MARS 2021 INFORMATION

SASE : UNE ADOPTION ACCÉLÉRÉE PAR UN RECOURS CROISSANT AU TÉLÉTRAVAIL

L’ACCÈS RÉSEAU SANS CONFIANCE, UN PREMIER PAS VERS LE SASE

MARS 2021NO. 17

DÉCOUVREZ 5 PRODUITS SASE, POUR FAIRE LE TRI ENTRE RÉALITÉ ET BATTAGE MARKETING

COMMENT LE MODÈLE SASE AMÉLIORE LA SÉCURITÉ DU CLOUD ET DU TÉLÉTRAVAIL

LE MARCHÉ DU SASE ÉMERGE COMME LA « VAGUE DU FUTUR »

COMMENT LE SASE AFFECTE LES RÔLES SÉCURITÉ ET RÉSEAU DANS L’ENTREPRISE

POURQUOI C’EST SASE ET ZERO-TRUST ET PAS SASE OU ZERO-TRUST

I N F O R M A T I O NS É C U R I T É

ÉDITO : CONNECTIVITÉ ET SÉCURITÉ RÉSEAU : EN ROUTE VERS L’INTÉGRATION

L’ACCÈS RÉSEAU SANS CONFIANCE, UN PREMIER PAS VERS LE SASE

HOME

ÉDITO : CONNECTIVITÉ ET SÉCURITÉ

RÉSEAU : EN ROUTE VERS L’INTÉGRATION

L’ACCÈS RÉSEAU SANS CONFIANCE, UN PREMIER

PAS VERS LE SASE

SASE : UNE ADOPTION ACCÉLÉRÉE PAR UN

RECOURS CROISSANT AU TÉLÉTRAVAIL

LE MARCHÉ DU SASE ÉMERGE COMME LA

« VAGUE DU FUTUR »


COMMENT LE SASE AFFECTE LES RÔLES

SÉCURITÉ ET RÉSEAU DANS L’ENTREPRISE


COMMENT LE MODÈLE SASE AMÉLIORE

LA SÉCURITÉ DU CLOUD ET DU TÉLÉTRAVAIL

À PROPOS

En route vers l’intégration des technologies et services de connectivité et de sécurité réseauGartner a conceptualisé cette intégration sous le terme SASE fin 2019. Aujourd’hui, l’approche semble largement acceptée par une industrie qui pousse toute entière dans cette direction. À charge pour les entreprises d’en appréhender les bénéfices. PAR VALÉRY MARCHIVE

d’accès Web sécurité (SWG), les services de VPN et d’accès distant sans VPN (ZTNA, ou zero-trust network access), mais également les pare-feu en mode service, les pare-feu applicatifs (WAF) en mode service, la prévention des fuites de données (DLP), etc.

Les acteurs des deux secteurs des réseaux et de la sécurité n’ont pas attendu la fin 2019 et la formalisation du concept SASE pour s’engager dans cette direction. Et cela parfois avec force rachats, comme chez Bitglass, Infoblox, Symantec, McAfee, Cisco, Palo Alto Networks, Oracle, ou encore VMware.

Et le marché est loin de s’être stabilisé. En 2020, Google a lancé sa propre solution ZTNA, rafraîchie et rebaptisée cette année, sous le nom BeyondCorp Enterprise.

ÉDITO

Le constat est partagé de plus en plus largement : les données et les applications sortent des centres de calcul, et les utilisateurs sortent du système

d’information interne à l’entreprise. Il faut donc alors trouver un moyen d’assurer l’accès sécurisé aux applications et aux données pour les utilisateurs en dehors des modèles d’architecture patrimoniaux.

C’est de là qu’est né le concept de SASE (prononcez « sassy »), ou Secure Access Service Edge. Pour le volet connectivité, on trouve là le SD-WAN, les réseaux de distribution de contenu (CDN), les services d’optimisation WAN, ou encore agrégateurs de bande passante. Tout y est, en entrant comme en sortant. Côté sécurité, on trouve la sécurité réseau traditionnelle, les passerelles d’accès cloud sécurisé (CASB), les passerelles

2 INFORMATION SÉCURITÉ ■ MARS 2021

https://www.lemagit.fr/definition/VPN

https://www.lemagit.fr/definition/Pare-feu-dapplications-Web

https://www.lemagit.fr/definition/SD-WAN

https://www.lemagit.fr/definition/WAN-Wide-Area-Network-ou-Reseau-etendu

https://www.lemagit.fr/definition/Passerelle-dacces-Cloud-securise

Mi-novembre, c’est Barracuda Networks qui s’est offert Fyde. Et l’on attend avec attention de voir comment ProofPoint concrétisera l’intégration de Meta.

Le marché du SASE apparaît ainsi encore marqué par une forte fluidité qui doit encourager les entreprises intéressées à s’engager dans cette voie avec prudence, en essayant le plus possible de se projeter dans l’avenir en confrontant leur stratégie à celle de leurs fournisseurs pressentis.

VALÉRY MARCHIVE, rédacteur en chef du MagIT et responsable éditorial de « Information sécurité ».

ÉDITO

Désormais, plus question d’agent sur le poste de travail : Chrome sert d’initiateur de connexion réseau sans confiance. Et Tanium assure la visibilité sur la posture de sécurité du terminal, comme il le fait déjà pour Cloudflare depuis l’été 2020. Plus tôt, c’était Zscaler qui s’engageait dans cette voie avec CrowdStrike et Carbon Black, ou encore Netskope avec ceux-ci ainsi que Cylance et SentinelOne.

Fin septembre dernier, Ivanti s’est offert MobileIron et Pulse Secure pour combiner administration unifiée des postes clients et accès réseau sans confiance.


HOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/actualites/252491995/Barracuda-Networks-rachete-Fyde

https://www.lemagit.fr/actualites/252491995/Barracuda-Networks-rachete-Fyde

https://www.lemagit.fr/actualites/252484522/Ray-Kalember-Proofpoint-nous-sommes-au-tout-debut-de-lintegration-de-Meta

https://www.lemagit.fr/actualites/252484184/Cloudflare-sappuie-sur-Tanium-pour-faire-appliquer-les-politiques-dacces-sans-confiance

https://www.lemagit.fr/actualites/252484184/Cloudflare-sappuie-sur-Tanium-pour-faire-appliquer-les-politiques-dacces-sans-confiance

https://www.lemagit.fr/actualites/252471267/En-sassociant-Zscaler-et-Crowdstrike-suivent-en-voie-deja-bien-tracee

https://www.lemagit.fr/actualites/252471267/En-sassociant-Zscaler-et-Crowdstrike-suivent-en-voie-deja-bien-tracee

https://www.lemagit.fr/tribune/Sanjay-Beri-Netskope-les-entreprises-cherchent-une-nouvelle-maniere-de-securiser-donnees-et-tra

https://www.lemagit.fr/tribune/Sanjay-Beri-Netskope-les-entreprises-cherchent-une-nouvelle-maniere-de-securiser-donnees-et-tra

https://www.lemagit.fr/actualites/252489734/Avec-MobileIron-et-Pulse-Secure-Ivanti-se-prepare-de-grands-chantiers-dintegration

https://www.lemagit.fr/actualites/252489734/Avec-MobileIron-et-Pulse-Secure-Ivanti-se-prepare-de-grands-chantiers-dintegration


Jay Chaudhry, fondateur de Zscaler, ne pourrait pas réfuter de telles affirmations : alors que les utilisateurs sortent à leur tour du périmètre de

l’entreprise, suivant ainsi un nombre toujours croissant d’applications, l’heure n’est plus tant au VPN qu’à l’accès réseau sans confiance (ZTNA, zero-trust network access), conçu pour et par le cloud.

Il nous l’expliquait dans un entretien en 2017 : « le cloud change fondamentalement la manière dont l’IT et la sécurité sont réalisés. Au cours des 25 ou 30 dernières années, nous sommes partis de l’idée que les utilisateurs doivent être connectés au réseau, de même que les serveurs et les applications. Et le réseau est protégé. C’est l’approche du château fort. Un mur est construit autour du réseau, avec des équipements tels que pare-feu, proxy, etc. Dans le monde du cloud, les applications sont déplacées ou en mode SaaS. Les utilisateurs sont partout. Et ils se connectent en 4G, sur leur connexion haut débit, etc. Chercher à protéger un réseau que l’on ne contrôle même pas n’est plus pertinent ».

CONSEIL ZTNA ET SASE

Par Alexander Culafi

L’accès réseau sans confiance, un premier pas vers le SASELa sortie du modèle centralisé de l’IT des entreprises est engagée. Alors que les utilisateurs sortent de plus en plus du périmètre, l’accès réseau sans confiance s’impose graduellement comme une alternative au VPN. De quoi s’engager dans une démarche SASE.

HOME




PAS VERS LE SASE











À PROPOS


https://www.lemagit.fr/actualites/252488558/Le-modele-dit-sans-confiance-est-mur-pour-les-defis-de-cybersecurite-modernes

https://www.lemagit.fr/actualites/450426905/Pour-Jay-Chaudhry-Zscaler-le-cloud-hybride-nest-que-transitoire

https://www.lemagit.fr/definition/SaaS

https://www.lemagit.fr/definition/4G

POUR ET PAR LE CLOUD Et d’enfoncer le clou : « peu importe où se trouve l’utilisateur ; peu importe quel terminal il utilise ; il doit être en mesure d’accéder à une application. Et pour cela, il faut un contrôle d’accès et un moteur de gestion des politiques en mode cloud. Et c’est ce que nous faisons. Internet est le nouveau réseau, et on ne le contrôle plus ».

« Les utilisateurs et les applications sont déjà dans le cloud. Ainsi, les capacités d’accès sécurisé doivent également évoluer vers une fourniture en mode cloud. »–Steve Riley, Lawrence Orans, Neil MacDonald, analystes Gartner

Dans un guide publié à l’été 2020, les analystes de Gartner Steve Riley, Lawrence Orans, et Neil MacDonald ne disent pas autre chose : « les utilisateurs et les applications sont déjà dans le cloud. Ainsi, les capacités d’accès sécurisé doivent également évoluer vers une fourniture en mode cloud. Beaucoup de produits de ZTNA sont basés sur le cloud ».

L’approche est d’autant plus importante que, remarquent-ils, « le ZTNA fournit un accès adaptatif, précis et basé sur l’identité ». La suppression de l’emplacement dans le

réseau comme critère de choix pour l’octroi de droits d’accès « élimine une confiance implicite excessive, au profit d’une confiance explicite basée sur l’identité ».

S’INSCRIRE DANS UNE DÉMARCHE STRATÉGIQUE En outre, soulignent les analystes, « le ZTNA améliore la flexibilité, l’agilité et l’élasticité de l’accès applicatif ». Dans la pratique, il n’est pas encore question de renoncer complètement au VPN. Mais le cabinet ne manque pas de recommander le ZTNA en mode cloud lorsque le VPN « rencontre des limitations en capacité ou bande passante du fait d’effectifs fortement distants ». Et de suggérer une approche graduelle, en commençant par les utilisateurs qui n’ont pas besoin d’un accès réseau à distance complet : « cela réduit le besoin de support pour des agents VPN largement déployés, et introduit un accès sans agent basé sur l’identité et le terminal ».

Mais pas question de se lancer sans une certaine réflexion. Tout d’abord, les analystes de Gartner recommandent, sans trop de surprise, de choisir une solution pouvant s’intégrer pleinement avec des produits d’authentification à facteurs multiples (MFA). Mais ils conseillent également de miser surtout sur un fournisseur proposant une offre en phase avec la stratégie SASE de son entreprise, afin de pouvoir commencer déjà à préparer l’avenir.


CONSEIL ZTNA ET SASEHOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/definition/Authentification-multiple


Dans la seconde approche, que les analystes décrivent comme plus proche de la vision BeyondCorp de Google, « un connecteur est installé sur le même réseau que l’application, et établit et maintient la connexion sortante ». Là, l’utilisateur s’authentifie et son identité est validée auprès d’un fournisseur d’identités. Ce n’est que si ce processus réussit que le trafic peut être établi au travers du cloud du fournisseur. Mais là encore, les applications sont isolées d’Internet par un proxy. Dans cette approche, aucun agent local n’est requis. Mais toutes les communications sont basées sur HTTPS, ce qui peut fermer l’accès à certains services. En outre, comme le relèvent les analystes, « le réseau du fournisseur devient un élément supplémentaire de la sécurité réseau à évaluer ».

DEUX APPROCHES DISTINCTES Mais tous les produits ZTNA ne suivent pas la même approche, et les analystes de Gartner en distinguent deux. La première suit de près les recommandations de la Cloud Security Alliance (CSA) pour le concept de périmètre à définition logicielle. Là, un agent installé localement fournit des informations sur sa posture de sécurité à un contrôleur. Celui-ci demande à l’utilisateur de s’authentifier, puis renvoie une liste d’applications autorisées. Le contrôleur se charge ensuite de provisionner la connexion entre le terminal et une passerelle qui s’interpose entre les applications et Internet. Outre l’agent local, un composant de sécurité unifiée du terminal peut fournir les informations de contexte de sécurité.

CONSEIL ZTNA ET SASEHOME




PAS VERS LE SASE











À PROPOS

CONSEIL ZTNA ET SASE


Mais la disponibilité n’est pas le seul risque : il faut aussi tenir compte de celui d’une attaque et d’une compromission. « Des attaquants pourraient essayer de compromettre un courtier de confiance », soulignent les analystes. Et dans une telle hypothèse, le fournisseur du service doit avoir des mécanismes ad hoc : transfert du courtier compromis à un autre, ou arrêt immédiat, voire déconnexion d’Internet.

UN MARCHÉ DYNAMIQUE À l’heure du choix d’un fournisseur, Gartner souligne que le marché est encore jeune, sujet à disparition d’acteurs ou de rachats. Et cela d’autant plus alors que les fournisseurs cherchant à construire leur offre SASE intégrée ne manquent pas.

De fait, Palo Alto Networks et VMware ont commencé à construire leur offre à force de rachats. Mais cela vaut également pour Symantec, McAfee, Cisco, Forcepoint, ou encore tout récemment Barracuda Networks, avec le rachat de Fyde. Et ce n’est probablement pas fini. ■

VALÉRY MARCHIVE, rédacteur en chef du MagIT et responsable éditorial de « Information sécurité ».

DES RISQUES RÉSIDUELS Sur le papier, les promesses du ZTNA sont nombreuses et alléchantes, quelle que soit l’approche. Mais il n’en reste pas moins des risques qu’il convient de ne pas occulter, et que ne manquent pas de mettre en exergue les analystes de Gartner.

« Des applications pleinement isolées passant par un service ZTNA vont cesser de fonctionner si ce service tombe ».–Steve Riley, Lawrence Orans, Neil MacDonald, analystes Gartner

Et cela commence par un courtier de confiance, un élément névralgique : « des applications pleinement isolées passant par un service ZTNA vont cesser de fonctionner si ce service tombe ». D’où la nécessité d’une redondance physique et géographique. Et l’on touche là au second point : la localisation des points de présence (POP), susceptible d’introduire de la latence. Ces POPs doivent être suffisamment nombreux et bien répartis pour l’éviter.

HOME




PAS VERS LE SASE











À PROPOS

ÉTAT DES LIEUX

Par Michael Heller

SASE : une adoption accélérée par un recours croissant au télétravailPlusieurs experts recommandent aux entreprises d’étudier l’adoption du Secure Access Service Edge pour renforcer leur sécurité réseau dans le cadre de l’accompagnement du télétravail, et pour réduire coûts et complexité.


Dans le sillage de la Covid-19, les entreprises se tournent de plus en plus vers le Secure Access Service Edge, ou SASE (prononcez « sassy »).

Le concept, qui n’a même pas un an, ne devait pas se généraliser avant 2024 au plus tôt, selon les prévisions, mais la chronologie d’adoption s’est accélérée, car les entreprises répondent aux besoins de sécurité d’une main-d’œuvre de plus en plus souvent distante.

Gartner a inventé le terme en août 2019, décrivant le SASE comme un moyen pour les entreprises de protéger leurs données, où qu’elles se trouvent, grâce à une combinaison de WAN à définition logicielle (SD-WAN), de passerelles web sécurisées (SWG), de passerelles d’accès cloud sécurisé (CASB) et d’un contrôle d’accès réseau sans confiance – le fameux zero-trust.

HOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/actualites/252474372/Securite-reseau-si-cest-sassy-cest-fantastique



https://www.lemagit.fr/conseil/Six-questions-a-poser-avant-devaluer-des-passerelles-Web-securisees




Neil MacDonald, vice-président et analyste distingué du cabinet Gartner, avait initialement prévu qu’environ 40 % des entreprises adopteraient le SASE d’ici 2024, mais il observe que les entreprises déploient déjà le modèle aujourd’hui : « vous verrez probablement une accélération de l’adoption, au nom de la réduction des coûts et de la complexité, plus tard cette année et tout au long de 2021 et 2022 », estime-t-il ainsi.

Johna Till Johnson, PDG de Nemertes Research, indique observer, elle aussi, plus d’entreprises intéressées par le SASE. Mais son cabinet préfère utiliser l’acronyme SCAPE (Secure Cloud Access and Policy Enforcement, ou accès cloud sécurisé et application des politiques) pour

définir le nouveau modèle. Car pour Johna Till Johnson, l’acronyme SASE est notamment trop « orienté télécoms » et néglige la manière dont les entreprises conduisent aujourd’hui leurs activités – qu’elle décrit comme orientée cloud, « fournissant un accès sécurisé à la fois aux ressources du cloud et aux ressources locales et permettant une application et une protection complètes des politiques sur ces ressources ».

DÉFINIR LE SASE Sur ce point, Neil MacDonald, qui a donné son nom au SASE dans une note de recherche de 2019, est d’accord avec l’analyse de Johna Till Johnson. Pour lui, le SASE

ÉTAT DES LIEUXHOME




PAS VERS LE SASE











À PROPOS


LES FOURNISSEURS S’ORIENTENT VERS LE SASE Les briques de base du SASE ont commencé à émerger il y a plusieurs années, notamment sous l’effet des efforts des fournisseurs pour ajouter à leurs offres des capacités liées à la sécurité cloud. Oracle, Cisco, Symantec, Palo Alto Networks et Microsoft, notamment, ont ainsi procédé à des acquisitions de solutions de CASB. Cette frénésie d’achats a culminé en novembre 2017 lorsque McAfee a acheté Skyhigh Networks, l’un des derniers CASB autonomes sur le marché. Zscaler a ajouté le support CASB à son offre SASE en 2019.

McAfee a également renforcé ses capacités SASE en acquérant Light Point Security, un pionnier du déport de rendu Web, en février 2020. En outre, Cato Networks a obtenu plus de 200 millions de dollars de financement pour soutenir son offre SASE.

Il y a également eu, dans le domaine du SD-WAN, les rachats de VeloCloud puis Nyansa, par VMware, ou celui de Talari par Oracle, et encore celui de CloudGenix par Palo Alto Networks.

Certains fournisseurs de solutions de sécurité basent leurs offres SASE sur des partenariats avec des fournisseurs de SD-WAN, mais Neil MacDonald estime que cette stratégie « fonctionnera jusqu’à ce qu’elle ne fonctionne plus ». Pour lui, à terme, le SASE sera dominé par quelques grands

reflète la façon dont l’accès et la sécurité réseau se sont éloignées du centre de calcul pour s’orienter vers le cloud, où les données sont réparties entre plusieurs fournisseurs de services et d’hébergement.

Selon les mesures internes de Nemertes, les organisations qui ont mis en place SASE ont 80 % de succès de plus que celles qui ne l’ont pas fait.

« Tout est inversé », expliquait-il d’un webinaire en avril 2020 : « au lieu que le centre de calcul soit le point central, c’est l’identité, c’est l’utilisateur, ce sont les données ». En conséquence, pour l’analyste, la sécurité des réseaux n’est plus une question de localisation, car les utilisateurs sont partout et se connectent à des services qui sont également répartis.

Selon Johna Till Johnson, l’intégration d’outils de sécurité individuels dans un service centralisé, axé sur les politiques, est inévitable, car de plus en plus de composants de réseau et de sécurité deviennent virtuels. Selon les mesures internes de Nemertes, les organisations qui ont mis en place SASE ont 80 % de succès de plus que celles qui ne l’ont pas fait.

ÉTAT DES LIEUXHOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/actualites/450430713/Passerelle-Cloud-McAfee-soffre-Skyhigh-Networks

https://www.lemagit.fr/actualites/252479211/McAfee-sinvite-sur-le-marche-du-deport-de-rendu-Web

https://www.lemagit.fr/actualites/252479211/McAfee-sinvite-sur-le-marche-du-deport-de-rendu-Web

https://www.lemagit.fr/actualites/450430174/Avec-le-rachat-de-VeloCloud-VMware-va-concurrencer-Cisco-sur-le-WAN

https://www.lemagit.fr/actualites/252477319/VMware-rachete-Nyansa-pour-enrichir-son-offre-SD-WAN-puis-NSX

https://www.lemagit.fr/actualites/252481084/SD-WAN-Palo-Alto-Networks-donne-un-nouveau-souffle-a-ses-ambitions


ÉTAT DES LIEUX


Car « plus il y a de fournisseurs qui ont accès à vos certificats pour réaliser ce que je viens de décrire, moins vous êtes en sécurité. Il vaut mieux ouvrir une fois et faire ce que l’y a à faire – inspecter le contenu, les paquets, rechercher les attaques et les données sensibles – pour ensuite appliquer les politiques en fonction de ce que fait l’utilisateur ».

L’ADOPTION DU SASE S’ACCÉLÈRE La pandémie de la Covid-19 a suscité un intérêt vif pour le SASE, estime Neil MacDonald. Il s’attend dès lors à une forte augmentation de l’adoption dans les deux prochaines années. Nemertes, dans sa récente étude sur le cloud et la cybersécurité, estime que 62 % des organisations ont déployé ou prévoient de déployer le SASE d’ici à la fin de 2020.

fournisseurs, car une implémentation SASE reposant sur plusieurs briques éparses est intrinsèquement moins sûre.

« Plus il y a de fournisseurs qui ont accès à vos certificats pour réaliser ce que je viens de décrire, moins vous êtes en sécurité.–Neil MacDonald, VP et analyste, Gartner

Car, relève l’analyste, l’un des moteurs du concept est le chiffrement du trafic : « il n’est donc pas logique qu’un fournisseur déchiffre la session et l’inspecte à la recherche de données sensibles et qu’un autre l’ouvre et y recherche des maliciels. Vous mettez vos données en danger à chaque fois que vous déchiffrez, inspectez et rechiffrez ».

HOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/definition/Certificat-numerique

https://whatis.techtarget.com/fr/definition/cybersecurite

https://www.lemagit.fr/definition/Chiffrement

ÉTAT DES LIEUX


ou si des projets SD-WAN ou une refonte d’architecture du réseau sont envisagés, « pourquoi ne pas revoir l’architecture de sécurité du réseau en même temps » ?

Et pourquoi s’y intéresser ? Pour Neil MacDonald, la motivation est simple : « réduction de la complexité, réduction des coûts, réduction du nombre de consoles, réduction du nombre de politiques, capacité à prendre en charge les terminaux administrés et non administrés d’une main-d’œuvre, qui est maintenant entièrement distante et le sera encore dans un avenir prévisible. Cela va créer une demande pour le marché ».

MICHAEL HELLER, Journaliste IT/Infosec.

« Depuis la Covid-19, nos entreprises clientes nous ont uniformément dit qu’elles accéléraient le passage à SCAPE », explique ainsi Johna Till Johnson. « Les technologues d’entreprise ont rapidement reconnu que le passage d’interne-vers-interne (succursales vers un centre de calcul interne) à externe-vers-externe (travailleurs à distance vers le cloud) est un changement fondamental. Les ressources basées sur le cloud et les ressources hors site ne disparaîtront pas après la fin de la pandémie, et il est temps d’adopter une nouvelle façon de penser, à la fois à la mise en réseau et à la protection des ressources en réseau ».

Neil MacDonald suggère aux entreprises réfléchissant au SASE de tirer profit de contrats de sécurité arrivant à échéance afin de faciliter toute migration. Si un contrat expire pour une passerelle web sécurisée ou un CASB,

HOME




PAS VERS LE SASE











À PROPOS

Un peu plus d’un an après avoir été formalisé par le cabinet Gartner, le concept de Secure Access Service Edge a commencé à affecter les marchés

des réseaux et de la sécurité. Alors que les fournisseurs en place prennent des mesures stratégiques pour construire des offres SASE (prononcez « sassy »), cette approche émergente a le potentiel de bouleverser les réseaux et la sécurité traditionnels.

DES STRATÉGIES VARIÉES Alors que le concept de SASE gagne en reconnaissance et en battage marketing, les fournisseurs en place font la promotion de leurs points forts pour revendiquer une part du marché correspondant. Cette ruée a engendré

MARCHÉ

Par Jennifer English

Le marché du SASE émerge comme la « vague du futur »Le Secure Access Service Edge est le dernier concept en date à faire parler de lui dans le domaine des réseaux et de la sécurité. Bien qu’il soit encore relativement nouveau, ce concept fait des vagues.


HOME




PAS VERS LE SASE











À PROPOS



une variété d’approches, telles que le SASE intégré, à fournisseur unique, et le SASE à fournisseurs multiples. Avec ce dernier, les clients associent les fonctions de réseau et de sécurité de différents fournisseurs.

Cato Networks et Open Systems proposent des plateformes à fournisseur unique qui les distinguent comme les principaux prétendants du SASE, estime Steve Garson, président de SD-WAN Experts : ils peuvent « fournir une plateforme qui fonctionne sans avoir à bricoler

MARCHÉ

Utilisez ce tableau pour comparer SASE à la sécurité des réseaux traditionnels. ©2020 Techtarget all rights reserved

HOME




PAS VERS LE SASE











À PROPOS


Cisco Umbrella dans la même offre. Mais les projets d’intégration de Cisco ne se concrétisent pas toujours sans heurts, relève Steve Garson : « [les clients] ont vu comment Cisco acquiert des entreprises avec des projets d’intégration de la plateforme, et cela ne se passe pas toujours aussi bien » que prévu. Du coup, même si les entreprises ont des environnements Cisco existants, la plupart sont prêtes à évaluer d’autres fournisseurs, explique-t-il.

ADMINISTRATION D’UN ENVIRONNEMENT SASE Un déploiement SASE hétérogène peut offrir plus de flexibilité, mais il risque également d’induire une complexité d’administration… que le concept SASE promet justement de réduire. Dave Greenfield, évangéliste technologique chez Cato Networks, souligne ainsi qu’il y a « une différence entre l’intégration et la convergence. Lorsque j’intègre des appliances ensemble – dans le meilleur des mondes – je les fais chaîner en service. Cela fonctionne brillamment et mon installation se fait facilement. Mais c’est tout. J’ai toujours à administrer des équipements individuels ».

« Personne n’aime gérer une demi-douzaine de contrats différents avec des fournisseurs de sécurité ».–Steve Garson, Président, SD-WAN Experts

des pièces », mais seule une poignée de fournisseurs peuvent se vanter d’une telle capacité.

John Burke, CIO et analyste principal chez Nemertes Research, ne dit pas autre chose, émettant au passage des doutes sur le fait qu’une offre SASE complète puisse véritablement être construite par un seul acteur ; ce qui poussera les fournisseurs à mieux intégrer les approches hétérogènes : « d’autres fournisseurs émergeront et apporteront probablement plus de flexibilité comme facteur de différenciation », estime ainsi John Burke, citant Palo Alto Networks comme exemple.

Palo Alto Networks a finalisé l’acquisition du fournisseur SD-WAN CloudGenix en avril, avec l’espoir de construire une plateforme SASE en intégrant le SD-WAN à son portefeuille de sécurité Prisma. Mais les clients peuvent choisir d’intégrer d’autres fournisseurs de SD-WAN à la pile de sécurité de Palo Alto, relève John Burke, ce qui permet des mises en œuvre plus ouvertes. Une fois que l’équipementier aura terminé l’intégration de CloudGenix, il devrait constituer un concurrent sérieux, estiment Steve Garson et John Burke.

Cisco a, quant à lui, annoncé mi-juin une mise à jour logicielle de ses équipements SD-WAN Viptela, qui apporte les capacités de sécurité de son portefeuille

MARCHÉHOME




PAS VERS LE SASE











À PROPOS



https://www.lemagit.fr/actualites/252484838/Cisco-demultiplie-les-possibilites-dinterconnexion-depuis-DNA-Center

https://www.lemagit.fr/actualites/252484838/Cisco-demultiplie-les-possibilites-dinterconnexion-depuis-DNA-Center

MARCHÉ


ADOPTION DU SASE ET AVANTAGES Bien que Steve Garson et John Burke ne s’attendent pas à ce que le marché du SASE se développe pleinement avant quelques années, ils ont déjà constaté un intérêt croissant de la part des entreprises, en particulier avec la dépendance soudaine à l’accès à distance, due à la COVID-19 : « tous nos interlocuteurs veulent le mettre en œuvre le plus rapidement possible. Ils ne parlent pas de l’année prochaine ou de l’année d’après, mais d’aujourd’hui », indique Steve Garson.

« Tous nos interlocuteurs veulent le mettre en œuvre le plus rapidement possible. Ils ne parlent pas de l’année prochaine ou de l’année d’après, mais d’aujourd’hui. »–Steve Garson, Président, SD-WAN Experts

Avec une mise en œuvre convergente du SASE, avec un fournisseur unique, les entreprises évitent cette complexité – et celle des contrats de service multiples. Selon Steve Garson, cette facilité d’administration est un facteur déterminant pour de nombreuses entreprises qui évaluent le SASE : « elles se lancent dans le processus d’évaluation en pensant qu’elles vont opter [pour une approche hétérogène]. Puis, une fois qu’elles en savent plus, elles réalisent que cela n’a pas de sens. Personne n’aime gérer une demi-douzaine de contrats différents avec des fournisseurs de sécurité ».

Steve Garson constate également un intérêt accru pour le SASE managé et co-managé, qui permet aux clients de travailler avec un fournisseur de services managés, tout en conservant la possibilité d’apporter des changements par eux-mêmes si nécessaire. L’option managée est également souvent moins chère.

HOME




PAS VERS LE SASE











À PROPOS

MARCHÉ


En plus d’options pour l’accès à distance et d’avancées en matière d’administration des services de réseau et de sécurité, le SASE améliore également l’efficacité, réduit la latence et diminue les coûts. Ces avantages ont stimulé l’intérêt des entreprises, ce qui a conduit le cabinet Gartner à prévoir qu’au moins 40 % des entreprises auront défini des stratégies d’adoption du SASE d’ici 2024. Steve Garson prévoit que la plupart des entreprises adopteront le SASE dans les cinq prochaines années. Pour lui, c’est tout simplement « la vague de l’avenir ». ■

JENNIFER ENGLISH, journaliste.

John Burke observe également un intérêt croissant pour le SASE. Il s’attend à ce que la pandémie renforce les facteurs sous-jacents qui poussent à l’adoption, comme le besoin d’un environnement unifié de gestion des politiques et la capacité de fournir un accès sécurisé, mais sans VPN.

Les responsables informatiques ont clairement donné la priorité à l’accès à distance ces derniers mois, en veillant à ce que leurs employés qui travaillent à domicile bénéficient d’une connectivité complète. Pour Cato Networks, la pandémie a servi de rampe de lancement pour sa plateforme SASE : « beaucoup de nos clients ont dû acheter Cato pour l’accès à distance », assure ainsi Dave Greenfield.

HOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/actualites/252494235/SASE-une-adoption-acceleree-par-un-recours-croissant-au-teletravail



Les bonnes pratiques d’architecture en matière de sécurité des réseaux connaissent un changement radical. L’abandon prévu depuis longtemps de la

protection périmétrique comme objectif principal, sinon unique, des architectures réseau semble enfin survenir, alors que deux nouveaux mots à la mode se glissent dans la conscience des professionnels de la cybersécurité : accès réseau sans confiance, ou zero-trust, et Secure Access Service Edge (SASE).

Pour dire les choses simplement, l’approche historique de la sécurité du système d’information consistant à utiliser un pont-levis et des douves pour protéger le château ne suffit plus aujourd’hui. La virtualisation, le cloud et le télétravail ont fait éclater le modèle.

CONSEIL

Pourquoi c’est SASE et zero-trust et pas SASE ou zero-trustLes deux sujets sont actuellement particulièrement prépondérants. Mais en matière d’adoption, ce n’est pas l’un ou l’autre : il s’agit d’utiliser le SASE pour établir les bases d’une gestion des accès sans confiance.


Par Mike Chapple

HOME




PAS VERS LE SASE











À PROPOS




L’accès au réseau sans confiance (ZTNA) et le SASE sont deux approches qui gagnent en popularité, car les organisations cherchent à mieux protéger leurs effectifs de plus en plus dispersés contre les attaques.

QU’EST-CE QUE L’ACCÈS RÉSEAU SANS CONFIANCE ? Le « sans confiance » est le modèle le plus établi. Conçu en 2010 par Forrester Research, il applique le principe de sécurité bien connu du moindre privilège à l’accès aux réseaux. Il le fait d’une manière qui ne repose pas sur les mêmes hypothèses de confiance que celles utilisées dans les architectures historiques.

Plus précisément, le principe de fonctionnement fondamental du ZTNA est qu’aucun utilisateur ou appareil ne devrait jamais se voir accorder l’accès à des ressources en fonction de sa seule localisation sur le réseau. L’époque où l’on accordait l’accès aux applications en fonction des adresses IP ou d’autres critères liés au réseau est révolue.

Au contraire, le ZTNA reconnaît que, dans l’environnement opérationnel actuel, les utilisateurs et les données sensibles peuvent être situés n’importe où : dans un bureau d’entreprise, à la maison, sur la route, dans le cloud, etc. Le modèle zero-trust remplace

l’approche de contrôle d’accès centrée sur le réseau, par une technologie d’authentification et d’autorisation forte qui permet aux administrateurs d’appliquer des contrôles d’accès granulaires.

CONSEIL

Ces sept piliers du «zero trust» aideront les organisations à choisir les outils et les politiques appropriés pour mieux sécuriser l’IT.

Source : Forrester - Illustration AlexDNDZ/adobe Stock ©2020 Techtarget. All rights reserved

HOME




PAS VERS LE SASE











À PROPOS


ces services et ces technologies afin de construire un réseau sécurisé adapté au cloud, et produit en mode cloud.

Le modèle SASE est particulièrement attrayant pour les organisations qui utilisent abondamment le cloud et les services cloud, ou qui sont sur le point de le faire. Cela

Ces contrôles permettent aux utilisateurs d’accéder à des applications spécifiques en fonction de leur rôle particulier dans l’organisation. Les contrôles permettent également de protéger le réseau contre les risques provenant de l’extérieur, ainsi que contre les risques internes au réseau, tels que les menaces internes, qu’il s’agisse de malveillance ou de simple négligence.

Une approche de sécurité réseau zero-trust simplifie non seulement les exigences du réseau, mais s’adapte aussi facilement à la nature flexible de l’environnement technologique actuel. Le ZTNA permet aux utilisateurs – où qu’ils se trouvent – d’accéder aux services – quel qu’en soit l’emplacement – tout en appliquant strictement le principe du moindre privilège.

QU’EST-CE QUE LE SASE ? SASE est une nouvelle approche de la mise en réseau et de la sécurité des réseaux qui s’appuie sur le modèle ZTNA pour tenter d’offrir un réseau totalement intégré. Ce modèle d’architecture cloud, introduit par Gartner en 2019, combine plusieurs fonctions de réseau et de sécurité, les fournissant comme un seul service cloud.

Le SASE combine ZTNA, passerelle d’accès cloud sécurisé (CASB), pare-feu en mode service, passerelle d’accès Web (SWG), et SD-WAN. L’objectif du SASE est de combiner

CONSEIL

Le SASE est construit sur les principes fondamentaux du « sans confiance » Icons : AlexDNDZ/Adobe Stock - ©2019 Techtarget all rights reserved

HOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/actualites/252494357/Le-marche-du-SASE-emerge-comme-la-vague-du-futur


https://www.lemagit.fr/definition/Pare-feu



CONSEIL


intégrer celles qui restent. Il est à noter que le passage au modèle SASE nécessite et permet une approche de sans confiance de la sécurité réseau.

Pour les professionnels de la cybersécurité d’aujourd’hui, le zero-trust et le modèle SASE sont des tendances à surveiller de près et à intégrer dans des décisions architecturales tournées vers l’avenir. Les organisations doivent prévoir d’adopter les principes du « sans confiance » à court terme, afin de mieux sécuriser les travailleurs distants qui accèdent aux services en ligne et sur site. Dans le même temps, elles devraient envisager tous les nouveaux projets de mise en réseau, dans l’optique de créer un environnement permettant d’avancer graduellement vers le modèle SASE. ■

MIKE CHAPPLE, professeur et expert en cybersécurité.

comprend les organisations distribuées, par exemple celles qui ont des succursales et des utilisateurs finaux dispersés, ainsi que les entreprises qui ont des activités IoT et des déploiements Edge Computing.

ZTNA ET SASE Le SASE peut être appréhendé comme une philosophie de conception, une couche plus haut que le ZTNA. Il ne s’agit pas de modèles de sécurité réseau distincts ou concurrents ; le ZTNA fait plutôt partie d’une architecture SASE globale.

Cependant, si la mise en œuvre du zero-trust peut être un objectif à court ou moyen terme pour les architectes de réseau, le SASE est un objectif à long terme. Les organisations peuvent décider aujourd’hui d’adhérer à l’approche SASE, puis de faire évoluer lentement leur réseau et leurs piles de sécurité réseau vers le modèle SASE. Cela prendra du temps de remplacer les technologies de sécurité patrimoniales et de mieux

HOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/conseil/Comment-lanalyse-du-trafic-reseau-ameliore-la-securite

https://whatis.techtarget.com/fr/definition/cybersecurite

https://www.lemagit.fr/definition/Internet-des-objets-IoT

https://whatis.techtarget.com/fr/definition/edge-computing-informatique-de-peripherie

SÉCURITÉ ET RÉSEAU

Par John Cavanaugh

Comment le SASE affecte les rôles sécurité et réseau dans l’entrepriseLa plupart des entreprises sont organisées en silos, mais la convergence entre réseau et sécurité qu’apporte le SASE pourrait bien bousculer les habitudes et conduire à plus de communication entre équipes.


Le WAN à définition logicielle, SD-WAN, a créé une opportunité pour s’écarter d’architectures pilotées par les opérateurs et empêcher les fournisseurs

établis de contrôler l’activité WAN des entreprises. Toutefois, l’utilisation de l’accès direct à l’internet, et de la connectivité à haut débit sur des sites distants a créé un problème d’administration des politiques de sécurité.

Sécuriser un système d’information implique le recours à toute une variété de systèmes. C’est économiquement faisable dans une approche centralisée, mais il est irréaliste de vouloir appliquer la même approche à des succursales. La dissociation des accès entre, d’une part,

HOME




PAS VERS LE SASE











À PROPOS



les tunnels sécurisés pour les services et applications internes, et d’autre part, les accès directs à Internet pour les applications SaaS, notamment, répond à des questions de performances. Mais pour les équipes de sécurité ou de conformité, c’est loin d’être un cadeau.

C’est là qu’intervient le Secure Access Service Edge (SASE). Ce concept architectural défini par Gartner est à l’origine de la convergence des fonctions de réseau et de sécurité à la périphérie.

LE PROBLÈME DES SILOS ORGANISATIONNELS Les services informatiques des grandes entreprises se sont développés au fil du temps et, par nécessité, ont donné naissance à des cultures organisationnelles ayant créé des silos distincts pour les réseaux, les serveurs, les postes de travail et la sécurité. Dans le monde centralisé qui précédait le SD-WAN, les équipements de sécurité étaient centralisés dans des centres de données et gérés par une équipe distincte.

La complexité de la sécurité a créé le besoin de personnel spécialisé travaillant sur des équipements spécialisés. Ces systèmes comprennent, entre autres, des dispositifs tels que les systèmes de prévention des intrusions (IPS), les systèmes de détection des intrusions (IDS), les pare-feu, les pare-feu de nouvelle génération, les outils de

prévention des pertes de données (DLP), etc. Mais presque personne ne pouvait se permettre de gérer ces systèmes séparés à la périphérie.

LE SD-WAN RÉPOND À L’ÉCHELLE, MAIS COMPLIQUE LA SÉCURITÉ Le routage défini par logiciel utilisant la technologie SD-WAN a résolu de nombreux problèmes d’échelle et de performances pour les entreprises, mais n’a pas résolu la question de la sécurité et de sa complexité. En fait, le SD-WAN a plutôt rendu le sujet plus complexe.

En réponse, la plupart des utilisateurs de SD-WAN ont choisi de conserver la sécurité comme un rôle distinct. En conséquence, les utilisateurs des succursales se connectent au SD-WAN par le biais d’un centre de calcul – comme ils le font avec des liens MPLS – où la zone démilitarisée de l’entreprise permet l’accès à Internet.

Deux approches ont émergé pour tenter d’améliorer la situation de la sécurité SD-WAN : les hubs de colocation et la sécurité en mode service.

Le premier modèle a permis de créer de nouvelles piles de sécurité exploitées par l’équipe de sécurité, réparties géographiquement pour améliorer les performances côté client, tout en maintenant une séparation complète sur

SÉCURITÉ ET RÉSEAUHOME




PAS VERS LE SASE











À PROPOS




https://www.lemagit.fr/definition/Prevention-des-intrusions

https://www.lemagit.fr/definition/Systeme-de-detection-dintrusions

https://www.lemagit.fr/definition/Pare-feu-de-nouvelle-generation-NGFW

https://whatis.techtarget.com/fr/definition/prevention-des-fuites-de-donnees-DLP?_ga=2.191675434.1872992306.1611566878-1835756412.1611566878

https://whatis.techtarget.com/fr/definition/MPLS?_ga=2.116928518.1872992306.1611566878-1835756412.1611566878


de calcul de l’entreprise et vers ceux de Zscaler. Le Cato Cloud de Cato Networks et l’unité OPAQ Networks de Fortinet exploitent également ce modèle.

Mais dans les deux cas, les équipes de sécurité et de réseau fonctionnent de manière totalement indépendante l’une de l’autre.

LA CONVERGENCE VERS LE SASE Zscaler, l’unité OPAQ Networks de Fortinet et une foule d’offres en mode cloud se réclament toutes du SASE natif, mais elles ne couvrent que la moitié de l’histoire, c’est-à-dire le côté sécurité. L’autre côté de l’équation du SASE est celui des fonctions réseau, et c’est là que la plupart des fournisseurs de SD-WAN brillent.

Aucun fournisseur ne dispose d’une offre parfaite, mais tous les leaders poursuivent une vision intégrée. Cisco, Fortinet, Palo Alto Networks et VMware VeloCloud ont rassemblé leurs offres de réseau et de sécurité par le biais d’une série d’acquisitions et se sont tous engagés dans la voie d’une offre SASE native. Séparément, Versa Networks est le dernier fournisseur indépendant dans le carré des leaders du quadrant magique 2020 de Gartner sur l’infrastructure WAN, puisque Silver Peak a récemment été racheté par HPE.

une pile de sécurité approuvée. L’architecture de référence Equinix Performance Hub en constitue un exemple : là, les clients peuvent agréger le trafic SD-WAN et établir des piles de sécurité de niveau entreprise qui permettent la connectivité à Internet, au SaaS et au cloud.

Zscaler a été le pionnier du second modèle, dans lequel la filiale dispose de tunnels sécurisés vers le(s) centre(s)


Source : Evgeniy Kharam - Icon : Appleuzr/Getty Images ©2020 Techtarget all rights reserved

HOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/conseil/Comment-le-modele-SASE-ameliore-la-securite-du-Cloud-et-du-teletravail

https://www.lemagit.fr/actualites/450281032/Versa-Networks-etend-son-portefeuille-de-fonctions-de-securite

https://www.lemagit.fr/actualites/252486163/SD-WAN-HPE-rachete-Silver-Peak

https://www.lemagit.fr/actualites/252486163/SD-WAN-HPE-rachete-Silver-Peak



Suite à l’annonce du modèle SASE par Gartner en 2019, Versa a ajusté le développement de ses produits pour combler des lacunes côté cloud. En outre, Versa fonctionne sur des plates-formes d’équipement standard (uCPE) et supporte le contrôle d’accès basé sur les rôles (RBAC) et le multitenant.

OBSTACLES ORGANISATIONNELS AU SASE Les obstacles au SASE sont principalement d’ordre organisationnel. Les équipes réseau ne sont pas licenciées pour avoir acheté Cisco ou Juniper, et les équipes de

Une nouvelle catégorie de fournisseurs est en train d’émerger, qui propose des services SASE de bout en bout. Par exemple, Cato Networks et Versa Networks proposent des offres qui incluent tous les composants locaux associés au SASE, tant pour le réseau que pour la sécurité. Cato fait converger le SD-WAN et la sécurité des réseaux en un service global, nativement cloud. Il connecte les sites, les utilisateurs mobiles, les centres de calcul et les applications cloud à son réseau fédérateur privé, en appliquant une pile de sécurité qui comprend un pare-feu de nouvelle génération, une passerelle web sécurisée, un antivirus, avec en prime détection et réponse managées.

HOME




PAS VERS LE SASE











À PROPOS

https://whatis.techtarget.com/fr/definition/multitenant?_ga=2.79115028.1872992306.1611566878-1835756412.1611566878



ne partagent pas la gestion d’un appareil, même lorsque les fonctionnalités de sécurité et de réseau ont des interfaces d’administration totalement séparées.

FACTEURS À PRENDRE EN COMPTE CONCERNANT LA CONVERGENCE SASE C’est là que la logique et la réalité se heurtent. Nous avons souvent besoin de comprendre ce que nous pouvons accomplir, au lieu de définir la solution parfaite et de ne jamais y parvenir.

Une organisation avec des silos rigides gravés dans le marbre ne se tournera probablement pas vers une offre SASE native, mais elle devrait. Les avantages en termes de coûts des offres intégrées sont énormes : moins d’appareils, moins de contrats avec les fournisseurs et moins de maintenance.

Vous connaissez l’appétit de votre propre organisation pour le changement et ses désirs de réduction des coûts. Demandez à des fournisseurs potentiels de répondre à ces questions, et vos options se dégageront. ■

JOHN CAVANAUGH, VP et CTO NetCraftsmen.

sécurité adorent Palo Alto. Le SASE exige des entreprises qu’elles se penchent sur un CPE et ses fonctions réseau et sécurité de manière globale. Toutefois, une organisation peut avoir des difficultés à mettre en œuvre le système s’il ne peut pas prendre en charge le multitenant et le RBAC, car la plupart des grandes entreprises ont des équipes distinctes pour l’architecture, l’ingénierie, la mise en œuvre et les opérations. En outre, elles séparent totalement les fonctions de sécurité et de réseau.

Le SASE exige des entreprises qu’elles se penchent sur un CPE et ses fonctions réseau et sécurité de manière globale.

Par exemple, un membre de l’équipe des opérations de sécurité peut avoir besoin d’un accès en lecture à un routeur et d’un accès en écriture à un pare-feu. Inversement, un dépanneur réseau peut avoir besoin d’un accès en écriture à un routeur, mais en lecture à l’IPS et au pare-feu. Les organisations disposant de ces silos vivent selon les séparations ITIL et fournissent un accès hiérarchisé aux équipements de l’infrastructure. Malheureusement, il arrive que des équipes d’entreprise

HOME




PAS VERS LE SASE











À PROPOS

https://whatis.techtarget.com/fr/definition/ITIL?_ga=2.112596996.1872992306.1611566878-1835756412.1611566878

PLATEFORMES SASE

Par Steve Garson

Découvrez 5 produits SASE, pour faire le tri entre réalité et battage marketingLe Secure Access Service Edge peut résoudre les problèmes courants de réseau et de sécurité, mais il s’agit encore d’une nouvelle technologie. Ce tour d’horizon vous permettra d’en savoir plus sur les 5 principales plateformes.


Un an seulement après son introduction par Gartner, le Secure Access Service Edge s’est imposé dans le paysage des réseaux d’entreprise

et de la sécurité. Aujourd’hui, presque tous les grands acteurs du domaine prétendent proposer une sorte d’offre SASE. Mais les acheteurs potentiels doivent comprendre ce que les produits SASE peuvent réellement accomplir face au buzz marketing des fournisseurs.

L’architecture SASE définit un service de cloud computing qui connecte et sécurise tous les terminaux de l’entreprise (sites, utilisateurs mobiles, ressources de cloud computing et dispositifs IoT) sur n’importe quel réseau physique. L’objectif d’un système SASE est d’unifier différents outils de connectivité et de sécurité qui, ensemble, ont entraîné des coûts d’investissement élevés et une maintenance compliquée, créant ainsi des failles dans l’infrastructure de sécurité.

HOME




PAS VERS LE SASE











À PROPOS



https://whatis.techtarget.com/fr/definition/Cloud-computing

https://whatis.techtarget.com/fr/definition/Cloud-computing

https://www.lemagit.fr/definition/Internet-des-objets-IoT


Il peut être difficile de faire la différence entre le battage marketing du SASE et la réalité. Dans leur processus de sélection de produits, les clients potentiels du SASE doivent tenir compte à la fois de la réalité présente des offres et de ce qu’ils espèrent en obtenir à terme.

LE SASE, EN THÉORIE Le SASE a vu le jour en réponse à l’adoption du cloud et de la mobilité par les entreprises. Les anciens réseaux d’entreprise ont été construits suivant l’idée que les utilisateurs travaillaient dans des bureaux, accédant aux données et aux applications présentées dans le centre de calcul. Pour des raisons de sécurité, l’accès à Internet

était généralement disponible pour les utilisateurs via une passerelle sécurisée au siège ou dans le centre de calcul.

Mais, à mesure que les données et les applications se déportent dans le cloud et que le travail à distance devient la norme, les entreprises repensent la manière de fournir un accès réseau sécurisé. Faire transiter le trafic au travers d’un centre de calcul ajoute trop de latence, et les réseaux existants manquent de bande passante. En outre, le périmètre de sécurité classique, où un pare-feu fixe protège le réseau de l’entreprise contre l’Internet non sécurisé, n’a guère de sens dans une infrastructure où les utilisateurs et les données se trouvent au-delà du périmètre.

PLATEFORMES SASEHOME




PAS VERS LE SASE











À PROPOS


Les entreprises se connectent à ces PoPs via n’importe quelle connexion Internet locale disponible. Les avantages comprennent un réseau étendu à définition logicielle (SD-WAN) pour connecter les sites, des clients VPN et un accès sans client pour les utilisateurs distants, des connexions natives ou des appareils virtuels pour le cloud. En tant que tel, le SASE peut, en théorie, remplacer les réseaux MPLS mondiaux, les VPN de site à site, les VPN d’accès à distance, les passerelles cloud et les interconnexions directes des réseaux existants.

Un éventail de fonctions de sécurité peut s’appliquer à tout le trafic envoyé aux points de présence. Gartner en a identifié un large : DNS sécurisé, pare-feu de nouvelle génération (NGFW), passerelle web sécurisée (SWG), passerelle d’accès cloud sécurité (CASB), accès réseau sans confiance (ZTNA) et prévention des fuites de données (DLP). Une plateforme unique intégrant toutes ces technologies crée une infrastructure de sécurité à la fois plus facile à administrer et à maintenir.

La convergence des technologies apporte également d’autres avantages. Le dépannage est plus facile pour les administrateurs informatiques, car toutes les données de réseau et de sécurité peuvent, en théorie, être exposées via une console unifiée. Les administrateurs n’ont plus besoin de passer d’une interface à l’autre, ce qui complique le processus de dépannage.

Les organisations ont besoin d’un dispositif de défense plus global.

Les organisations ont besoin d’un dispositif de défense plus global qui s’appuie sur une multitude de technologies allant de la protection des terminaux à la prévention des logiciels malveillants en passant par l’inspection du contenu.

Dans la pratique, la mise en œuvre d’une telle approche holistique s’est avérée difficile, en particulier pour les entreprises de taille moyenne. Les failles dans les infrastructures de sécurité sont des portes ouvertes pour les agresseurs, et les compétences spécialisées pour s’en protéger sont source de coûts additionnels. Souvent, les exigences des opérations quotidiennes empêchent les équipes informatiques allégées de mettre en œuvre les meilleures pratiques stratégiques, comme les tests d’intrusion ou la conception proactive de stratégies de réponse à incident.

Le SASE relève ces défis en matière de réseau et de sécurité en envisageant un réseau mondial de points de présence (PoP) interconnectés par une dorsale à hautes performances. Les logiciels de sécurité et de mise en réseau fonctionnent idéalement sur une plateforme multitenant native du cloud dans le PoP, ce qui donne au SASE toute l’élasticité, l’évolutivité et les avantages en termes de coûts d’un service cloud.





PAS VERS LE SASE











À PROPOS


https://www.lemagit.fr/conseil/VPN-les-bonnes-pratiques-pour-maintenir-la-securite

https://www.lemagit.fr/conseil/VPN-les-bonnes-pratiques-pour-maintenir-la-securite

https://whatis.techtarget.com/fr/definition/MPLS

https://whatis.techtarget.com/fr/definition/DNS-Domain-Name-System

https://www.lemagit.fr/definition/Pare-feu-de-nouvelle-generation-NGFW




https://whatis.techtarget.com/fr/definition/prevention-des-fuites-de-donnees-DLP

https://whatis.techtarget.com/fr/definition/multitenant

PLATEFORMES SASE


monde entier. Les entreprises doivent encore s’assurer que toutes les politiques de sécurité et d’optimisation des performances sont en place pour offrir à leurs employés une expérience à distance sécurisée et de niveau entreprise. L’architecture SASE répond directement à ces questions.

LE SASE DANS LES FAITS La réalité du SASE est cependant très différente de la théorie. Le SASE en tant qu’architecture reste un développement en cours pour les trois à cinq prochaines années. Aucune plateforme ne répond actuellement à tous les critères de Gartner.

Le fait de réunir toutes les technologies améliore l’agilité IT. Selon les recherches de SD-WAN Experts, l’un des défis de la COVID-19 était que les entreprises devaient soudainement faire passer des plateformes d’accès à distance, dimensionnées pour seulement 10 à 15 % de la main-d’œuvre travaillant quelques heures par jour, à une population complète travaillant toute la journée.

De tels changements impliquent l’achat de plus de ressources de serveurs VPN et d’une connectivité Internet renforcée, car le trafic doit aboutir à ces serveurs VPN. Davantage de serveurs VPN pourraient être nécessaires, que ce soit pour des raisons de disponibilité ou pour accueillir des utilisateurs travaillant dans des régions du

HOME




PAS VERS LE SASE











À PROPOS


CATO NETWORKS Cato propose Cato Cloud, qui, selon certaines sources, connecte toutes les succursales, les utilisateurs distants et les ressources cloud en un service cloud global et sécurisé.

Cato affirme avoir été conçu pour répondre à toutes les exigences clés du SASE : convergence de la connectivité et de la sécurité en un moteur single-pass et basé sur l’identité, un service basé sur le cloud et natif du cloud, une empreinte mondiale et prise en charge de toutes les extrémités.

Cato Cloud se compose d’un backbone privé mondial fort de plus de 60 PoPs et de services de sécurité entièrement gérés, comprenant NGFW, SWG, la nouvelle génération d’anti-logiciels malveillants, un système de prévention des intrusions (IPS), l’intégration native du cloud, l’accès à distance, la gestion unifiée et un dispositif SD-WAN – le Cato Socket.

Cato propose ses services sous la forme d’un abonnement annuel. Le prix est basé sur la capacité du dernier kilomètre des succursales connectées et sur le nombre d’utilisateurs distants.

OPEN SYSTEMS Les produits SASE proposés par Open Systems permettent de connecter en toute sécurité les utilisateurs

Aujourd’hui, les produits SASE diffèrent considérablement en termes de fonctionnalités. À une exception près, les fournisseurs réseaux et sécurité ne sont tout simplement pas encore en mesure de fournir la vision complète de SASE. C’est aussi simple que cela. Ainsi, la plus grande question que les acheteurs devraient se poser est de savoir exactement quelles parties de la vision de SASE l’architecture d’un fournisseur met actuellement en œuvre.

Partant de là, nous avons interrogé chacun des 5 fournisseurs étudiés ici sur les cinq domaines suivants :

1. Décrivez brièvement votre architecture SASE.

2. Identifiez les composants multitenant de votre plateforme SASE.

3. Fournissez-vous un backbone privé ? Si oui, combien de PoPs proposez-vous dans chaque région (Amérique du Nord, Amérique latine, EMEA, APAC et Chine) ?

4. Quelles sont les trois caractéristiques qui vous différencient ?

5. Décrivez votre modèle de tarification.





PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/definition/Malware

https://www.lemagit.fr/definition/Prevention-des-intrusions

PLATEFORMES SASE


d’héberger plusieurs instances sur une seule appliance Panorama. Les locataires de Prisma Access obtiennent leurs propres instances dédiées, qui ne sont pas partagées avec d’autres tenants.

Bien que Palo Alto ne dispose pas d’un backbone privé, elle prétend offrir une sécurité cohérente dans le cloud grâce à une architecture multicloud qui s’étend sur plus de 100 sites dans 76 pays.

Les modèles de tarification actuels sont basés sur l’utilisation de la bande passante.

VERSA NETWORKS Versa fournit des services SASE à la fois en local et via le cloud, en utilisant son système d’exploitation propriétaire (VOS). Versa SASE est disponible sous forme de service de cloud privé que les entreprises peuvent exploiter, administrer et héberger avec leurs propres Versa Cloud Gateways privées.

Les services SASE de Versa comprennent le SWG, le NGFW, l’infrastructure de bureau virtuel, le DNS aseptisé, la protection des ressources de calcul d’extrémité, le VPN, le ZTNA et le SD-WAN. Une interface de gestion unique administre la pile logicielle VOS.

d’une organisation à des applications, des succursales aux clouds, partout dans le monde. La société affirme qu’elle protège et surveille constamment les actifs numériques de ses clients afin de détecter les menaces de manière proactive et d’y répondre.

Les plateformes SASE gérées par la société reposent sur la plateforme unifiée et évolutive d’Open System, qui intègre les principaux services de réseau et de sécurité, notamment le SD-WAN, l’optimisation des applications, le NGFW, le SWG, le CASB et l’accès à distance. Open Systems n’a pas de composants ou de dorsale multitenant – il recommande aux clients de s’appuyer sur des dorsales tierces.

Open Systems propose un modèle de tarification basé sur l’utilisateur. Des frais d’installation uniques couvrent les coûts du projet, de conception et de mise en œuvre. Un coût mensuel récurrent couvre les licences logicielles et matérielles, la gestion du cycle de vie et le support.

PALO ALTO NETWORKS La plateforme SASE de Palo Alto utilise l’extrémité SD-WAN de CloudGenix avec Palo Alto Prisma Access pour sécuriser les terminaux SD-WAN et les utilisateurs mobiles, ainsi que Prisma SaaS pour sécuriser les applications SaaS approuvées. Prisma Access est une application multitenant qui permet aux clients

HOME




PAS VERS LE SASE











À PROPOS

https://whatis.techtarget.com/fr/definition/Cloud-prive-ou-Cloud-Interne-ou-Cloud-dEntreprise

PLATEFORMES SASE


mondial de plus de 2 700 nœuds de services dans le cloud, répartis sur plus de 100 points de présence. Ces points de présence servent de passerelle vers le SaaS et d’autres services de cloud computing. Toutefois, VMware ne fournit pas backbone et s’appuie plutôt sur des partenaires fournisseurs de services.

Les services de réseau et de sécurité peuvent être fournis de manière intrinsèque ou séquentielle aux succursales, aux utilisateurs mobiles, aux campus et aux équipements IoT. Tous les composants sont multitenant.

VMware pratique une tarification par abonnement. Les périphériques physiques VMware Edge sont disponibles à la fois à l’achat et à la location ; des offres logicielles spécifiques sont également disponibles pour répondre aux besoins à long terme du télétravail. ■

STEVE GARSON, Président SD-WAN Experts.

Les Versa Cloud Gateways sont réparties sur 90 sites. Bien que Versa ne fournisse pas de backbone, il a la capacité d’interconnecter les passerelles à travers des backbones privés au sein d’Azure, AWS et Equinix. L’isolation des navigateurs distants, la sandbox réseau et le CASB sont en version bêta.

Versa SASE est disponible sous forme de service par abonnement et son prix varie en fonction des caractéristiques et des capacités dont les utilisateurs ont besoin.

VMWARE La plateforme SASE de VMware fait converger la mise en réseau dans le cloud, la sécurité dans le cloud et le ZTNA avec la sécurité web. Elle inclut VMware Edge Network Intelligence, qui offre une visibilité accrue aux utilisateurs.

La plateforme SASE de VMware est disponible sous forme de service managé ou non, grâce à un réseau

HOME




PAS VERS LE SASE











À PROPOS


https://www.lemagit.fr/definition/Bac-a-sable

SÉCURITÉ DU CLOUD ET TÉLÉTRAVAIL

Par John Burke

Comment le modèle SASE améliore la sécurité du cloud et du télétravailDécouvrez comment le modèle du Secure Access Service Edge renforce la sécurité pour le travail à distance ainsi que l’accès aux ressources cloud en dehors du modèle traditionnel d’accès aux centres de calcul internes.


Une part importante de la main-d’œuvre travaillant à domicile en raison de la pandémie ne retournera pas dans les bureaux des entreprises

lorsque celle-ci sera terminée. Dès lors, les entreprises ont besoin d’une stratégie de sécurité renforcée pour le travail à domicile, et le modèle SASE peut faire l’affaire.

Après avoir constaté que leurs équipes peuvent être efficaces en travaillant depuis leur domicile ou ailleurs, les recherches de Nemertes sur l’espace de travail numérique ont révélé que de nombreuses entreprises voient une opportunité de se défaire de surfaces de bureau pour réaliser des économies en dépenses immobilières et de gestion associées. Mais pour le faire en toute sécurité, les entreprises doivent adopter une autre façon de penser la sécurité, ce qui devenait déjà urgent avant la pandémie.

HOME




PAS VERS LE SASE











À PROPOS


https://www.lemagit.fr/conseil/Quatre-conseils-pour-securiser-le-travail-a-distance


Nemertes a finalisé son étude sur les réseaux de nouvelle génération 2020-21 juste avant les premiers grands confinements liés à la Covid-19. Même à cette époque, les résultats ont révélé qu’environ 39 % seulement du trafic WAN des entreprises provenaient et se terminaient à l’intérieur de l’entreprise – c’est-à-dire que cette partie du trafic commençait dans une succursale et se terminait dans un centre de calcul. Le reste du trafic WAN de l’entreprise provenait ou se terminait en dehors de l’entreprise.

Un peu moins de 20 % du trafic provenaient et se terminaient en dehors de l’entreprise, comme lorsqu’un employé d’un hôtel accède au réseau de l’entreprise via un VPN pour être ensuite acheminé vers Microsoft 365 ou une autre application cloud.

Toute sécurité reposant sur le trafic de l’intérieur vers l’extérieur doit donc être reconsidérée dans la perspective d’un travail en tout lieu.

Comme la pandémie a entraîné un vaste mouvement de masse vers le télétravail et accéléré de nombreuses migrations vers le cloud, ces 20 % ont probablement augmenté de manière considérable. Le fait que tant de personnes ne retourneront jamais au bureau signifie que

le trafic WAN des entreprises ne retrouvera jamais ses niveaux antérieurs.

Toute sécurité reposant sur le trafic de l’intérieur vers l’extérieur doit donc être reconsidérée dans la perspective d’un travail en tout lieu. Les entreprises doivent intégrer de manière transparente la sécurisation des scénarios traditionnels et des scénarios plus récents de type « de l’extérieur vers l’extérieur » illustrés par l’accès au cloud en télétravail. Les VPN traditionnels peuvent être difficiles et coûteux à adapter au nombre de sessions et volume de trafic nécessaires.

LE MODÈLE SASE MET L’ACCENT SUR UN AUTRE MODÈLE Le modèle SASE (Secure Access Service Edge), en plein essor, vise à faire évoluer la sécurité des entreprises vers un modèle d’exploitation plus proche du cloud. Au lieu d’un petit nombre de points de terminaison VPN situés dans les centres de calcul des entreprises, les outils SASE fournissent un ensemble de points de présence (POP) largement répartis, et les utilisateurs s’authentifient auprès du plus proche pour se connecter aux ressources de l’entreprise dans le centre de calcul ou dans le cloud.

Parmi les avantages du modèle SASE, tout le trafic entre le POP d’entrée et les ressources cloud ou le centre de

SÉCURITÉ DU CLOUD ET TÉLÉTRAVAILHOME




PAS VERS LE SASE











À PROPOS



https://www.lemagit.fr/conseil/Microsoft-365-cinq-considerations-pour-sassurer-un-bon-backup

https://www.lemagit.fr/conseil/VPN-gerer-les-besoins-en-bande-passante


AU-DELÀ DES POINTS D’ACCÈS SÉCURISÉS GÉRÉS PAR L’ENTREPRISE Le passage massif au télétravail a attiré encore plus l’attention sur la sécurisation des terminaux administrés par les entreprises, mais ne bénéficiant plus de la protection périmétrique des réseaux d’entreprise. De quoi faire émerger le besoin d’aller au-delà du seul SASE, et de pousser à l’intégration de la protection et de la détection/remédiation (EDR) des postes de travail avec le SASE.

Mais dans l’idéal, l’environnement entier a besoin d’une analyse comportementale complète, souvent fournie dans le cadre de produits de détection et de réponse

calcul de l’entreprise est chiffré, et divers autres contrôles de sécurité sont superposés pour surveiller et protéger les usages, notamment des passerelles de sécurité Web.

Plus important encore, les systèmes SASE fournissent ou s’intègrent aux systèmes d’accès cloud sécurisé (CASB) pour appliquer la politique d’accès de l’entreprise aux systèmes de l’entreprise en dehors du centre de calcul, en particulier les outils SaaS. Les POP SASE se trouvent souvent dans les mêmes installations que les points d’accès des fournisseurs SaaS, de sorte que le trafic arrive à la solution SaaS avec une latence minimale.

SÉCURITÉ DU CLOUD ET TÉLÉTRAVAILHOME




PAS VERS LE SASE











À PROPOS

https://www.lemagit.fr/actualites/252482851/EDR-le-Mitre-livre-les-resultats-de-son-evaluation-des-capacites-de-detection


https://www.lemagit.fr/actualites/252490170/CASB-CPSM-et-CWPP-ces-technologies-qui-dessinent-le-futur-de-la-securite-du-Cloud


SÉCURITÉ DU CLOUD ET TÉLÉTRAVAIL


Les entreprises doivent évaluer leurs propres besoins et préférences lorsqu’elles considèrent leurs options, notamment en ce qui concerne la manière dont elles souhaitent combiner la gestion de la sécurité des utilisateurs sur site et des ressources en cloud privé avec la gestion du télétravail ou même, de n’importe où sauf au bureau. ■

JOHN BURKE, CTO et analyste, Nemertes Research.

étendues (XDR), afin d’associer le réseau et ses hôtes à une approche consolidée de la détection et de la réponse aux menaces. Nemertes appelle cette combinaison de fonctions « accès sécurisé au nuage et application des politiques (SCAPE) ». Les outils et services SASE, et notamment ceux de Cato Networks, Cisco, Fortinet et Palo Alto Networks, évoluent vers le SCAPE à mesure que les entreprises adoptent une approche intégrée de la protection des terminaux.

HOME




PAS VERS LE SASE











À PROPOS

https://whatis.techtarget.com/fr/definition/Cloud-prive-ou-Cloud-Interne-ou-Cloud-dEntreprise?_ga=2.93987294.2107633713.1610357351-842491344.1602163625


TechTarget Security Media Group

INFORMATION SÉCURITÉ

RÉDACTEUR EN CHEF DU MAGIT Valéry MarchiveCOORDINATRICE ÉDITORIALE Pascale RoncinÉDITEURS Bill Crowley et Byrony Seifert

Images Adobe Stock

ABONNEMENTwww.lemagit.fr

TechTarget–LeMagIT, 29 rue du Colisée, 75008 Paris

©2021 TechTarget Inc. Aucun des contenus de cette publication ne peut être transmis ou reproduit quelle que soit sa forme sans l’autorisation écrite de l’éditeur. Les réimpressions des publications de TechTarget sont disponibles via les services de The YGS Group.

TechTarget édite des publications pour les professionnels de l’IT et propose plus de 100 sites qui fournissent un accès rapide à un stock important d’informations, de conseils, d’analyses concernant les technologies, les produits et les processus essentiels pour vous aider dans vos fonctions. Nos événements et nos séminaires virtuels vous donnent accès à l’expertise et aux recommandations d’experts sur les problèmes et défis que vous rencontrez quotidiennement. Notre communauté en ligne “IT Knowledge Exchange” (Echange

de connaissances IT) vous permet de partager vos questions et d’ échanger des informations avec vos pairs et des experts du secteur.

HOME




PAS VERS LE SASE











À PROPOS

www.lemagit.fr

MARS 2021 INFORMATION

Documents

Transcript of MARS 2021 INFORMATION