Quelles sont les principales composantes de SASE ?
SASE combine le réseau SD-WAN et les capacités de sécurité intégrées d'une manière " cloud-native " qui fait passer la sécurité d'une approche centrée sur le flux de trafic à une approche centrée sur l'identité.
Les anciennes architectures réseau étaient conçues avec des points d'application de politiques réseau spécifiques et acheminaient de force le trafic - créant souvent des points d'agrégation et des goulots d'étranglement très inefficaces - à travers ces points pour mettre en œuvre les contrôles de sécurité. L'approche de SASEest exactement l'inverse, elle amène l'application de la sécurité là où se trouve le flux de trafic : les terminaux des clients et des applications, ainsi que des passerelles et des proxys stratégiquement placés le long du chemin le plus efficace déjà établi.
SASE permet une sécurité omniprésente et directe du client vers le nuage, basée sur l'identité de l'utilisateur et le contexte, entièrement intégrée à un routage WAN optimal du client vers le nuage. Cela permet de réaliser une architecture réseau flexible et évolutive offrant une sécurité intégrée ainsi que des performances optimales le long du périmètre défini par logiciel (Software-Defined Perimeter, SDP).
Quatre facteurs sur lesquels repose le SASE
Les politiques de sécurité régissant les sessions d'accès aux ressources ou aux applications sont dissociées de la localisation de l'utilisateur, de l'appareil et de la ressource, et sont basées sur quatre facteurs :
- L'identité de l'entité qui demande l'accès
- le contexte de la session (par exemple, l'état de santé et le comportement de l'utilisateur et/ou de l'appareil, ou la sensibilité des ressources auxquelles on accède)
- Les politiques de sécurité et de conformité accordant des privilèges d'accès dans chaque situation spécifique
- Analyse continue et évaluation des risques pour chaque session
SASE Connecting Fabric
SASE fournit une structure de connexion sécurisée entre le client SDP et la périphérie du service, y compris les nuages publics et privés, les centres de données, les entreprises privées et les réseaux gouvernementaux, Internet, les grands bureaux, les succursales, les bureaux à domicile, les sites mobiles ou temporaires, les utilisateurs mobiles, les utilisateurs de Work-from-Anywhere (WFA), les appareils mobiles, BYOD, IoT, les sites sur site et hors site.
SASE prédit l'accès en fonction de l'identité d'une personne, d'un appareil, d'une application ou d'un service et du contexte dans lequel ils se connectent les uns aux autres. SASE permet à l'utilisateur du WFA d'accéder à toutes les applications et à toutes les données, quel que soit l'endroit où se trouve l'utilisateur, les technologies de transport qui le relient ou la propriété des réseaux de transport.
Les capacités et les attributs de SASE
Une solution SASE de premier plan est une solution purement logicielle qui présente les caractéristiques suivantes :
Identité
- Accès par session basé sur l'identité
- Authentification de niveau entreprise pour chaque tentative d'accès
Architecture et transport
- Architecture native en nuage
- Prise en charge de tous les types d'arêtes le long du SDP
- Indépendance en matière de transport : tout accès à l'internet par câble, sans fil ou cellulaire.
- Une empreinte SD-WAN distribuée à l'échelle mondiale avec des chemins d'acheminement optimisés
- Permet une connectivité sécurisée entre le client et le nuage
- Analyse chiffrée du trafic
- Passerelles et proxies distribués à l'échelle mondiale et dotés d'une sécurité intégrée qui s'intègre de manière transparente aux méthodes d'authentification de l'entreprise.
- Isolation multi-tenant
- Accès micro-segmenté à toutes les ressources et à tous les actifs
Orienté par la politique
- Approche de confiance zéro pour tous les utilisateurs, appareils et ressources, indépendamment de l'endroit où ils se trouvent
- Application distribuée et cohérente de la politique de sécurité de l'entreprise par session, indépendamment de l'endroit où se trouve l'utilisateur, de l'appareil qu'il utilise, du bien auquel il accède ou de l'endroit où se trouve le bien.
- Accès selon le principe du moindre privilège, du besoin d'en connaître et de la prise en compte des applications
Orchestration et visibilité
- Permet un diagnostic et une atténuation continus (CDM)
- Évaluation et contrôle continus des risques et de la confiance
- Analyses avancées et évaluations des risques exploitant l'apprentissage automatique et l'intelligence artificielle (ML/AI).
- Visibilité et contrôle complets des utilisateurs, des applications et des risques
Les composantes du SASE
SASE fait converger les capacités de mise en réseau et de sécurité dans un modèle de service unique basé sur l'informatique en nuage, et comprend plusieurs composants distincts.
SASE est plus qu'une simple technologie, c'est un ensemble de technologies qui intègre la sécurité dans le tissu global du réseau, de sorte qu'elle est toujours disponible, quel que soit l'endroit où se trouve l'utilisateur, l'application ou la ressource à laquelle il accède, ou la combinaison de technologies de transport qui relie l'utilisateur à la ressource. Avant d'entrer dans le vif du sujet, voici un bref aperçu :
Principales composantes de SASE
- Réseau étendu défini par logiciel (SD-WAN)
- NGFW et Firewall-as-a-Service (FWaaS)
- Passerelle Web sécurisée (SWG)
- Courtier en sécurité de l'accès au nuage (CASB)
- Accès au réseau sans confiance (ZTNA)
Réseau étendu défini par logiciel (SD-WAN)
Secure SD-WAN constitue la base d'une SASE en permettant des performances optimales et un routage intelligent dans une architecture réseau client-cloud. Ses principales fonctionnalités sont les suivantes :
- Sécuriser le trafic sur les bretelles d'accès et de sortie
- Connectivité multicloud
- Fonctions de sécurité UTM intégrées
- Exploiter les dorsales basées sur l'internet
- Routage du trafic à partir de n'importe quel endroit
- DIA, accès direct au nuage et gestion intelligente du trafic
- Sélection des chemins pour optimiser l'expérience de l'utilisateur
- Cryptage en ligne
- Routage avancé et sélection dynamique des chemins
- Connaissance des applications et classification du trafic
- Passerelles réparties dans le monde entier
- Optimisation du temps de latence
- Capacités d'auto-remédiation du réseau
Pare-feu : NGFW et Firewall-as-a-Service (FWaaS)
Un pare-feu de nouvelle génération (NGFW) basé sur le cloud est une solution logicielle évolutive et adaptée aux applications, qui permet aux entreprises d'éliminer les difficultés liées aux solutions traditionnelles basées sur des appareils, en offrant un ensemble complet de fonctions UTM. Une solution NGFW va au-delà d'un pare-feu dynamique en offrant des fonctionnalités telles que la protection avancée contre les menaces, la visibilité du web et du réseau, la veille sur les menaces et le contrôle d'accès. Au minimum, les entreprises devraient s'attendre à ce que leur déploiement NGFW comprenne les éléments suivants :
- Contrôle d'accès des utilisateurs et des applications
- Détection et prévention des intrusions
- Détection avancée des logiciels malveillants
- Renseignements sur les menaces et les réseaux
- Automatisation et orchestration
Passerelle Web sécurisée (SWG)
Un SWG protège les utilisateurs et les appareils du WFA contre les menaces provenant de l'internet en empêchant qu'un appareil d'utilisateur naviguant sur le web soit infecté par un logiciel indésirable ou un logiciel malveillant et en veillant au respect de la politique de l'entreprise et de la réglementation. Un GTS comprend
- Application des politiques de sécurité et de conformité de l'internet
- Filtrage du trafic Internet malveillant grâce à des fonctionnalités UTM telles que le filtrage d'URL, l'antivirus, l'anti-malware, l'IDS/IPS, la prévention des attaques de type "zero-day", la protection contre l'hameçonnage, etc.
- Capacités d'identification et de contrôle des applications
- Prévention des pertes de données et des fuites (DLP)
- Remote Browser Isolation (RBI) pour analyser les sessions des utilisateurs afin de détecter les risques, ce qui permet aux utilisateurs de naviguer en toute sécurité dans le paysage menaçant d'aujourd'hui. Les sites web à risque sont affichés sur des navigateurs distants, tandis que les pages assainies (principalement sous forme de fichiers images) sont affichées sur le navigateur de l'utilisateur. Le RBI permet une navigation anonyme et un accès libre et sans risque aux sites internet.
Les GTS peuvent être mis en œuvre sous forme de matériel sur site, d'appliances virtuelles, de services en nuage ou en mode hybride, combinant le matériel sur site et le nuage.
Courtier en sécurité de l'accès au nuage (CASB)
Un CASB propose des produits et des services destinés à combler les lacunes en matière de sécurité dans l'utilisation des services en nuage par une organisation. Il répond au besoin de sécuriser les services en nuage que les utilisateurs adoptent de plus en plus, ainsi qu'au déploiement croissant de l'accès direct de nuage à nuage. Un CASB fournit un emplacement central pour la politique et la gouvernance simultanées à travers de multiples services en nuage pour les utilisateurs et les appareils, ainsi qu'une visibilité granulaire et un contrôle sur les activités des utilisateurs et les données sensibles.
Un CASB offre cinq fonctions de sécurité essentielles :
- Découverte des applications en nuage
- Sécurité des données
- Contrôle d'accès adaptatif
- Détection des logiciels malveillants
- l'analyse du comportement des utilisateurs et des entités (UEBA), qui permet d'appliquer des politiques sur la base de modèles comportementaux inhabituels du trafic vers/depuis les services en nuage.
Les CASB peuvent être des points d'application de la politique de sécurité sur site ou en nuage, placés entre les consommateurs et les fournisseurs de services en nuage pour injecter les politiques de sécurité de l'entreprise lors de l'accès aux données ou aux applications en nuage.
Accès au réseau sans confiance (ZTNA)
ZTNA est un cadre de technologies fonctionnant ensemble, basé sur le principe que rien n'est fiable : ni les utilisateurs, ni les appareils, ni les données, ni les charges de travail, ni les lieux, ni le réseau. La fonction première de ZTNA au sein d'une solution SASE est d'authentifier les utilisateurs auprès des applications. L'identité avancée basée sur le contexte et les rôles, combinée à l'authentification multifactorielle (MFA), est essentielle pour sécuriser l'accès des utilisateurs et des appareils, à la fois pour l'accès sur le réseau et hors réseau.
Il existe deux modèles généraux de mise en œuvre du ZTNA :
ZTNA à l'initiative du client
Un agent logiciel installé sur l'appareil envoie son contexte de sécurité et ses informations d'identification à un contrôleur SDP pour authentification. Ce modèle convient aux appareils gérés.
ZTNA à l'initiative du service
Un connecteur SDP (ou ZTNA) installé avec l'application établit et maintient une connexion sortante avec le fournisseur de services en nuage. Les utilisateurs doivent s'authentifier auprès du fournisseur pour accéder aux applications protégées. Ce modèle convient aux appareils non gérés, car aucun logiciel spécial n'est nécessaire sur l'appareil final.
Livre électronique gratuit
SASE pour les nuls
Découvrez le contexte commercial et technique de SASE , y compris les meilleures pratiques, les déploiements réels chez les clients et les avantages qui découlent d'une organisation dotée de SASE .
En savoir plus
Trouvez plus de recherches, d'analyses et d'informations sur SASE (Secure Access Service Edge), les réseaux, la sécurité, le SD-WAN et le cloud auprès de leaders d'opinion, d'analystes et d'experts de l'industrie.
Construire un pont pour une connectivité sécurisée et multi-cloud avec SASE
Apprenez à déployer de manière transparente une combinaison de services en nuage et sur site afin de créer des services, des fonctionnalités, des règles et une configuration cohérents, quel que soit l'endroit où le service est fourni.