Secure Access Service Edge (SASE) est un composant d'une architecture Zero Trust qui protège les éléments de réseau dans les limites d'un réseau traditionnel et en dehors. Face à la transformation numérique des entreprises, à l'augmentation du télétravail et à l'utilisation de services cloud pour exécuter des applications, la sécurité évolue vers le cloud. SASE apporte cette sécurité.
Les réseaux informatiques se composaient autrefois d'un réseau de bureau et d'un data center spécifique à une entreprise. Un employé allait au bureau et se connectait à un ordinateur pour accéder à des applications s'exécutant dans le data center. Toutes les transactions de la société se produisent dans le périmètre du réseau.
Cette approche de sécurité du réseau traditionnelle établissait un pare-feu autour du réseau. Lorsqu'un utilisateur se trouvait à l'intérieur du pare-feu, le protocole de sécurité faisait confiance à cet ordinateur et ne vérifiait pas les activités suivantes de l'utilisateur sur le réseau.
La transformation numérique a radicalement modifié les méthodes de travail des collaborateurs. De nombreux collaborateurs accèdent à des applications au bureau ou à distance, hébergées sur Internet, en dehors des protections du data center de l'entreprise. Par exemple, un employé qui accède à Salesforce peut utiliser un ordinateur portable sur la table de sa cuisine. L'application peut se trouver sur Internet ou l'employé peut accéder à distance à l'application qui se trouve dans le data center de l'entreprise.
Dans le monde du travail actuel, le périmètre de réseau que nous utilisions pour nous protéger n'existe plus : il existe des points d'accès partout et Internet est à présent notre véhicule pour transférer des informations. Dans cet environnement, le défi consiste à protéger les passerelles dans l'environnement de l'entreprise : les « périphéries ».
Pour améliorer les protocoles de sécurité de périmètre, inadéquats dans cet environnement dispersé, les équipes IT ont fait appel à de nombreux fournisseurs, politiques et consoles, pour essayer de protéger les données, avec un succès mitigé. SASE est une nouvelle solution visant à réduire la complexité de la cybersécurité et à améliorer l'efficacité pour les environnements à accès dispersé.
SASE est un ensemble de technologies qui associent des fonctions de réseau (SD-WAN, VPN) et de sécurité (SWG, CASB, FWaaS, ZTNA). Ces technologies sont généralement livrées dans des solutions distinctes cloisonnées. SASE, ou Zero Trust Edge, les associe en un service cloud unique et intégré.
Composants du modèle SASE
Réseau étendu défini par logiciel (SD-WAN) :
Le SD-WAN optimise le trafic réseau en sélectionnant dynamiquement le chemin le plus efficace, améliorant ainsi les performances et la fiabilité. Il s’intègre à SASE pour assurer une connectivité sécurisée et haute performance aux utilisateurs distants.
Réseau privé virtuel (VPN) :
Les VPN créent des tunnels sécurisés pour l’accès à distance, mais ne disposent pas du contrôle granulaire des technologies les plus récentes. Au sein du SASE, les VPN sont renforcés par des mesures de sécurité supplémentaires pour fournir une gestion des accès à distance plus robuste.
Passerelle Web sécurisée (SWG) :
Les SWG sécurisent le trafic lié à Internet en filtrant les contenus nuisibles et en appliquant la conformité. Dans le cadre SASE, ils fournissent une protection contre les menaces en ligne et garantissent une navigation sécurisée.
Cloud Access Security Broker (CASB) :
Les CASB gèrent et sécurisent l’accès au cloud, offrant visibilité et contrôle sur le transfert de données entre les utilisateurs et les services cloud. Ils sont essentiels dans le SASE pour protéger les applications et les données basées sur le cloud.
Pare-feu en tant que service (FWaaS) :
FWaaS offre des fonctionnalités de pare-feu basées sur le cloud, offrant une gestion et une sécurité centralisées. Intégré au SASE, il protège contre les menaces externes tout en prenant en charge un environnement réseau distribué et centré sur le cloud.
Accès réseau Zero Trust (ZTNA) :
ZTNA restreint l’accès aux applications en fonction de l’identité et du contexte de l’utilisateur, réduisant ainsi le risque d’accès non autorisé. Au sein de SASE, ZTNA fournit une approche sécurisée et adaptative de l’accès à distance.
Les organisations qui cherchent à faire évoluer leur réseau axé sur l'utilisateur et leurs protocoles de sécurité de gestion de réseau adoptent l'architecture SASE pour activer un accès au réseau Zero Trust. Le modèle Zero Trust consiste à ne jamais faire confiance, à toujours vérifier et à assumer les compromis jusqu'à ce qu'une machine prouve sa fiabilité. Internet connecte tout, et aucun appareil n'est fiable de manière intrinsèque car il s'agit d'une plateforme d'informations ouverte.
SASE est un élément essentiel dans une architecture Zero Trust. SASE n'est pas une nouvelle technologie, mais un mélange de technologies nouvelles et existantes. SASE fournit des contrôles de sécurité à l'utilisateur, à l'appareil ou à l'emplacement de l'edge computing. Les protocoles de cybersécurité précédents établissaient une protection de pare-feu pour un data center, mais SASE s'authentifie selon l'identité numérique, le contexte en temps réel et les politiques de l'entreprise.
Il existe trois composants critiques dans SASE :
Avantages SASE pour les entreprises
Réduit les coûts :
SASE consolide les fonctions de sécurité en un service basé sur le cloud, réduisant ainsi les dépenses matérielles et les coûts de gestion.
Diminue la complexité :
En unifiant plusieurs solutions de sécurité, SASE simplifie la gestion, réduisant la complexité associée à la gestion de divers outils et fournisseurs.
Prend en charge l’alignement des politiques de réseau et de sécurité :
Le SASE garantit une application cohérente des politiques de réseau et de sécurité dans tous les environnements, améliorant ainsi la sécurité globale.
Réduit les incidents de sécurité :
Grâce à des contrôles de sécurité intégrés, le SASE améliore la détection et la réponse aux menaces, réduisant ainsi la probabilité d’attaques réussies.
Offre une expérience fluide aux utilisateurs, où qu’ils se trouvent :
SASE offre un accès sécurisé et rapide aux applications, où que vous soyez, améliorant ainsi la productivité et l’expérience utilisateur pour les utilisateurs distants et hybrides.
Un SWG contrôle l'accès à Internet et gère les éléments auxquels un utilisateur peut accéder ou non. Si un utilisateur essaie d'accéder à un élément ou d'en télécharger un à partir d'un site Web suspect, ou tente d'accéder à une destination interdite comme un site de jeu, la passerelle le bloque.
Les cyberattaques sont devenues très sophistiquées. Alors que nous commencions tout juste à reconnaître le style d'un email de phishing, avec des fautes d'orthographe et des tournures approximatives, les acteurs malveillants sont devenus bien plus sophistiqués. Maintenant, il est quasiment impossible, même pour les utilisateurs avisés, de faire la différence entre les emails légitimes et ceux provenant de pirates.
Une formation sur la cybersécurité interne est essentielle pour établir une protection plus solide, mais les utilisateurs font des erreurs, malgré la formation. SWG est un autre outil que votre équipe de sécurité peut utiliser pour surveiller tout le trafic entrant et sortant sur votre réseau. En cas de menace, l'équipe de sécurité peut utiliser SWG pour l'atténuer.
Le CASB offre une visibilité sur les applications SaaS. Lorsqu'un utilisateur se connecte à Salesforce, Office 365 ou à toute autre application, votre équipe de sécurité peut voir quelles données vos utilisateurs transfèrent, quels fichiers sont chargés ou téléchargés avec OneDrive ou SharePoint, qui est l'auteur de l'opération et à quel moment.
Le CASB est un logiciel situé sur site ou dans le cloud. Il sert d'intermédiaire entre les utilisateurs et les services cloud, avec des politiques de sécurité pour l'accès au cloud, et suit les actions sur le réseau.
Pour le reporting CASB, le point de départ consiste à configurer les options pour chaque groupe d'utilisateurs au sein de l'organisation. Un groupe peut être autorisé à charger des documents, mais pas à les télécharger. Un autre groupe peut modifier des documents, tandis qu'un autre peut simplement les consulter. L'entreprise définit la politique.
Elle définit également les mesures à prendre en cas d'action interdite. Votre équipe de sécurité peut définir des protocoles visant à bloquer automatiquement l'activité, ou à l'autoriser et à signaler l'événement à la personne qui le consulte.
Les passerelles ZTNA sont le nouvel élément de SASE. Le ZTNA est une architecture de sécurité qui n'octroie un accès au trafic qu'entre les utilisateurs, appareils et applications authentifiés. Aucun trafic n'est jugé digne de confiance et tous les appareils finaux sont soupçonnés d'avoir des intentions malveillantes, sauf s'ils prouvent le contraire. Le ZTNA remplace les VPN pour l'authentification des utilisateurs à distance.
Le VPN est la technologie que les entreprises utilisaient traditionnellement pour connecter des utilisateurs distants au réseau d'entreprise. Le VPN comporte plusieurs problèmes : il est coûteux et établit souvent une connexion instable. De plus, en raison des connexions à distance inefficaces, les employés ont souvent des difficultés à faire leur travail, ce qui cause une perte de productivité qui fait perdre de l'argent à l'entreprise.
Le plus gros problème lié au VPN est qu'il offre un accès à distance avec peu de contrôles de sécurité. Un utilisateur qui accède à un réseau d'entreprise via un VPN, depuis un réseau résidentiel, s'authentifie et bénéficie d'un accès complet au front-end et au back-end du réseau. L'utilisateur travaille dans le front-end de l'application. Si un malware accède à son ordinateur depuis Internet, il peut entrer dans le back -end de cette même application et s'emparer de toutes les données, causant ainsi une violation.
Le ZTNA élimine la capacité du malware à se déplacer dans le réseau, car il authentifie individuellement chaque utilisateur, appareil et application déterminé comme fiable sur le réseau.
Vulnérabilités VPN :
Approche Zero Trust
Pour faire son premier pas vers le Zero Trust, l'organisation doit s'engager à adopter l'architecture. Au fil du temps, les équipes IT et de sécurité peuvent implémenter petit à petit des technologies de différents groupes de produits, afin d'augmenter la maturité.
Le point de départ consiste à comprendre les problèmes liés à votre environnement qui affectent l'organisation au quotidien. Par exemple, si l'accès à Internet n'est pas contrôlé, tout le monde peut accéder à tout, et les utilisateurs téléchargent des malware malgré eux. Le SWG pourrait être votre technologie Zero Trust initiale.
L'étape suivante pourrait consister à déterminer quelles applications SaaS les employés utilisent et qui peut accéder à quoi. Il paraît logique d'augmenter la visibilité de votre équipe de sécurité, afin qu'elle puisse accorder l'accès aux activités autorisées et s'assurer que les utilisateurs respectent le cadre de la politique.
Le but du Zero Trust est de protéger vos données
Même avec les paramètres de sécurité SASE en place, votre réseau n'est pas encore entièrement Zero Trust ; c'est simplement un pas supplémentaire. Le Zero Trust est un parcours au fil du temps, visant à augmenter la sécurité de votre réseau. Si vous poursuivez ce parcours, la sécurité s'améliorera de manière itérative.
La protection d'un actif physique, comme un ordinateur portable ou un serveur, ou d'un actif numérique, comme un compte utilisateur ou une application, n'est pas le principal objectif de la cybersécurité. L'objectif est de protéger les données utilisées par les opérations de l'entreprise, comme les noms d'utilisateur, les mots de passe, les données d'entreprise propriétaires, les supports confidentiels et les informations de paiement.