cherezoff - stock.adobe.com
Pourquoi c’est SASE et zero-trust et pas SASE ou zero-trust
Les deux sujets sont actuellement particulièrement prépondérants. Mais en matière d’adoption, ce n’est pas l’un ou l’autre : il s’agit d’utiliser le SASE pour établir les bases d’une gestion des accès sans confiance.
Les bonnes pratiques d’architecture en matière de sécurité des réseaux connaissent un changement radical. L’abandon prévu depuis longtemps de la protection périmétrique comme objectif principal, sinon unique, des architectures réseau semble enfin survenir, alors que deux nouveaux mots à la mode se glissent dans la conscience des professionnels de la cybersécurité : accès réseau sans confiance, ou zero-trust, et Secure Access Service Edge (SASE).
Pour dire les choses simplement, l’approche historique de la sécurité du système d’information consistant à utiliser un pont-levis et des douves pour protéger le château ne suffit plus aujourd’hui. La virtualisation, le cloud et le télétravail ont fait éclater le modèle.
L’accès au réseau sans confiance (ZTNA) et le SASE sont deux approches qui gagnent en popularité, car les organisations cherchent à mieux protéger leurs effectifs de plus en plus dispersés contre les attaques.
Qu’est-ce que l’accès réseau sans confiance ?
Le « sans confiance » est le modèle le plus établi. Conçu en 2010 par Forrester Research, il applique le principe de sécurité bien connu du moindre privilège à l’accès aux réseaux. Il le fait d’une manière qui ne repose pas sur les mêmes hypothèses de confiance que celles utilisées dans les architectures historiques.
Plus précisément, le principe de fonctionnement fondamental du ZTNA est qu’aucun utilisateur ou appareil ne devrait jamais se voir accorder l’accès à des ressources en fonction de sa seule localisation sur le réseau. L’époque où l’on accordait l’accès aux applications en fonction des adresses IP ou d’autres critères liés au réseau est révolue.
Au contraire, le ZTNA reconnaît que, dans l’environnement opérationnel actuel, les utilisateurs et les données sensibles peuvent être situés n’importe où : dans un bureau d’entreprise, à la maison, sur la route, dans le cloud, etc. Le modèle zero-trust remplace l’approche de contrôle d’accès centrée sur le réseau, par une technologie d’authentification et d’autorisation forte qui permet aux administrateurs d’appliquer des contrôles d’accès granulaires.
Ces contrôles permettent aux utilisateurs d’accéder à des applications spécifiques en fonction de leur rôle particulier dans l’organisation. Les contrôles permettent également de protéger le réseau contre les risques provenant de l’extérieur, ainsi que contre les risques internes au réseau, tels que les menaces internes, qu’il s’agisse de malveillance ou de simple négligence.
Une approche de sécurité réseau zero-trust simplifie non seulement les exigences du réseau, mais s’adapte aussi facilement à la nature flexible de l’environnement technologique actuel. Le ZTNA permet aux utilisateurs – où qu’ils se trouvent – d’accéder aux services – quel qu’en soit l’emplacement – tout en appliquant strictement le principe du moindre privilège.
Qu’est-ce que le SASE ?
SASE est une nouvelle approche de la mise en réseau et de la sécurité des réseaux qui s’appuie sur le modèle ZTNA pour tenter d’offrir un réseau totalement intégré. Ce modèle d’architecture cloud, introduit par Gartner en 2019, combine plusieurs fonctions de réseau et de sécurité, les fournissant comme un seul service cloud.
Le SASE combine ZTNA, passerelle d’accès cloud sécurisé (CASB), pare-feu en mode service, passerelle d’accès Web (SWG), et SD-WAN. L’objectif du SASE est de combiner ces services et ces technologies afin de construire un réseau sécurisé adapté au cloud, et produit en mode cloud.
Le modèle SASE est particulièrement attrayant pour les organisations qui utilisent abondamment le cloud et les services cloud, ou qui sont sur le point de le faire. Cela comprend les organisations distribuées, par exemple celles qui ont des succursales et des utilisateurs finaux dispersés, ainsi que les entreprises qui ont des activités IoT et des déploiements Edge Computing.
ZTNA et SASE
Le SASE peut être appréhendé comme une philosophie de conception, une couche plus haut que le ZTNA. Il ne s’agit pas de modèles de sécurité réseau distincts ou concurrents ; le ZTNA fait plutôt partie d’une architecture SASE globale.
Cependant, si la mise en œuvre du zero-trust peut être un objectif à court ou moyen terme pour les architectes de réseau, le SASE est un objectif à long terme. Les organisations peuvent décider aujourd’hui d’adhérer à l’approche SASE, puis de faire évoluer lentement leur réseau et leurs piles de sécurité réseau vers le modèle SASE. Cela prendra du temps de remplacer les technologies de sécurité patrimoniales et de mieux intégrer celles qui restent. Il est à noter que le passage au modèle SASE nécessite et permet une approche de sans confiance de la sécurité réseau.
Pour les professionnels de la cybersécurité d’aujourd’hui, le zero-trust et le modèle SASE sont des tendances à surveiller de près et à intégrer dans des décisions architecturales tournées vers l’avenir. Les organisations doivent prévoir d’adopter les principes du « sans confiance » à court terme, afin de mieux sécuriser les travailleurs distants qui accèdent aux services en ligne et sur site.
Dans le même temps, elles devraient envisager tous les nouveaux projets de mise en réseau, dans l’optique de créer un environnement permettant d’avancer graduellement vers le modèle SASE.