SASE

SASE (Secure Access Service Edge) : Un nouveau modèle de Sécurité

4 min. lecture
Placeholder for Work from home meetingWork from home meeting

Share

Le 30 août dernier, Gartner publiait un article intitulé “The Future of Network Security is in the Cloud” dans lequel ils décrivaient le changement de barycentre de la sécurité. Cet article expliquait que les besoins de sécurité des utilisateurs ne sont plus dans le Datacenter de l’entreprise, mais attachés à l’utilisateur à travers son terminal et son identité. Les utilisateurs et les services étant de plus en plus mobiles et externalisés, le Datacenter comme élément principal de sécurité de l’entreprise est devenu un modèle obsolète ; Pire, il peut représenter un frein à l’agilité de l’entreprise et donc à son développement. Ce changement donne naissance à un nouveau paradigme, que Gartner appelle « Secure Access Service Edge » ou SASE (prononcer «sassi»). Gartner estime que le SASE sera aussi révolutionnaire pour les architectures de sécurité et de réseau que le IaaS pour l'architecture des Datacenters. Selon Gartner, d'ici 2024, au moins 40% des entreprises auront des stratégies explicites pour adopter le SASE (contre moins de 1% fin 2018). La généralisation des applications Cloud impose une évolution des solutions de sécurité que relève l’architecture SASE :
  • La confidentialité des données en transit et en stockage
  • L’autorisation d’accès granulaire à ces données protéiforme (fichiers, bases de données structurées ou non…)
  • La latence pour accéder à ces applications, n’importe où dans le monde

Filtrage des accès WEB, Passerelles Web et proxy

Si l’on prend un peu de recul, les utilisateurs ont depuis bien longtemps des applications à l’extérieur de l’entreprise. À travers leurs navigateurs, ils consomment des partages de fichiers, des systèmes de messageries, des formulaires, etc… Ces usages sont sécurisés depuis toujours par des proxies, offrant une authentification, une autorisation et une traçabilité. L’offre de filtrage Web a évolué ces dernières années pour répondre à la mobilité des utilisateurs. Tous les fournisseurs de solutions ont évolué vers des solutions 100% Cloud ou hybrides. Certaines entreprises avaient fait le choix visionnaire de la solution nativement Cloud pour une plus grande agilité et une plus grande proximité des utilisateurs.

Les solutions CASB pour contrôler les usages Cloud

Depuis environ 5 ans, l’expansion des applications SaaS et particulièrement d’Office 365 a vu apparaitre des outils de type CASB (Cloud Access Security Broker). Ils permettent de contrôler les usages des applications Cloud (SaaS) tels que Dropbox, SalesForce, Office365 etc… Les applications et les utilisateurs n’ont pas attendu l’autorisation des RSSI/CISO avant de migrer vers le Cloud. Cependant, la maturité des entreprises quant à la sécurité de l’utilisations des outils Cloud n’a pas permis de débloquer les budgets nécessaires à l’accompagnement de cette transformation. Les outils de CASB, trop spécifiques, ont donc rencontré un succès limité.

Le contrôle des postes de travail sur Internet

Les deux solutions convergent donc assez naturellement vers un contrôle des usages Web plus complet. Le seul « filtrage web » devenu une commodité certes nécessaire mais insuffisante ; la traçabilité complète de l’accès aux données de l’entreprise où qu’elles se trouvent et depuis n’importe quel terminal étant devenu une nécessité. L’architecture SASE peut alors être vue comme l’évolution logique du Proxy « Next-Generation Proxy ».

L’architecture SASE et Netskope

L’architecture choisie depuis l’origine de Netskope correspond à celle préconisée par Gartner. Netskope a également conçu sa plate-forme pour qu'elle soit centrée sur les données, intelligente sur le Cloud et rapide , ce qui s'aligne sur la fonctionnalité SASE de base, comme indiqué dans le rapport.

Datacentric

Que le contexte soit des données créées et exposées dans le Cloud ou des données vers des applications Cloud et des appareils personnels non gérés, Netskope protège les données partout et applique le contexte pour permettre des décisions intelligentes sur les actions à entreprendre.

Contrôle granulaire

Une autre exigence fondamentale pour SASE est de fournir un contrôle granulaire lors de l'accès à Internet. Le moteur Cloud XD peut décoder plus de 85% de votre trafic Internet et extraire des détails précis non seulement sur l'utilisateur, l'appareil et l'emplacement, mais également sur l'application (oui, même ceux avec des domaines qui se chevauchent), l'instance d'application, l'activité et le contenu. Cela vous permet non seulement d'identifier les comportements à risque, mais également d'appliquer des politiques granulaires et d'activer en toute sécurité les services Cloud non gérés. Sans cette capacité, vous êtes limité aux applications mal identifiées et aux actions macroscopiques autorisés / bloqués.

Latence contrôlée

La nécessité de fournir un accès à faible latence aux utilisateurs, aux appareils et aux services Cloud est une capacité fondamentale de SASE. À l’image des CDN (Content Delivery Network), pour maitriser leur latence, Netskope offre une sécurité qui repose sur un réseau privé. Netskope NewEdge est un réseau mondial avec ses propres règles de routage, 50 POP, et de solides relations de peering avec les fournisseurs de services et les applications. Cette indépendance technologique leur permet de s’engager sur une qualité de latence et de disponibilité.

Produit intégré

Gartner recommande d'éviter les offres SASE assemblées. De nombreux fournisseurs historiques ont assemblé plusieurs produits pour réaliser leur solution SASE. L’intégration est donc complexe et peut même nécessiter des consoles de management distinctes. Netskope fournit une seule Passerelle Web Sécurisée (SWG) de nouvelle génération avec des capacités CASB de pointe, une gestion complète de la posture de sécurité dans le Cloud (CSPM) et un accès réseau sans confiance (ZTNA), le tout avec des micro services de sécurité partagés tels que DLP, menaces et politiques de contrôle d'accès. Pour en savoir plus, téléchargez le rapport Gartner ici . Nomios dispose de références de déploiement sur l’ensemble des solutions de sécurité Netskope (Proxy, DLP, VPN, SSL Decryption, Data protection et CASB) que nous serons heureux de partager avec vous.

Inscrivez-vous à notre newsletter

Recevez dans votre boîte aux lettres électronique les dernières nouvelles sur la sécurité, des informations et les tendances du marché.

À la une

Plus de nouveautés