cherezoff - stock.adobe.com

Comment le modèle SASE améliore la sécurité du cloud et du télétravail

Découvrez comment le modèle du Secure Access Service Edge renforce la sécurité pour le travail à distance ainsi que l’accès aux ressources cloud en dehors du modèle traditionnel d’accès aux centres de calcul internes.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information Sécurité 17 : L’accès réseau sans confiance, un premier pas vers le SASE

Une part importante de la main-d’œuvre travaillant à domicile en raison de la pandémie ne retournera pas dans les bureaux des entreprises lorsque celle-ci sera terminée. Dès lors, les entreprises ont besoin d’une stratégie de sécurité renforcée pour le travail à domicile, et le modèle SASE peut faire l’affaire.

Après avoir constaté que leurs équipes peuvent être efficaces en travaillant depuis leur domicile ou ailleurs, les recherches de Nemertes sur l’espace de travail numérique ont révélé que de nombreuses entreprises voient une opportunité de se défaire de surfaces de bureau pour réaliser des économies en dépenses immobilières et de gestion associées. Mais pour le faire en toute sécurité, les entreprises doivent adopter une autre façon de penser la sécurité, ce qui devenait déjà urgent avant la pandémie.

Nemertes a finalisé son étude sur les réseaux de nouvelle génération 2020-21 juste avant les premiers grands confinements liés à la Covid-19. Même à cette époque, les résultats ont révélé qu’environ 39 % seulement du trafic WAN des entreprises provenaient et se terminaient à l’intérieur de l’entreprise – c’est-à-dire que cette partie du trafic commençait dans une succursale et se terminait dans un centre de calcul. Le reste du trafic WAN de l’entreprise provenait ou se terminait en dehors de l’entreprise.

Un peu moins de 20 % du trafic provenaient et se terminaient en dehors de l’entreprise, comme lorsqu’un employé d’un hôtel accède au réseau de l’entreprise via un VPN pour être ensuite acheminé vers Microsoft 365 ou une autre application cloud.

Toute sécurité reposant sur le trafic de l’intérieur vers l’extérieur doit donc être reconsidérée dans la perspective d’un travail en tout lieu.

Comme la pandémie a entraîné un vaste mouvement de masse vers le télétravail et accéléré de nombreuses migrations vers le cloud, ces 20 % ont probablement augmenté de manière considérable. Le fait que tant de personnes ne retourneront jamais au bureau signifie que le trafic WAN des entreprises ne retrouvera jamais ses niveaux antérieurs.

Toute sécurité reposant sur le trafic de l’intérieur vers l’extérieur doit donc être reconsidérée dans la perspective d’un travail en tout lieu. Les entreprises doivent intégrer de manière transparente la sécurisation des scénarios traditionnels et des scénarios plus récents de type « de l’extérieur vers l’extérieur » illustrés par l’accès au cloud en télétravail. Les VPN traditionnels peuvent être difficiles et coûteux à adapter au nombre de sessions et volume de trafic nécessaires.

Le modèle SASE met l’accent sur un autre modèle

Le modèle SASE (Secure Access Service Edge), en plein essor, vise à faire évoluer la sécurité des entreprises vers un modèle d’exploitation plus proche du cloud. Au lieu d’un petit nombre de points de terminaison VPN situés dans les centres de calcul des entreprises, les outils SASE fournissent un ensemble de points de présence (POP) largement répartis, et les utilisateurs s’authentifient auprès du plus proche pour se connecter aux ressources de l’entreprise dans le centre de calcul ou dans le cloud.

Parmi les avantages du modèle SASE, tout le trafic entre le POP d’entrée et les ressources cloud ou le centre de calcul de l’entreprise est chiffré, et divers autres contrôles de sécurité sont superposés pour surveiller et protéger les usages, notamment des passerelles de sécurité Web.

Plus important encore, les systèmes SASE fournissent ou s’intègrent aux systèmes d’accès cloud sécurisé (CASB) pour appliquer la politique d’accès de l’entreprise aux systèmes de l’entreprise en dehors du centre de calcul, en particulier les outils SaaS. Les POP SASE se trouvent souvent dans les mêmes installations que les points d’accès des fournisseurs SaaS, de sorte que le trafic arrive à la solution SaaS avec une latence minimale.

Au-delà des points d’accès sécurisés gérés par l’entreprise

Le passage massif au télétravail a attiré encore plus l’attention sur la sécurisation des terminaux administrés par les entreprises, mais ne bénéficiant plus de la protection périmétrique des réseaux d’entreprise. De quoi faire émerger le besoin d’aller au-delà du seul SASE, et de pousser à l’intégration de la protection et de la détection/remédiation (EDR) des postes de travail avec le SASE.

Mais dans l’idéal, l’environnement entier a besoin d’une analyse comportementale complète, souvent fournie dans le cadre de produits de détection et de réponse étendues (XDR), afin d’associer le réseau et ses hôtes à une approche consolidée de la détection et de la réponse aux menaces. Nemertes appelle cette combinaison de fonctions « accès sécurisé au nuage et application des politiques (SCAPE) ». Les outils et services SASE, et notamment ceux de Cato Networks, Cisco, Fortinet et Palo Alto Networks, évoluent vers le SCAPE à mesure que les entreprises adoptent une approche intégrée de la protection des terminaux.

Les entreprises doivent évaluer leurs propres besoins et préférences lorsqu’elles considèrent leurs options, notamment en ce qui concerne la manière dont elles souhaitent combiner la gestion de la sécurité des utilisateurs sur site et des ressources en cloud privé avec la gestion du télétravail ou même, de n’importe où sauf au bureau.

Pour approfondir sur Protection du terminal et EDR