Secure Access Service Edge

SASE combine SD-WAN avec des fonctions de sécurité informatique, y compris les courtiers en sécurité d’accès au nuage (CASB), les passerelles Web sécurisées (SWG), l’inspection des antivirus/logiciels malveillants, le réseau privé virtuel (VPN), le pare-feu en tant que service (FWaaS) et la prévention de la perte de données (DLP), tous fournis par un seul service cloud à la périphérie du réseau[3].

Les améliorations de service SASE SD-WAN peuvent inclure la priorisation du trafic, l’optimisation WAN et les backbones convergents pour améliorer la fiabilité et maximiser les performances[4].

Les réseaux WAN et les fonctions de sécurité sont généralement fournies sous forme de service unique aux points de présence (PDP) SASE dispersés situés le plus près possible des utilisateurs dispersés, des succursales et des services infonuagiques. Pour accéder aux services SASE, aux emplacements périphériques ou aux utilisateurs, connectez-vous au PoP disponible le plus proche. Les fournisseurs de SASE peuvent passer des contrats avec plusieurs fournisseurs de réseau de base et partenaires de peering pour offrir aux clients des performances WAN rapides et à faible latence pour les connexions PoP longue distance[2].

Le terme SASE a été inventé par les analystes de Gartner, Neil McDonald et Joe Skorupa, et il a été décrit dans un cycle de réseautage du 29 juillet 2019[5] et un rapport sur les tendances du marché[6] et un rapport de Gartner du 30 août 2019[2].

La SASE est portée par l’essor des smartphones, du edge et du cloud computing dans l’entreprise au détriment du LAN et du Centre de données d’entreprise. Au fur et à mesure que les utilisateurs, les applications et les données quittent le centre de données de l’entreprise pour passer à la périphérie du nuage et du réseau, le déplacement de la sécurité et du WAN vers l' edge est également nécessaire pour réduire au minimum les problèmes de latence et de rendement[7].

Le modèle d’informatique en nuage vise à déléguer et à simplifier la prestation des fonctions SD-WAN et de sécurité à de multiples appareils et emplacements d’informatique de bordure. Selon Gartner, différentes fonctions de sécurité peuvent également être appliquées à différentes connexions et sessions d’une même entité, qu’il s’agisse d’applications SaaS, de réseaux social, d’applications de centres de données ou de services bancaires personnels[2].

L’architecture cloud bénéficie d’améliorations typiques du cloud telles que l’élasticité, la flexibilité, l’agilité, la portée mondiale et la gestion déléguée.

Les principaux éléments du SASE sont :

• Convergence du réseau WAN et des fonctions de sécurité réseau.

• Un tissu mondial de PoPs garantissant une gamme complète de capacités WAN et de sécurité avec une latence faible, partout où se trouvent les bureaux d’affaires, les applications cloud et les utilisateurs de smartphones. Pour fournir une latence faible à n’importe quel endroit, les PoPs SASE doivent être plus nombreux et étendus que ceux offerts par les fournisseurs de cloud public typiques et les fournisseurs SASE doivent avoir des relations peering étendues.

• Services axés sur l’identité. Une identité peut être attachée à n’importe quoi, d’une personne ou d’une succursale à un appareil, une application, un service, un appareil IoT ou un emplacement informatique périphérique à la source de la connexion. L’identité est le contexte le plus significatif affectant la politique de sécurité SASE. Cependant, l’emplacement, l’heure de la journée, la position de risque/confiance du dispositif de connexion et la sensibilité de l’application et des données fourniront d’autres contextes en temps réel déterminant les services et les politiques de sécurité appliqués à et tout au long de chaque session WAN.

• Prise en charge égale de tous les bords, y compris les emplacements physiques, les centres de données en nuage, les appareils mobiles des utilisateurs et l’informatique de bordure, avec placement de toutes les capacités au PoP local plutôt qu’à l’emplacement de bordure. Les connexions Edge au PoP local peuvent varier d’un SD-WAN pour une succursale à un client VPN ou à un accès Web client pour un utilisateur mobile, à plusieurs tunnels à partir du cloud ou des connexions cloud directes à l’intérieur d’un centre de données mondial[7].

Le Gartner Group et d’autres font la promotion d’une architecture SASE pour l’entreprise mobile et basée sur le cloud, qui doit inclure :

• Une complexité réduite qui vient avec le modèle de nuage et un fournisseur unique pour toutes les fonctions de réseau étendu et de sécurité, vs. plusieurs appareils de sécurité de plusieurs fournisseurs à chaque emplacement. La complexité réduite provient également d’une architecture à passage unique qui décrypte le flux de trafic et l’inspecte une fois avec plusieurs moteurs de politique plutôt que d’enchaîner plusieurs services d’inspection ensemble.

• Une architecture SASE est conçue pour fournir un accès universel :, accès cohérent rapide et sécurisé à toute ressource de n’importe quelle entité à n’importe quel endroit, par opposition à un accès principalement basé sur le centre de données d’entreprise.

• La rentabilité du modèle cloud, qui permet de passer des coûts en capital initiaux à des frais d’abonnement mensuels, consolide les fournisseurs et les revendeurs et réduit le nombre d’appareils et d’agents informatiques physiques et virtuels de la succursale que le service informatique doit acheter, gérer et maintenir en interne. La réduction des coûts provient également de la délégation de la maintenance, des mises à niveau et des mises à jour matérielles au fournisseur de SASE.

• Les performances des applications et des services sont améliorées par un routage optimisé par latence, ce qui est particulièrement bénéfique pour les applications de vidéo sensible à la latence, VoIP et de collaboration. Les fournisseurs de SASE peuvent optimiser et acheminer le trafic à travers des backbones haute performance sous contrat avec les transporteurs et les partenaires peering.

• Une facilité d’utilisation : selon la mise en œuvre, le SASE est susceptible de réduire le nombre d’applications et d’agents requis pour un appareil à une seule application et offre une expérience uniforme à l’utilisateur, peu importe où il se trouve ou à quoi il accède.

• Une sécurité constante via un service cloud unique pour toutes les fonctions de sécurité WAN et les connexions WAN. La sécurité est basée sur le même ensemble de politiques, avec les mêmes fonctions de sécurité fournies par le même service cloud à n’importe quelle session d’accès, indépendamment de l’application, de l’emplacement de l’utilisateur ou de l’appareil et de la destination (cloud, application de centre de données). Une fois que le fournisseur de SASE s’adapte à une nouvelle menace, l’adaptation peut être disponible sur tous les bords.

La critique de SASE est venue de plusieurs sources, y compris IDC et IHS Markit, comme cité par Tobias Mann en 2019[8]. Les deux firmes d’analystes critiquent SASE comme un terme de Gartner qui n’est ni un nouveau marché, ni une nouvelle technologie, ni un nouveau produit, mais plutôt une intégration de la technologie existante avec une seule source de gestion. Clifford Grossner d’IHS Markit critique le manque d’analyse, d’intelligence artificielle et d’apprentissage automatique dans le cadre du concept SASE et la probabilité que les entreprises ne veulent pas obtenir toutes les fonctions SD-WAN et de sécurité d’un seul fournisseur. Gartner fait valoir que l’enchaînement des services de sécurité et des fonctions SD-WAN de plusieurs fournisseurs produit « des services incohérents, une gestion médiocre et une latence élevée »[8].

L’analyste d’IDC, Brandon Butler, cite la position d’IDC selon laquelle SD-WAN évoluera vers SD-Branch, défini comme le déploiement et la gestion centralisés des fonctions SD-WAN et de sécurité virtualisées dans plusieurs succursales.

Néanmoins, Zscaler[9], Cato Networks, Infoblox et Palo Alto Networks[10] ont introduit des offres sur le marché SASE.

• (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Secure access service edge » (voir la liste des auteurs).