Comment le SASE affecte les rôles sécurité et réseau dans l’entreprise
La plupart des entreprises sont organisées en silos, mais la convergence entre réseau et sécurité qu’apporte le SASE pourrait bien bousculer les habitudes et conduire à plus de communication entre équipes.
Le WAN à définition logicielle, SD-WAN, a créé une opportunité pour s’écarter d’architectures pilotées par les opérateurs et empêcher les fournisseurs établis de contrôler l’activité WAN des entreprises. Toutefois, l’utilisation de l’accès direct à l’internet, et de la connectivité à haut débit sur des sites distants a créé un problème d’administration des politiques de sécurité.
Sécuriser un système d’information implique le recours à toute une variété de systèmes. C’est économiquement faisable dans une approche centralisée, mais il est irréaliste de vouloir appliquer la même approche à des succursales. La dissociation des accès entre, d’une part, les tunnels sécurisés pour les services et applications internes, et d’autre part, les accès directs à Internet pour les applications SaaS, notamment, répond à des questions de performances. Mais pour les équipes de sécurité ou de conformité, c’est loin d’être un cadeau.
C’est là qu’intervient le Secure Access Service Edge (SASE). Ce concept architectural défini par Gartner est à l’origine de la convergence des fonctions de réseau et de sécurité à la périphérie.
Le problème des silos organisationnels
Les services informatiques des grandes entreprises se sont développés au fil du temps et, par nécessité, ont donné naissance à des cultures organisationnelles ayant créé des silos distincts pour les réseaux, les serveurs, les postes de travail et la sécurité. Dans le monde centralisé qui précédait le SD-WAN, les équipements de sécurité étaient centralisés dans des centres de données et gérés par une équipe distincte.
La complexité de la sécurité a créé le besoin de personnel spécialisé travaillant sur des équipements spécialisés. Ces systèmes comprennent, entre autres, des dispositifs tels que les systèmes de prévention des intrusions (IPS), les systèmes de détection des intrusions (IDS), les pare-feu, les pare-feu de nouvelle génération, les outils de prévention des pertes de données (DLP), etc. Mais presque personne ne pouvait se permettre de gérer ces systèmes séparés à la périphérie.
Le SD-WAN répond à l’échelle, mais complique la sécurité
Le routage défini par logiciel utilisant la technologie SD-WAN a résolu de nombreux problèmes d’échelle et de performances pour les entreprises, mais n’a pas résolu la question de la sécurité et de sa complexité. En fait, le SD-WAN a plutôt rendu le sujet plus complexe.
En réponse, la plupart des utilisateurs de SD-WAN ont choisi de conserver la sécurité comme un rôle distinct. En conséquence, les utilisateurs des succursales se connectent au SD-WAN par le biais d’un centre de calcul – comme ils le font avec des liens MPLS – où la zone démilitarisée de l’entreprise permet l’accès à Internet.
Deux approches ont émergé pour tenter d’améliorer la situation de la sécurité SD-WAN : les hubs de colocation et la sécurité en mode service.
Le premier modèle a permis de créer de nouvelles piles de sécurité exploitées par l’équipe de sécurité, réparties géographiquement pour améliorer les performances côté client, tout en maintenant une séparation complète sur une pile de sécurité approuvée. L’architecture de référence Equinix Performance Hub en constitue un exemple : là, les clients peuvent agréger le trafic SD-WAN et établir des piles de sécurité de niveau entreprise qui permettent la connectivité à Internet, au SaaS et au cloud.
Zscaler a été le pionnier du second modèle, dans lequel la filiale dispose de tunnels sécurisés vers le(s) centre(s) de calcul de l’entreprise et vers ceux de Zscaler. Le Cato Cloud de Cato Networks et l’unité OPAQ Networks de Fortinet exploitent également ce modèle.
Mais dans les deux cas, les équipes de sécurité et de réseau fonctionnent de manière totalement indépendante l’une de l’autre.
La convergence vers le SASE
Zscaler, l’unité OPAQ Networks de Fortinet et une foule d’offres en mode cloud se réclament toutes du SASE natif, mais elles ne couvrent que la moitié de l’histoire, c’est-à-dire le côté sécurité. L’autre côté de l’équation du SASE est celui des fonctions réseau, et c’est là que la plupart des fournisseurs de SD-WAN brillent.
Aucun fournisseur ne dispose d’une offre parfaite, mais tous les leaders poursuivent une vision intégrée. Cisco, Fortinet, Palo Alto Networks et VMware VeloCloud ont rassemblé leurs offres de réseau et de sécurité par le biais d’une série d’acquisitions et se sont tous engagés dans la voie d’une offre SASE native. Séparément, Versa Networks est le dernier fournisseur indépendant dans le carré des leaders du quadrant magique 2020 de Gartner sur l’infrastructure WAN, puisque Silver Peak a récemment été racheté par HPE.
Une nouvelle catégorie de fournisseurs est en train d’émerger, qui propose des services SASE de bout en bout. Par exemple, Cato Networks et Versa Networks proposent des offres qui incluent tous les composants locaux associés au SASE, tant pour le réseau que pour la sécurité. Cato fait converger le SD-WAN et la sécurité des réseaux en un service global, nativement cloud. Il connecte les sites, les utilisateurs mobiles, les centres de calcul et les applications cloud à son réseau fédérateur privé, en appliquant une pile de sécurité qui comprend un pare-feu de nouvelle génération, une passerelle web sécurisée, un antivirus, avec en prime détection et réponse managées.
Suite à l’annonce du modèle SASE par Gartner en 2019, Versa a ajusté le développement de ses produits pour combler des lacunes côté cloud. En outre, Versa fonctionne sur des plates-formes d’équipement standard (uCPE) et supporte le contrôle d’accès basé sur les rôles (RBAC) et le multitenant.
Obstacles organisationnels au SASE
Les obstacles au SASE sont principalement d’ordre organisationnel. Les équipes réseau ne sont pas licenciées pour avoir acheté Cisco ou Juniper, et les équipes de sécurité adorent Palo Alto. Le SASE exige des entreprises qu’elles se penchent sur un CPE et ses fonctions réseau et sécurité de manière globale. Toutefois, une organisation peut avoir des difficultés à mettre en œuvre le système s’il ne peut pas prendre en charge le multitenant et le RBAC, car la plupart des grandes entreprises ont des équipes distinctes pour l’architecture, l’ingénierie, la mise en œuvre et les opérations. En outre, elles séparent totalement les fonctions de sécurité et de réseau.
Par exemple, un membre de l’équipe des opérations de sécurité peut avoir besoin d’un accès en lecture à un routeur et d’un accès en écriture à un pare-feu. Inversement, un dépanneur réseau peut avoir besoin d’un accès en écriture à un routeur, mais en lecture à l’IPS et au pare-feu. Les organisations disposant de ces silos vivent selon les séparations ITIL et fournissent un accès hiérarchisé aux équipements de l’infrastructure. Malheureusement, il arrive que des équipes d’entreprise ne partagent pas la gestion d’un appareil, même lorsque les fonctionnalités de sécurité et de réseau ont des interfaces d’administration totalement séparées.
Facteurs à prendre en compte concernant la convergence SASE
C’est là que la logique et la réalité se heurtent. Nous avons souvent besoin de comprendre ce que nous pouvons accomplir, au lieu de définir la solution parfaite et de ne jamais y parvenir.
Une organisation avec des silos rigides gravés dans le marbre ne se tournera probablement pas vers une offre SASE native, mais elle devrait. Les avantages en termes de coûts des offres intégrées sont énormes : moins d’appareils, moins de contrats avec les fournisseurs et moins de maintenance.
Vous connaissez l’appétit de votre propre organisation pour le changement et ses désirs de réduction des coûts. Demandez à des fournisseurs potentiels de répondre à ces questions, et vos options se dégageront.