Les composants de SASE
SASE fait converger les capacités de mise en réseau et de sécurité dans un modèle cloud natif à service unique, et comprend plusieurs composants distincts.
Plus qu’une technologie unique, SASE est un ensemble complet de technologies qui intègre la sécurité dans la structure globale du réseau afin qu’elle soit toujours disponible, où que se trouve l’utilisateur, où se trouve l’application ou la ressource à laquelle il accède, ou quelle que soit la combinaison de technologies de transport qui relie l’utilisateur à la ressource.
WAN défini par logiciel (SD-WAN)
La technologie Secure SD-WAN constitue la base d’une solution SASE en permettant des performances optimales et un routage intelligent dans une architecture réseau client au cloud. Les principales capacités comprennent :
- Une rampe d’accès et une rampe de sortie sécurisées pour le trafic
- Connectivité multi-cloud
- Fonctions de sécurité UTM intégrées
- Exploitation des réseaux dorsaux basés sur Internet
- Acheminement du trafic depuis n’importe où
- DIA, accès direct au cloud et orientation intelligente du trafic
- Sélection de chemins pour optimiser l’expérience utilisateur cohérente
- Cryptage en ligne
- Routage avancé et sélection dynamique des chemins
- Sensibilité aux applications et classification du trafic
- Passerelles distribuées à l’échelle mondiale
- Optimisation de la latence
- Capacités d’auto-réparation du réseau
Un pare-feu de nouvelle génération (Next-Generation Firewall, NGFW) basé dans le cloud est une solution logicielle évolutive et adaptée aux applications qui permet aux entreprises d’éliminer les difficultés liées aux solutions traditionnelles basées sur des appareils, en offrant un ensemble complet de fonctions UTM. Une solution NGFW va au-delà d’un pare-feu dynamique en offrant des fonctions telles que la protection contre les menaces avancées, la visibilité du Web et du réseau, les renseignements sur les menaces et le contrôle d’accès. Au minimum, les organisations doivent s’attendre à ce que leur déploiement NGFW offre les éléments suivants :
- Contrôle d’accès des utilisateurs et des applications
- Détection et prévention des intrusions
- Détection avancée des logiciels malveillants
- Intelligence des menaces et du réseau
- Automatisation et orchestration
Une SWG protège les utilisateurs et les appareils du WFA contre les menaces provenant d’Internet en empêchant les appareils des utilisateurs qui surfent sur le Web d’être infectés par des logiciels indésirables ou des logiciels malveillants et en appliquant la politique de conformité de l’entreprise et de la réglementation. Une SWG comprend :
- L’application de la sécurité Internet et des politiques de conformité
- Le filtrage du trafic Internet malveillant grâce à des fonctionnalités UTM telles que le filtrage des URL, l’antivirus, l’antimalware, l’IDS/IPS, la prévention des attaques de type « jour zéro » (zero day), la protection contre le phishing, etc.
- Capacités d’identification et de contrôle des applications
- Fonctions de prévention des pertes/fuites de données (Data Loss/Leakage Prevention, DLP)
- Isolation du navigateur à distance (Remote Browser Isolation, RBI) pour analyser les sessions des utilisateurs afin de détecter les risques, ce qui permet aux utilisateurs de naviguer en toute sécurité dans le paysage menaçant des menaces actuelles. Les sites Web à risque sont affichés sur les navigateurs distants, tandis que les pages aseptisées (principalement sous forme de fichiers image) sont affichées sur le navigateur de l’utilisateur. Le RBI permet une navigation anonyme et un accès libre et sans risque aux sites Internet.
Les SWG peuvent être mises en œuvre sous forme de matériel sur site, d’équipements virtuelles, de services basés dans le cloud ou en mode hybride, en combinant sur site et dans le cloud.
Courtier en sécurité d’accès au cloud (Cloud Access Security Broker, CASB)
Un CASB offre des produits et des services pour remédier aux déficits de sécurité dans l’utilisation des services dans le cloud par une organisation. Il répond au besoin de sécuriser les services dans le cloud que les utilisateurs adoptent de plus en plus, et dans le déploiement croissant de l’accès direct de cloud à cloud. Un CASB fournit un emplacement central pour la politique et la gouvernance simultanées de plusieurs services dans le cloud pour les utilisateurs et les appareils, ainsi qu’une visibilité granulaire et un contrôle des activités des utilisateurs et des données sensibles.
Un CASB offre cinq fonctionnalités de sécurité essentielles :
- Découverte des applications dans le cloud
- Sécurité des données
- Contrôle d’accès adaptatif
- Détection des logiciels malveillants
- L’analyse du comportement des utilisateurs et des entités (UEBA), qui permet d’appliquer des politiques en fonction de modèles comportementaux inhabituels du trafic vers/depuis les services dans le cloud
Les CASB peuvent être des points d’application des politiques de sécurité sur site ou dans le cloud, placés entre les consommateurs de services dans le cloud et les fournisseurs de services dans le cloud afin d’injecter des politiques de sécurité d’entreprise lors de l’accès aux données ou aux applications dans le cloud.
ZTNA est un cadre de technologies travaillant ensemble, basé sur le principe que rien n’est fiable : ni les utilisateurs, ni les dispositifs, ni les données, ni les charges de travail, ni les emplacements, ni le réseau. La fonction principale de ZTNA dans une solution SASE est d’authentifier les utilisateurs auprès des applications. L’identité avancée basée sur le contexte et les rôles, combinée à l’authentification multi-factorielle (MFA), est essentielle pour sécuriser l’accès des utilisateurs et des dispositifs, que ce soit sur le réseau ou hors réseau.
Il existe deux modèles généraux de mise en œuvre de ZTNA :
ZTNA à l’initiative du client
Un agent logiciel installé sur le périphérique envoie son contexte de sécurité et ses informations d’identification à un contrôleur SDP pour authentification. Ce modèle convient aux dispositifs gérés.
ZTNA à l’initiative du service
Un connecteur SDP (ou ZTNA) installé avec l’application établit et maintient une connexion sortante avec le fournisseur de cloud computing. Les utilisateurs doivent s’authentifier auprès du fournisseur pour accéder aux applications protégées. Ce modèle convient aux appareils non gérés, car aucun logiciel spécial n’est requis sur l’appareil final.