des logiciels malveillants
  • Intelligence des menaces et du réseau
  • Automatisation et orchestration

Passerelle Web sécurisée (SWG)

Une SWG protège les utilisateurs et les appareils du WFA contre les menaces provenant d’Internet en empêchant les appareils des utilisateurs qui surfent sur le Web d’être infectés par des logiciels indésirables ou des logiciels malveillants et en appliquant la politique de conformité de l’entreprise et de la réglementation. Une SWG comprend :

  • L’application de la sécurité Internet et des politiques de conformité
  • Le filtrage du trafic Internet malveillant grâce à des fonctionnalités UTM telles que le filtrage des URL, l’antivirus, l’antimalware, l’IDS/IPS, la prévention des attaques de type « jour zéro » (zero day), la protection contre le phishing, etc.
  • Capacités d’identification et de contrôle des applications
  • Fonctions de prévention des pertes/fuites de données (Data Loss/Leakage Prevention, DLP)
  • Isolation du navigateur à distance (Remote Browser Isolation, RBI) pour analyser les sessions des utilisateurs afin de détecter les risques, ce qui permet aux utilisateurs de naviguer en toute sécurité dans le paysage menaçant des menaces actuelles. Les sites Web à risque sont affichés sur les navigateurs distants, tandis que les pages aseptisées (principalement sous forme de fichiers image) sont affichées sur le navigateur de l’utilisateur. Le RBI permet une navigation anonyme et un accès libre et sans risque aux sites Internet.

Les SWG peuvent être mises en œuvre sous forme de matériel sur site, d’équipements virtuelles, de services basés dans le cloud ou en mode hybride, en combinant sur site et dans le cloud.

Courtier en sécurité d’accès au cloud (Cloud Access Security Broker, CASB)

Un CASB offre des produits et des services pour remédier aux déficits de sécurité dans l’utilisation des services dans le cloud par une organisation. Il répond au besoin de sécuriser les services dans le cloud que les utilisateurs adoptent de plus en plus, et dans le déploiement croissant de l’accès direct de cloud à cloud. Un CASB fournit un emplacement central pour la politique et la gouvernance simultanées de plusieurs services dans le cloud pour les utilisateurs et les appareils, ainsi qu’une visibilité granulaire et un contrôle des activités des utilisateurs et des données sensibles.

Un CASB offre cinq fonctionnalités de sécurité essentielles :

  • Découverte des applications dans le cloud
  • Sécurité des données
  • Contrôle d’accès adaptatif
  • Détection des logiciels malveillants
  • L’analyse du comportement des utilisateurs et des entités (UEBA), qui permet d’appliquer des politiques en fonction de modèles comportementaux inhabituels du trafic vers/depuis les services dans le cloud

Les CASB peuvent être des points d’application des politiques de sécurité sur site ou dans le cloud, placés entre les consommateurs de services dans le cloud et les fournisseurs de services dans le cloud afin d’injecter des politiques de sécurité d’entreprise lors de l’accès aux données ou aux applications dans le cloud.

Accès réseau à confiance zéro (Zero Trust Network Access, ZTNA)

ZTNA est un cadre de technologies travaillant ensemble, basé sur le principe que rien n’est fiable : ni les utilisateurs, ni les dispositifs, ni les données, ni les charges de travail, ni les emplacements, ni le réseau. La fonction principale de ZTNA dans une solution SASE est d’authentifier les utilisateurs auprès des applications. L’identité avancée basée sur le contexte et les rôles, combinée à l’authentification multi-factorielle (MFA), est essentielle pour sécuriser l’accès des utilisateurs et des dispositifs, que ce soit sur le réseau ou hors réseau.

Il existe deux modèles généraux de mise en œuvre de ZTNA :

ZTNA à l’initiative du client

Un agent logiciel installé sur le périphérique envoie son contexte de sécurité et ses informations d’identification à un contrôleur SDP pour authentification. Ce modèle convient aux dispositifs gérés.

ZTNA à l’initiative du service

Un connecteur SDP (ou ZTNA) installé avec l’application établit et maintient une connexion sortante avec le fournisseur de cloud computing. Les utilisateurs doivent s’authentifier auprès du fournisseur pour accéder aux applications protégées. Ce modèle convient aux appareils non gérés, car aucun logiciel spécial n’est requis sur l’appareil final.

Livre électronique gratuit

SASE
pour les nuls

Découvrez le contexte commercial et technique de SASE, y compris les meilleures pratiques, les déploiements réels chez les clients et les avantages d’une organisation dotée de SASE.