Qu'est-ce que SASE (Secure Access Service Edge) ?

En août 2019, Gartner a décrit la transformation au cœur de la sécurité dans un article intitulé "L'avenir de la sécurité réseau est dans le Cloud". Dans l'article, l'hypothèse de planification stratégique mentionnée était que " d'ici 2024, au moins 40 % des entreprises auront des stratégies explicites pour adopter le SASE, contre moins de 1 % à la fin de l'année 2018. Mais qu'est-ce que le SASE ?

Le document explique que les besoins de sécurité des utilisateurs ne se trouvent plus dans le centre de données de l'entreprise, mais auprès de chaque utilisateur via son poste de travail et son identité. Maintenant que les utilisateurs et les services sont de plus en plus mobiles et externalisés, le modèle du centre de données comme élément clé de la sécurité de l'entreprise est devenu obsolète ; pire, cette approche peut entraver l'agilité de l'entreprise et limiter la croissance. Ce changement donne naissance à un nouveau paradigme, que Gartner appelle SASE (prononcer "sassi") ou "Secure Access Service Edge".

Qu'est-ce que SASE ?

Gartner pense que le Service d'Accès Sécurisé Edge sera aussi révolutionnaire pour l'architecture de sécurité/réseau que l'IaaS l'a été pour l'architecture des centres de données. Selon l'entreprise, d'ici 2024, au moins 40 % des entreprises auront des stratégies explicites pour adopter le SASE (contre <1 % à la fin de 2018).

Comme indiqué dans leur article, "la complexité, la latence et la nécessité de décrypter et d'inspecter le trafic crypté une seule fois augmenteront la demande de consolidation des capacités de mise en réseau et de sécurité en tant que service dans un Secure Access Service Edge fourni dans le Cloud."

L'essor des applications Cloud exige un changement des solutions de sécurité, que l'architecture SASE peut fournir :

• Confidentialité des données transférées et stockées,
• Contrôle d'accès granulaire pour ces données protéiformes (fichiers, bases de données structurées, bases de données non structurées),
• Latence lorsque ces applications sont accessibles depuis n'importe où dans le monde.

Les recommandations de Gartner aux responsables de la sécurité et de la gestion des risques sont les suivantes :

• Positionnez l'adoption de SASE comme un facilitateur d'entreprise numérique au nom de la vitesse et de l'agilité,
• Architecturez pour déplacer les moteurs d'inspection vers les sessions, et non pour réacheminer les sessions vers les moteurs,
• Faîtes passer le personnel de sécurité de la gestion des boîtes de sécurité à la fourniture de services de sécurité basés sur des politiques,
• Engagez-vous dès maintenant avec les architectes réseau pour planifier les capacités SASE. Utilisez les projets de déchargement WAN défini par logiciel et MPLS comme catalyseur pour évaluer les services de sécurité réseau intégrés,
• Réduisez dès maintenant la complexité du côté de la sécurité du réseau en passant idéalement à un seul fournisseur pour la passerelle web sécurisée (SWG), le Cloud Access Security Broker (CASB), le DNS, l'accès réseau sans confiance (ZTNA) et les capacités d'isolation du navigateur à distance.

Filtres Internet, passerelles web et proxys

Les utilisateurs disposent depuis longtemps d'applications externes via leurs navigateurs, qui leur offrent des services de partage de fichiers, des systèmes de messagerie, des formulaires, etc. Ce type d'utilisation a toujours été sécurisé par des serveurs Proxy offrant authentification, autorisation et traçabilité.

Le marché des filtres Web a évolué ces dernières années en réponse à la mobilité des utilisateurs, et tous les fournisseurs sont passés à des solutions 100 % cloud ou hybrides. Certaines entreprises visionnaires ont opté pour une solution cloud native qui offre plus d'agilité et de proximité aux utilisateurs.

Des solutions CASB pour contrôler l'utilisation du Cloud

Au cours des cinq dernières années, les logiciels CASB (Cloud Access Security Broker) sont apparus en réponse à l'expansion des applications SaaS, notamment Office 365. Ces outils peuvent contrôler l'utilisation de Dropbox, Salesforce, Office 365 et d'autres applications SaaS Cloud. Les utilisateurs et les applications n'ont pas attendu l'autorisation du DSI ou du RSSI pour migrer vers le Cloud.

Cependant, la maturité de sécurité autour de l'utilisation des applications Cloud n'a pas été suffisante pour que les entreprises débloquent les budgets nécessaires pour soutenir ce changement. Les outils CASB, qui sont trop spécifiques, ont donc eu un succès limité.

Contrôle d'Internet sur le lieu de travail

Les deux solutions se combinent tout naturellement pour développer un contrôle plus complet de l'utilisation d'Internet. Un simple "filtre web" est devenu un produit essentiel mais il est insuffisant, car l'accès aux données de l'entreprise - à partir de n'importe quel appareil et quel que soit l'endroit où les données sont stockées - doit être entièrement traçable.

Une architecture SASE peut donc être considérée comme le développement logique du serveur proxy, ou le "Secure Web Gateway".