Qu'est-ce que Secure Access Service Edge ?

Secure Access Service Edge (SASE) est un composant d'une architecture Zero Trust qui protège les éléments de réseau dans les limites d'un réseau traditionnel et en dehors. Face à la transformation numérique des entreprises, à l'augmentation du télétravail et à l'utilisation de services cloud pour exécuter des applications, la sécurité évolue vers le cloud. SASE apporte cette sécurité.

Modification de la topologie du réseau

Les réseaux informatiques se composaient autrefois d'un réseau de bureau et d'un data center spécifique à une entreprise. Un employé allait au bureau et se connectait à un ordinateur pour accéder à des applications s'exécutant dans le data center. Toutes les transactions de la société se produisent dans le périmètre du réseau.

Cette approche de sécurité du réseau traditionnelle établissait un pare-feu autour du réseau. Lorsqu'un utilisateur se trouvait à l'intérieur du pare-feu, le protocole de sécurité faisait confiance à cet ordinateur et ne vérifiait pas les activités suivantes de l'utilisateur sur le réseau.

La transformation numérique a radicalement modifié les méthodes de travail des collaborateurs. De nombreux collaborateurs accèdent à des applications au bureau ou à distance, hébergées sur Internet, en dehors des protections du data center de l'entreprise. Par exemple, un employé qui accède à Salesforce peut utiliser un ordinateur portable sur la table de sa cuisine. L'application peut se trouver sur Internet ou l'employé peut accéder à distance à l'application qui se trouve dans le data center de l'entreprise.

Dans le monde du travail actuel, le périmètre de réseau que nous utilisions pour nous protéger n'existe plus : il existe des points d'accès partout et Internet est à présent notre véhicule pour transférer des informations. Dans cet environnement, le défi consiste à protéger les passerelles dans l'environnement de l'entreprise : les « périphéries ».

Pour améliorer les protocoles de sécurité de périmètre, inadéquats dans cet environnement dispersé, les équipes IT ont fait appel à de nombreux fournisseurs, politiques et consoles, pour essayer de protéger les données, avec un succès mitigé. SASE est une nouvelle solution visant à réduire la complexité de la cybersécurité et à améliorer l'efficacité pour les environnements à accès dispersé.

Le modèle SASE

SASE est un ensemble de technologies qui associent des fonctions de réseau (SD-WAN, VPN) et de sécurité (SWG, CASB, FWaaS, ZTNA). Ces technologies sont généralement livrées dans des solutions distinctes cloisonnées. SASE, ou Zero Trust Edge, les associe en un service cloud unique et intégré.

Composants du modèle SASE

  • Software-defined Wide Area Network (SD-WAN)
  • Réseau privé virtuel (VPN)
  • Secure Web Gateway (SWG)
  • Courtier de sécurité d'accès au cloud (CASB, Cloud Access Security Broker)
  • Firewall as a Service (FwaaS)
  • Zero Trust Network Access (ZTNA)

Le modèle SASE permet aux organisations d'unifier leurs réseaux et de renforcer la sécurité pour les utilisateurs et les appareils dispersés.

SASE offre plusieurs avantages aux entreprises

  • Réduit les coûts
  • Diminue la complexité
  • Soutient l'alignement des politiques du réseau et de sécurité
  • Réduit les incidents de sécurité
  • Fournit une expérience fluide aux utilisateurs, où qu'ils se trouvent

Une nouvelle architecture de sécurité

Les organisations qui cherchent à faire évoluer leur réseau axé sur l'utilisateur et leurs protocoles de sécurité de gestion de réseau adoptent l'architecture SASE pour activer un accès au réseau Zero Trust. Le modèle Zero Trust consiste à ne jamais faire confiance, à toujours vérifier et à assumer les compromis jusqu'à ce qu'une machine prouve sa fiabilité. Internet connecte tout, et aucun appareil n'est fiable de manière intrinsèque car il s'agit d'une plateforme d'informations ouverte.

SASE est un élément essentiel dans une architecture Zero Trust. SASE n'est pas une nouvelle technologie, mais un mélange de technologies nouvelles et existantes. SASE fournit des contrôles de sécurité à l'utilisateur, à l'appareil ou à l'emplacement de l'edge computing. Les protocoles de cybersécurité précédents établissaient une protection de pare-feu pour un data center, mais SASE s'authentifie selon l'identité numérique, le contexte en temps réel et les politiques de l'entreprise.

Il existe trois composants critiques dans SASE :

  1. Secure Web Gateway
  2. Courtier de sécurité d'accès au cloud
  3. Accès au réseau Zero Trust

Protection des passerelles Web

Un SWG contrôle l'accès à Internet et gère les éléments auxquels un utilisateur peut accéder ou non. Si un utilisateur essaie d'accéder à un élément ou d'en télécharger un à partir d'un site Web suspect, ou tente d'accéder à une destination interdite comme un site de jeu, la passerelle le bloque.

Les cyberattaques sont devenues très sophistiquées. Alors que nous commencions tout juste à reconnaître le style d'un email de phishing, avec des fautes d'orthographe et des tournures approximatives, les acteurs malveillants sont devenus bien plus sophistiqués. Maintenant, il est quasiment impossible, même pour les utilisateurs avisés, de faire la différence entre les emails légitimes et ceux provenant de pirates.

Une formation sur la cybersécurité interne est essentielle pour établir une protection plus solide, mais les utilisateurs font des erreurs, malgré la formation. SWG est un autre outil que votre équipe de sécurité peut utiliser pour surveiller tout le trafic entrant et sortant sur votre réseau. En cas de menace, l'équipe de sécurité peut utiliser SWG pour l'atténuer.

SWG offre plusieurs fonctions :

  • Filtrage des URL
  • Protection contre les menaces avancée
  • Protection contre les malware existante
  • Application de la conformité aux règles Internet

Des restrictions peuvent s'appliquer aux environnements de petite et grande échelle :

  • Les gouvernements contrôlent ce que voit la population
  • Les fournisseurs d'accès à Internet bloquent certains contenus
  • Les entreprises gèrent ce à quoi les employés accèdent
  • Les écoles filtrent les sites disponibles pour les élèves
  • Les librairies choisissent ce que les clients voient

Courtier de sécurité d'accès au cloud

Le CASB offre une visibilité sur les applications SaaS. Lorsqu'un utilisateur se connecte à Salesforce, Office 365 ou à toute autre application, votre équipe de sécurité peut voir quelles données vos utilisateurs transfèrent, quels fichiers sont chargés ou téléchargés avec OneDrive ou SharePoint, qui est l'auteur de l'opération et à quel moment.

Le CASB est un logiciel situé sur site ou dans le cloud. Il sert d'intermédiaire entre les utilisateurs et les services cloud, avec des politiques de sécurité pour l'accès au cloud, et suit les actions sur le réseau.

La sécurité CASB peut se composer de plusieurs éléments :

  • Alerte
  • Connexion et authentification
  • Authentification unique
  • Autorisation
  • Mappage des identifiants
  • Profilage d'appareil
  • Chiffrement
  • Tokenization
  • Détection et prévention des malware

Pour le reporting CASB, le point de départ consiste à configurer les options pour chaque groupe d'utilisateurs au sein de l'organisation. Un groupe peut être autorisé à charger des documents, mais pas à les télécharger. Un autre groupe peut modifier des documents, tandis qu'un autre peut simplement les consulter. L'entreprise définit la politique.

Elle définit également les mesures à prendre en cas d'action interdite. Votre équipe de sécurité peut définir des protocoles visant à bloquer automatiquement l'activité, ou à l'autoriser et à signaler l'événement à la personne qui le consulte.

Accès au réseau Zero Trust

Les passerelles ZTNA sont le nouvel élément de SASE. Le ZTNA est une architecture de sécurité qui n'octroie un accès au trafic qu'entre les utilisateurs, appareils et applications authentifiés. Aucun trafic n'est jugé digne de confiance et tous les appareils finaux sont soupçonnés d'avoir des intentions malveillantes, sauf s'ils prouvent le contraire. Le ZTNA remplace les VPN pour l'authentification des utilisateurs à distance.

Le VPN est la technologie que les entreprises utilisaient traditionnellement pour connecter des utilisateurs distants au réseau d'entreprise. Le VPN comporte plusieurs problèmes : il est coûteux et établit souvent une connexion instable. De plus, en raison des connexions à distance inefficaces, les employés ont souvent des difficultés à faire leur travail, ce qui cause une perte de productivité qui fait perdre de l'argent à l'entreprise.

Le plus gros problème lié au VPN est qu'il offre un accès à distance avec peu de contrôles de sécurité. Un utilisateur qui accède à un réseau d'entreprise via un VPN, depuis un réseau résidentiel, s'authentifie et bénéficie d'un accès complet au front-end et au back-end du réseau. L'utilisateur travaille dans le front-end de l'application. Si un malware accède à son ordinateur depuis Internet, il peut entrer dans le back -end de cette même application et s'emparer de toutes les données, causant ainsi une violation.

Le ZTNA élimine la capacité du malware à se déplacer dans le réseau, car il authentifie individuellement chaque utilisateur, appareil et application déterminé comme fiable sur le réseau.

Vulnérabilités VPN :

  • Surface d'attaque étendue
  • Une fois dans le réseau, les acteurs malveillants peuvent se déplacer latéralement pour exploiter les vulnérabilités
  • Les VPN sont exposés à Internet et vulnérable aux interruptions de service
  • Les pirates ciblent toutes les surfaces exposées, détectent les vulnérabilités et attaquent

Approche Zero Trust

Pour faire son premier pas vers le Zero Trust, l'organisation doit s'engager à adopter l'architecture. Au fil du temps, les équipes IT et de sécurité peuvent implémenter petit à petit des technologies de différents groupes de produits, afin d'augmenter la maturité.

Le point de départ consiste à comprendre les problèmes liés à votre environnement qui affectent l'organisation au quotidien. Par exemple, si l'accès à Internet n'est pas contrôlé, tout le monde peut accéder à tout, et les utilisateurs téléchargent des malware malgré eux. Le SWG pourrait être votre technologie Zero Trust initiale.

L'étape suivante pourrait consister à déterminer quelles applications SaaS les employés utilisent et qui peut accéder à quoi. Il paraît logique d'augmenter la visibilité de votre équipe de sécurité, afin qu'elle puisse accorder l'accès aux activités autorisées et s'assurer que les utilisateurs respectent le cadre de la politique.

Le but du Zero Trust est de protéger vos données

Même avec les paramètres de sécurité SASE en place, votre réseau n'est pas encore entièrement Zero Trust ; c'est simplement un pas supplémentaire. Le Zero Trust est un parcours au fil du temps, visant à augmenter la sécurité de votre réseau. Si vous poursuivez ce parcours, la sécurité s'améliorera de manière itérative.

La protection d'un actif physique, comme un ordinateur portable ou un serveur, ou d'un actif numérique, comme un compte utilisateur ou une application, n'est pas le principal objectif de la cybersécurité. L'objectif est de protéger les données utilisées par les opérations de l'entreprise, comme les noms d'utilisateur, les mots de passe, les données d'entreprise propriétaires, les supports confidentiels et les informations de paiement.

Recherches associées

Livre blanc Zero Trust