Accueil🇫🇷Chercher

Secure Access Service Edge

Un Secure Access Service Edge (SASE) est un terme inventé par la société d’analystes marketing Gartner. Le SASE a été promu pour la sécurité informatique dans les réseaux étendus (WAN) en fournissant à la fois un service d'informatique en nuage directement à la source de connexion (utilisateur, appareil, agence, appareil, Internet des objets (IdO) ou emplacement de l’informatique en périphérie) plutôt qu’un centre de données[1]. La sécurité repose sur l’identité numérique, le contexte en temps réel et les politiques de conformité de l’entreprise et de la réglementation. Une identité numérique peut être attachée à n’importe quoi, à une personne ou un appareil, à une succursale, à un service en nuage, à un logiciel d’application, à un système IdO ou à un emplacement de l'informatique en périphérie[2].

La pratique consistant à transporter tout le trafic WAN sur de longues distances vers un ou quelques centres de données d’entreprise pour des raisons de sécurité ajoute de la latence au réseau lorsque les utilisateurs et leurs applications sont dispersés, plutôt que sur place.

Vue d'ensemble

SASE combine SD-WAN avec des fonctions de sécurité informatique, y compris les courtiers en sécurité d’accès au nuage (CASB), les passerelles Web sécurisées (SWG), l’inspection des antivirus/logiciels malveillants, le réseau privé virtuel (VPN), le pare-feu en tant que service (FWaaS) et la prévention de la perte de données (DLP), tous fournis par un seul service cloud à la périphérie du réseau[3].

Les améliorations de service SASE SD-WAN peuvent inclure la priorisation du trafic, l’optimisation WAN et les backbones convergents pour améliorer la fiabilité et maximiser les performances[4].

Les réseaux WAN et les fonctions de sécurité sont généralement fournies sous forme de service unique aux points de présence (PDP) SASE dispersés situés le plus près possible des utilisateurs dispersés, des succursales et des services infonuagiques. Pour accéder aux services SASE, aux emplacements périphériques ou aux utilisateurs, connectez-vous au PoP disponible le plus proche. Les fournisseurs de SASE peuvent passer des contrats avec plusieurs fournisseurs de réseau de base et partenaires de peering pour offrir aux clients des performances WAN rapides et à faible latence pour les connexions PoP longue distance[2].

Historique

Le terme SASE a été inventé par les analystes de Gartner, Neil McDonald et Joe Skorupa, et il a été décrit dans un cycle de réseautage du 29 juillet 2019[5] et un rapport sur les tendances du marché[6] et un rapport de Gartner du 30 août 2019[2].

La SASE est portée par l’essor des smartphones, du edge et du cloud computing dans l’entreprise au détriment du LAN et du Centre de données d’entreprise. Au fur et à mesure que les utilisateurs, les applications et les données quittent le centre de données de l’entreprise pour passer à la périphérie du nuage et du réseau, le déplacement de la sécurité et du WAN vers l' edge est également nécessaire pour réduire au minimum les problèmes de latence et de rendement[7].

Le modèle d’informatique en nuage vise à déléguer et à simplifier la prestation des fonctions SD-WAN et de sécurité à de multiples appareils et emplacements d’informatique de bordure. Selon Gartner, différentes fonctions de sécurité peuvent également être appliquées à différentes connexions et sessions d’une même entité, qu’il s’agisse d’applications SaaS, de réseaux social, d’applications de centres de données ou de services bancaires personnels[2].

L’architecture cloud bénéficie d’améliorations typiques du cloud telles que l’élasticité, la flexibilité, l’agilité, la portée mondiale et la gestion déléguée.

Caractéristiques

Les principaux éléments du SASE sont :

  • Un tissu mondial de PoPs garantissant une gamme complète de capacitĂ©s WAN et de sĂ©curitĂ© avec une latence faible, partout oĂą se trouvent les bureaux d’affaires, les applications cloud et les utilisateurs de smartphones. Pour fournir une latence faible Ă  n’importe quel endroit, les PoPs SASE doivent ĂŞtre plus nombreux et Ă©tendus que ceux offerts par les fournisseurs de cloud public typiques et les fournisseurs SASE doivent avoir des relations peering Ă©tendues.
  • Services axĂ©s sur l’identitĂ©. Une identitĂ© peut ĂŞtre attachĂ©e Ă  n’importe quoi, d’une personne ou d’une succursale Ă  un appareil, une application, un service, un appareil IoT ou un emplacement informatique pĂ©riphĂ©rique Ă  la source de la connexion. L’identitĂ© est le contexte le plus significatif affectant la politique de sĂ©curitĂ© SASE. Cependant, l’emplacement, l’heure de la journĂ©e, la position de risque/confiance du dispositif de connexion et la sensibilitĂ© de l’application et des donnĂ©es fourniront d’autres contextes en temps rĂ©el dĂ©terminant les services et les politiques de sĂ©curitĂ© appliquĂ©s Ă  et tout au long de chaque session WAN.

Le Gartner Group et d’autres font la promotion d’une architecture SASE pour l’entreprise mobile et basée sur le cloud, qui doit inclure :

  • Une complexitĂ© rĂ©duite qui vient avec le modèle de nuage et un fournisseur unique pour toutes les fonctions de rĂ©seau Ă©tendu et de sĂ©curitĂ©, vs. plusieurs appareils de sĂ©curitĂ© de plusieurs fournisseurs Ă  chaque emplacement. La complexitĂ© rĂ©duite provient Ă©galement d’une architecture Ă  passage unique qui dĂ©crypte le flux de trafic et l’inspecte une fois avec plusieurs moteurs de politique plutĂ´t que d’enchaĂ®ner plusieurs services d’inspection ensemble.
  • Une architecture SASE est conçue pour fournir un accès universel :, accès cohĂ©rent rapide et sĂ©curisĂ© Ă  toute ressource de n’importe quelle entitĂ© Ă  n’importe quel endroit, par opposition Ă  un accès principalement basĂ© sur le centre de donnĂ©es d’entreprise.
  • La rentabilitĂ© du modèle cloud, qui permet de passer des coĂ»ts en capital initiaux Ă  des frais d’abonnement mensuels, consolide les fournisseurs et les revendeurs et rĂ©duit le nombre d’appareils et d’agents informatiques physiques et virtuels de la succursale que le service informatique doit acheter, gĂ©rer et maintenir en interne. La rĂ©duction des coĂ»ts provient Ă©galement de la dĂ©lĂ©gation de la maintenance, des mises Ă  niveau et des mises Ă  jour matĂ©rielles au fournisseur de SASE.
  • Les performances des applications et des services sont amĂ©liorĂ©es par un routage optimisĂ© par latence, ce qui est particulièrement bĂ©nĂ©fique pour les applications de vidĂ©o sensible Ă  la latence, VoIP et de collaboration. Les fournisseurs de SASE peuvent optimiser et acheminer le trafic Ă  travers des backbones haute performance sous contrat avec les transporteurs et les partenaires peering.
  • Une facilitĂ© d’utilisation : selon la mise en Ĺ“uvre, le SASE est susceptible de rĂ©duire le nombre d’applications et d’agents requis pour un appareil Ă  une seule application et offre une expĂ©rience uniforme Ă  l’utilisateur, peu importe oĂą il se trouve ou Ă  quoi il accède.
  • Une sĂ©curitĂ© constante via un service cloud unique pour toutes les fonctions de sĂ©curitĂ© WAN et les connexions WAN. La sĂ©curitĂ© est basĂ©e sur le mĂŞme ensemble de politiques, avec les mĂŞmes fonctions de sĂ©curitĂ© fournies par le mĂŞme service cloud Ă  n’importe quelle session d’accès, indĂ©pendamment de l’application, de l’emplacement de l’utilisateur ou de l’appareil et de la destination (cloud, application de centre de donnĂ©es). Une fois que le fournisseur de SASE s’adapte Ă  une nouvelle menace, l’adaptation peut ĂŞtre disponible sur tous les bords.

Critiques

La critique de SASE est venue de plusieurs sources, y compris IDC et IHS Markit, comme cité par Tobias Mann en 2019[8]. Les deux firmes d’analystes critiquent SASE comme un terme de Gartner qui n’est ni un nouveau marché, ni une nouvelle technologie, ni un nouveau produit, mais plutôt une intégration de la technologie existante avec une seule source de gestion. Clifford Grossner d’IHS Markit critique le manque d’analyse, d’intelligence artificielle et d’apprentissage automatique dans le cadre du concept SASE et la probabilité que les entreprises ne veulent pas obtenir toutes les fonctions SD-WAN et de sécurité d’un seul fournisseur. Gartner fait valoir que l’enchaînement des services de sécurité et des fonctions SD-WAN de plusieurs fournisseurs produit « des services incohérents, une gestion médiocre et une latence élevée »[8].

L’analyste d’IDC, Brandon Butler, cite la position d’IDC selon laquelle SD-WAN évoluera vers SD-Branch, défini comme le déploiement et la gestion centralisés des fonctions SD-WAN et de sécurité virtualisées dans plusieurs succursales.

Néanmoins, Zscaler[9], Cato Networks, Infoblox et Palo Alto Networks[10] ont introduit des offres sur le marché SASE.

Références

  1. "Invest Implications: 'The Future of Network Security Is in the Cloud'". Gartner. Retrieved 2020-04-05.
  2. MacDonald, Neil; Orans, Lawrence; Skorupa, Joe (August 30, 2019). "The Future of Network Security Is in the Cloud". Gartner.
  3. « The Network for the Digital Business Starts with the Secure Access Service Edge (SASE) », sur Cato Networks
  4. Matt Conran, « The evolution to Secure Access Service Edge (SASE) is being driven by necessity », sur Network World,
  5. « "Hype Cycle for Enterprise Networking, 2019" », sur Gartner
  6. « "Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge », sur Gartner,
  7. Conran, Matt (2019-10-03), « "Secure Access Service Edge (SASE): A reflection of our times" », sur Network World.,
  8. (en) Tobias Mann, « Analysts Debate SASE's Merits as Vendors Board Hype Train », Sdxcentral,‎ (lire en ligne Accès libre)
  9. « Rapport du Gartner Magic Quadrant pour le Security Service Edge (SSE) », sur Zscaler (consulté le )
  10. (en) Tobias Mann, « Palo Alto Networks Leaps Into SASE Market », sdxcentral,‎ (lire en ligne Accès libre)
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.