L'architecture Secure Access Service Edge (SASE) a explosé en popularité au cours des dernières années et il n'y a aucun signe que cela change de sitôt.
Alors que les équipes de sécurité cherchent à renforcer l'application de politique afin de prévenir les menaces et de fournir une meilleure expérience utilisateur, le SASE reste la solution idéale pour simplifier la façon dont elles mettent en œuvre et maintiennent leurs stratégies de sécurité.
Introduction à SASE
SASE associe des solutions et des fonctionnalités de réseau et de sécurité dans un modèle de service cloud unique. L'unification de ces capacités réduit les coûts, améliore les performances des applications et offre une meilleure protection pour les entreprises.
Gartner® a le premier décrit la notion de SASE en 2019, et les circumstances liées à la pandémie ont accéléré l'adoption alors que les équipes informatiques cherchaient à soutenir des effectifs et des réseaux informatiques de plus en plus distribués.
En quelques années, le SASE est passé d'une notion académique à l'architecture la plus courante soutenue par des leaders de l'industrie de la cybersécurité. D'ici à 2025, Gartner prévoit une augmentation de 50 % du nombre de fournisseurs avec des offres SASE généralement disponibles auprès d'un seul fournisseur par rapport au premier semestre 2023.
L'association de la mise en réseau et de la sécurité permet au SASE d'accélérer les performances des utilisateurs finaux en permettant des liaisons directes vers le cloud au lieu de faire passer le trafic par un centre de données central pour inspection. De même, les services de sécurité unifiés favorisent une expérience utilisateur plus simple pour les employés qui interagissent avec les applications dont ils ont besoin pour faire leur travail.
Les entreprises introduisent de nouvelles solutions et s'éloignent des technologies obsolètes avec SASE, comme l'accès Virtual Private Network (VPN). Le Zero Trust Network Access (ZTNA) est une partie critique du SASE et permet aux entreprises d'éviter la latence que les VPN introduisent tout en authentifiant les utilisateurs et les appareils pour l'accès aux applications internes.
Avec autant de personnes travaillant à domicile et venant du monde entier, les solutions SASE sont essentielles pour maintenir la productivité et assurer une sécurité cloud robuste pour les entreprises. Le SASE renforce le travail à distance, améliore l'évolutivité et rend les politiques « Apportez votre propre appareil » (BYOD) plus sécurisées.
Comment fonctionne l'architecture SASE
Les aspects sécurité et réseau du SASE sont appelés respectivement Security Service Edge (SSE) et Software-Defined Wide Area Networking (SD-WAN).
Lorsqu'ils sont fournis ensemble par un seul fournisseur, ils composent le modèle SASE le plus efficace défini par Gartner® et couramment utilisé aujourd'hui :
Security Service Edge
Le SSE sécurise trois points d'accès clés : le web, le cloud et les applications privées. Il excelle à garder les attaquants dehors et à protéger les données sensibles.
L'unification de cette fonctionnalité de sécurité permet aux entreprises de regrouper le contrôle des accès, la sécurité des données, la protection contre les menaces et la surveillance en une seule plateforme. Les composants individuels du SSE peuvent être incorporés selon les besoins dans une stratégie de sécurité, avec l'objectif de les intégrer tous ensemble.
Le SASE optimise la conectivité et réduit la latence pour que le SSE puisse fonctionner efficacement et avec une expérience utilisateur de haute qualité
Software Defined Wide Area Networking
Le SD-WAN permet à l'entreprise d'acheminer et de gérer le trafic plus efficacement et de créer et d'étendre des politiques réseau où que se trouvent les utilisateurs.
Il peut réduire les coûts de réseau en utilisant n'importe quelle combinaison de branchements, y compris le MPLS, le LTE et les services Internet haut débit, pour donner aux utilisateurs l'accès le plus rapide aux applications et aux ressources de l'entreprise. La technologie SD-WAN peut également améliorer les performances en acheminant le trafic plus efficacement pour optimiser l'utilisation de la bande passante.
Les solutions secure SD-WAN incluent certaines fonctionnalités de sécurité intégrées telles que l'IPS et la détection avancée des programmes malveillants, qui se combinent bien avec une plateforme SASE axée sur la sécurité pour offrir une expérience utilisateur transparente et sécurisée.
Dans un modèle de sécurité traditionnel, les entreprises utilisent différents produits ponctuels pour protéger les effectifs hybrides des menaces. Mais un modèle de sécurité disparate entraîne des lacunes dans la couverture, des faux positifs et de mauvaises performances pour les utilisateurs. Cela permet aux menaces de passer inaperçues et pousse les employés à contourner les règles, ce qui amène plus de risques dans l'entreprise.
Le SASE change tout cela. Au niveau de la sécurité, il regroupe le paramétrage et l'application des politiques sur une seule console, ce qui facilite la gestion et la maintenance. Les services de sécurité sur le cloud et l'amélioration du réseau offrent de meilleures performances et une meilleure sécurité pour les applications cloud, et la couverture sans agent ajoute à une expérience utilisateur plus fluide.
Les cinq composants clés de SASE
Il y a cinq composants essentiels que vous devez adopter pour implémenter avec succès le SASE. On peut citer :
Secure Web Gateway (SWG)
Les SWG offre une protection contre les sites Web malveillants et applique les politiques de navigation Web de l'entreprise en utilisant des filtres d'inspection pour protéger le trafic initié par l'utilisateur. Il peut soit utiliser un proxy cloud, soit s'exécuter directement sur le terminal. Forcepoint ONE SWG fait partie du Zero Trust Web Access (ZTWA), qui améliore la sécurité SASE avec deux produits et fonctionnalités clés :
- Remote Browser Isolation (RBI) : le RBI affiche les sites à risque dans un conteneur virtuel distant, ce qui empêche le code malveillant d'infecter le terminal.
- Zero Trust content Disarm & Reconstruction (CDR) : le Zero Trust CDR extrait des informations commerciales valides à partir de fichiers, vérifie qu'ils sont sûrs, puis crée de nouveaux fichiers pour les transmettre, empêchant même les attaques et les failles de sécurité zero-day même avancées.
Cloud Access Security Broker (CASB)
Le CASB sécurise l'accès aux applications cloud et y applique des politiques de sécurité des données. Forcepoint ONE CASB offre une couverture avec et sans agent pour étendre la protection à n'importe quel appareil. Il détecte également automatiquement l'utilisation des applications cloud (autorisée ou non), analyse les risques et applique des commandes appropriées pour plus de 800 000 applications SaaS et de production.
Zero Trust Network Access (ZTNA)
Forcepoint ONE ZTNA fournit un accès contrôlé aux apps web privées depuis n'importe où, et permet un contrôle avancé des données en cours d'utilisation sur tous les appareils, gérés ou non. Forcepoint ONE ZTNA offre un accès en fonction du cadre spécifique de l'utilisateur, en utilisant le principe du moindre privilège et en proposant généralement des fonctionnalités telles que l'authentification multifacteur (MFA) et l'authentification unique (SSO).
Firewall-as-a-Service (FWaaS) / Firewall cloud
Alors que le SWG, le CASB et le ZTNA s'unissent pour former le SSE, la technologie du pare-feu représente le croisement entre sécurité et réseau. La technologie de pare-feu de nouvelle génération (NGFW) est disponible à la fois par le biais d'appareils physiques et virtuels, mais les administrateurs qui cherchent à faire évoluer le travail à distance au sein d'une architecture SASE s'appuieront probablement principalement sur des solutions basées sur le cloud, communément appelées Firewall-as-a-Service (FWaaS). Ils peuvent être déployés depuis n'importe où dans le monde via le cloud, ce qui offre visibilité et contrôle grâce à une gestion et une automatisation centralisées.
Software-Defined Wide Area Networking (SD-WAN)
En plus d'éviter l'installation de matériel et d'utiliser de manière flexible tous les raccordements disponibles, un secure SD-WAN dispose d'une fonctionnalité de sécurité intégrée telle que l'inspection multicouche, la prévention des intrusions et l'enfouissement du DNS. Le Forcepoint Secure SD-WAN garantit également que les applications vitales pour l'entreprise reçoivent la bande passante nécessaire et peuvent appliquer des fonctionnalités telles que le pilotage du trafic et la surveillance de l'état des applications pour réduire la latence et la gigue.
Sécuriser l'accès partout et n'importe où avec SASE
Le SASE n'est pas le seul cadre de sécurité à avoir fait des progrès au cours des dernières années. Il faut également le cadre Zero Trust, qui exige que tous les utilisateurs et tous les appareils soient en permanence authentifiés et validés avant de recevoir l'accès aux ressources informatiques au sein d'un réseau. Cette approche est l'inverse des pratiques de sécurité réseau traditionnelles, où n'importe qui ou n'importe quoi à l'intérieur du périmètre du réseau sécurisé était jugé fiable.
Mais il ne s'agit pas de choisir entre une architecture SASE ou une architecture Zero Trust, en fait, toute plateforme SASE qui mérite d'être envisagée intégrera les principes Zero Trust. La fusion de ces deux notions fournit la base pour des pratiques de sécurité des données à l'épreuve du temps.
Cette approche intégrée de la sécurité des données est la base du principe Data-first SASE mis au point par Forcepoint.
Le Data-First SASE va au-delà de la simple sécurisation de l'accès. En protégeant en permanence l'utilisation des données d'entreprise, en simplifiant la sécurité pour maximiser la productivité et en réduisant les coûts d'exploitation. Les principaux avantages du Data-First SASE comprennent :
- La sécurité des données partout : étendez en quelques clics les politiques de sécurité des données sur le Web, le cloud, le courrier électronique, le réseau et les terminaux
- Application distribuée : appliquez des politiques sur le cloud, la périphérie et les terminaux avec de meilleures performances
- Évolutivité fiable : évolutivité et élasticité d'une plateforme hyperscaler AWS
Meilleure sécurité des données avec Data-First SASE
Le Data-first SASE commence avec Forcepoint ONE. La plateforme de sécurité tout-en-un associe les performances et la sécurité, le tout sur une seule console.
Forcepoint ONE fournit une structure modulaire qui permet aux entreprises d'ajouter des services en fonction des besoins et de minimiser le temps passé sur le paramétrage et la formation. Les équipes de sécurité peuvent l'utiliser pour créer une architecture Data-First SASE une étape à la fois, en ajoutant au SSE et au SD-WAN l'élément supplémentaire de Zero Trust Data Security.
Forcepoint ONE offre la sécurité des données partout grâce à une intégration entre Forcepoint ONE et Forcepoint DLP. Il permet de répliquer en quelques clics le paramétrage des politiques sur le cloud, le web, le courrier électronique, le réseau et les terminaux. Il capitalise sur l'unification que le SASE introduit pour fournir un accès plus sécurisé aux données, où que se trouvent les utilisateurs.
Capacités clés et cas d'utilisation de Data-first SASE
Dans le Gartner® Critical Capabilities for Single-Vendor SASE 2023, Gartner a identifié trois cas d'utilisation clés : le SASE de base, le SASE réseau et le SASE avec sécurité avancée.
Gartner a observé que, across all offerings, most vendors provide strong branch networking and branch security capabilities. However, the level of advanced security features across all offerings is only mediocre for most enterprises.
Dans ce rapport, Forcepoint a été classé comme meilleur fournisseur pour l'Advanced Security Use Case.
Quelles entreprises devraient adopter le SASE avec sécurité avancée ? Gartner est clair : “This is typically a highly regulated enterprise or one that deals with sensitive information, such as financial services, insurance and healthcare. It is an organization that requires advanced security capabilities, not simply “good-enough” security.”
Avantages de Data-first SASE
Meilleures pratiques en matière de migration et d'implémentation
L'adoption par une entreprise d'un nouveau modèle de sécurité peut être décourageant, mais vous trouverez des astuces et des meilleures pratiques pour mettre ces nouveaux systèmes en place. Vous trouverez ci-dessous deux guides que Forcepoint a mis au point pour rendre le processus plus fluide.
The Painless Guide to Implementing Security Service Edge (SSE)
Lire le livre blanc
Secure SD-WAN: The Network Component of SASE
Regarder la webémissionLa facilité d'implémentation d'un modèle de sécurité Data-First SASE augmente énormément lorsque les produits individuels proviennent du même fournisseur et sont faits pour fonctionner ensemble. Forcepoint ONE A Unique, Data-first SASE Platform explique les avantages du SASE avec un seul fournisseur, en quoi Forcepoint diffère des autres fournisseurs SASE et en quoi Forcepoint ONE rend le Data-First SASE facile à adopter.
Conformité et Data-first SASE
Le Data-First SASE excelle à aider les entreprises à respecter les réglementations en matière de données dans le monde entier. Forcepoint DLP fournit plus de 1 700 classificateurs et modèles de politiques prédéfinis, qui respectent les exigences de protection des données de plus de 80 pays. Grâce à Forcepoint ONE, ces politiques peuvent être étendues aux différents coins de l'entreprise et offrent une large couverture et visibilité pour les audits.
Il imcombe aux entreprises de comprendre les réglementations pertinentes et de prendre des mesures pour en démontrer la conformité. Voici les principales réglementations qui peuvent toucher votre entreprise :
Data Privacy Compliance – Simplifié
En regroupant les fonctions de sécurité sur une plateforme SASE avec un seul fournisseur, les entreprises peuvent plus facilement appliquer des politiques sur plusieurs canaux. Il est ainsi plus facile de gérer de manière flexible les exigences réglementaires changeantes ou les nouvelles exigences applicables.
La sécurité des données partout est la capacité que Forcepoint offre pour définir une politique sur le SWG, le CASB et le ZTNA, ainsi que sur les terminaux et le courrier électronique, ce qui accélère les changements et économise la main-d'œuvre.
Accélérez votre transformation avec Data-first SASE
Les entreprises du monde entier se concentrent sur la transformation digitale et recherchent de nouvelles opportunités pour augmenter la productivité de l'entreprise et réduire les coûts d'exploitation. Les entreprises de plus en plus distribuées réaménagent leurs réseaux et leur sécurité pour transférer leurs données et applications les plus précieuses vers le cloud, afin de fournir aux utilisateurs un accès plus rapide et plus abordable aux ressources de l'entreprise.
De nombreuses entreprises obtiennent la connectivité fiable et sécurisée requise pour le cloud via le SASE. Le SASE offre de nombreux avantages à l'échelle de l'entreprise, y compris :
- L'augmentation de la productivité en accélérant l'adoption d'applications SaaS/cloud qui améliorent le travail
- La réduction des risques en ajoutant la sécurité au déploiement SD-WAN direct-to-cloud pour garder les intrus dehors
- La réduction des coûts en évitant le besoin de raccordements MPLS coûteux
- La rationnalisation des opérations en intégrant la connectivité et la sécurité sur des milliers de sites
Ressources et références
Lire le rapport
Lire le rapport
Lire la brochure
