Secure access service edge ou convergence en matière de sécurité dans le cloud

D'ici 2024, au moins 40% des entreprises vont mettre en place des stratégies de secure access service edge selon Gartner. Cette convergence sécurité, réseau et cloud va révolutionner les architectures de sécurité et réseau. 

En parallèle au développement accru de la connectivité, il est nécessaire d'assurer la sécurité des réseaux et des données afin de les protéger des risques inhérents aux infrastructures de plus en plus complexes. Les menaces, des fuites de données aux erreurs de configuration, en passant par les employés malveillants, peuvent toucher des éléments de n’importe quel écosystème cloud et réseaux complexe si les protections adéquates ne sont pas mises en place.

Pour répondre à ce besoin, le Sase (pour secure access service edge, tel que défini par le cabinet d’étude Gartner) consiste à consolider des outils de réseau et de sécurité au sein de solutions ou de plateformes uniques. Un couplage qui garantit un accès à la fois efficace et sécurisé aux ressources informatiques des organisations

Cependant, cette combinaison de technologies de sécurité – parmi lesquelles le CASB, le SWG, le ZTNA, la protection DNS et le FWaaS - avec les technologies WAN (comme SD-WAN) peut s’avérer multidimensionnelle et devenir quelque peu vertigineuse. C'est pourquoi il convient de fournir quelques détails utiles sur ces technologies convergentes.

Le CASB, ou cloud access security broker

Le CASB est un point d'application des politiques qui assure la sécurité et la protection des données contre les menaces dans le cloud et sur n'importe quel équipement, indépendamment de l’endroit où il se trouve. Une solution CASB doit satisfaire à trois exigences : garantir la visibilité et le nettoyage après des événements à haut risque, proposer une sécurité proactive qui empêche les événements à haut risque de se produire au moment où ils apparaissent, et assurer une protection "zero-day" face aux risques de fuite de données et aux menaces de logiciels malveillants connus et inconnus.

Au regard de ce qui précède, il existe trois types de CASB. Tout d'abord, les CASB exclusivement API, qui n'offrent qu'une visibilité réactive. Ils utilisent l'accès API aux applications SaaS pour pallier aux fuites de données. Ensuite, il y a les CASB multimodes de première génération. Ils proposent à la fois une visibilité après coup et une sécurité proactive, mais pas de protection "zéro-day". Ces CASB n'offrent qu'une protection basée sur les signatures face aux logiciels malveillants et aux fuites de données identifiés sur un ensemble fixe d'applications. Enfin, le CASB multimode de nouvelle génération garantit une visibilité, une sécurité et une protection "zero-day". Il s'adapte de manière dynamique et protège les entreprises face aux logiciels malveillants ainsi que face aux risques de fuites de données identifiés ou pas, et ce sur n'importe quelle application.

SGW pour Secure Web Gateway

Les passerelles de sécurité SGW assurent la catégorisation et la réputation des URL, ainsi que la protection face aux menaces. Elles veillent à ce que les utilisateurs fassent un usage approprié du web uniquement, tout en les protégeant de menaces telles que le phishing et les malwares. Ces technologies peuvent également inclure des systèmes de prévention des intrusions (IPS), des systèmes de détection des intrusions (IDS) et des fonctionnalités de pare-feu.

ZTNA pour Zero Trust Network Access

Une solution de ZTNA garantit un accès sécurisé aux applications d'entreprise, que celles-ci soient hébergées sur un cloud public ou sur les réseaux au sein de l’entreprise. Lorsque des employés accèdent à distance à des ressources informatiques spécifiques, ils se voient souvent accorder un accès complet à tout ce qui se trouve sur le réseau. Naturellement, cela viole le principe de confiance zéro-trust et représente un risque de fuite de données. La mise en place d’une solution ZTNA permet de limiter les autorisations à certaines applications spécifiques via un tunnel d'accès qui ne nécessite pas de VPN (réseau privé virtuel).

Protection DNS

Ces technologies effectuent des recherches sur les domaines pour détecter les risques et les menaces existants, tels que l’hébergement de malware connus. Lorsque des menaces sont détectées, la réponse peut consister à couper l’accès au serveur DNS afin d’empêcher l'infection par un logiciel malveillant. 

FWaaS pour Firewall-as-a-Service

Ces outils permettent de mettre en oeuvre des politiques de segmentation et d’accès réseaux basés sur les ports, les protocoles et les applications. Ils peuvent également fournir des modules pour la qualité de service (QoS), les IPS, les IDS et les VPN.

SD-WAN

Le SD-WAN est largement utilisé par les entreprises qui cherchent un accès réseau sécurisé. C'est une alternative MPLS (multi-protocol label switching) pour la connectivité de site à site. Il existe également une accélération ou une optimisation du WAN entre des sites distants, tels que des filiales et des centres de données.

En plus de tout ce qui précède, l’approche Sase est motivé par l'hétérogénéité croissante des environnements des équipements et par l'accent mis sur une mobilité toujours plus grande. Les collaborateurs accèdent aux applications et aux données de l'entreprise à partir des équipements mis à leur disposition dans le cadre professionnel. Mais ils utilisent également leurs ordinateurs portables personnels dans des cafés ou des aéroports et s'attendent à accéder aux mêmes applications et aux mêmes données pour continuer à travailler. Certains collaborateurs agissant sur le terrain peuvent même ne jamais se rendre physiquement dans l'environnement de l'entreprise. Quoi qu'il en soit, la multiplication des points d’accès sont autant de défis à résoudre pour trouver la meilleure façon de sécuriser les données dans le Cloud et sur le réseau.

Les approches émergentes autour du Sase

Au niveau de la mise en œuvre du Sase, deux approches principales se développent : 

1. Agents basiques sur les appareils : Il s’agit d’installer des boîtiers physiques (ou appliances) dans le centre de données, chez le site du client ou chez le vendeur, pour garantir la sécurité et le contrôle attendus par les entreprises. Le défi pour l’entreprise consistera à gérer le manque d’élasticité des appliances dans la gestion du trafic de masse. Coûteux à gérer et à mettre à niveau, les appliances opèrent par le biais d’un agent endpoint simpliste qui transmet le trafic au boîtier, et provoque une latence qui peut s’avérer particulièrement problématique pour les grandes organisations comptant des milliers d'utilisateurs.
2. Agents endpoint intelligents et technologies proxy cloud : Cette approche offre un moyen de contrôler l'activité sur chaque dispositif en étendant le contrôle du réseau et la sécurité du cloud du périmètre jusqu'aux points d'extrémité eux-mêmes. Proposée via un service de cloud, cette approche est très élastique et supprime la dépendance aux appliances physiques ainsi que les inconvénients de la latence induite par le trafic de backhauling.

L’approche Sase gagne du terrain. L'expansion de l'infrastructure de réseau entraîne le besoin de solutions plus complètes capables de répondre aux besoins des entreprises du monde entier en termes de technologies et de sécurité. Le marché continuera alors de se développer rapidement en 2020, en même temps que le cloud.