SFIO CRACHO - stock.adobe.com

SASE : découvrez les 5 principales plateformes

Le Secure Access Service Edge peut résoudre les problèmes courants de réseau et de sécurité, mais il s’agit encore d’une nouvelle technologie. Ce tour d’horizon vous permettra d’en savoir plus sur les 5 principales plateformes.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information Sécurité 17 : L’accès réseau sans confiance, un premier pas vers le SASE

Un an seulement après son introduction par Gartner, le Secure Access Service Edge s’est imposé dans le paysage des réseaux d’entreprise et de la sécurité. Aujourd’hui, presque tous les grands acteurs du domaine prétendent proposer une sorte d’offre SASE. Mais les acheteurs potentiels doivent comprendre ce que les produits SASE peuvent réellement accomplir face au buzz marketing des fournisseurs.

L’architecture SASE définit un service de cloud computing qui connecte et sécurise tous les terminaux de l’entreprise (sites, utilisateurs mobiles, ressources de cloud computing et dispositifs IoT) sur n’importe quel réseau physique. L’objectif d’un système SASE est d’unifier différents outils de connectivité et de sécurité qui, ensemble, ont entraîné des coûts d’investissement élevés et une maintenance compliquée, créant ainsi des failles dans l’infrastructure de sécurité.

Il peut être difficile de faire la différence entre le battage marketing du SASE et la réalité. Dans leur processus de sélection de produits, les clients potentiels du SASE doivent tenir compte à la fois de la réalité présente des offres et de ce qu’ils espèrent en obtenir à terme.

Le SASE, en théorie

Le SASE a vu le jour en réponse à l’adoption du cloud et de la mobilité par les entreprises. Les anciens réseaux d’entreprise ont été construits suivant l’idée que les utilisateurs travaillaient dans des bureaux, accédant aux données et aux applications présentées dans le centre de calcul. Pour des raisons de sécurité, l’accès à Internet était généralement disponible pour les utilisateurs via une passerelle sécurisée au siège ou dans le centre de calcul.

Mais, à mesure que les données et les applications se déportent dans le cloud et que le travail à distance devient la norme, les entreprises repensent la manière de fournir un accès réseau sécurisé. Faire transiter le trafic au travers d’un centre de calcul ajoute trop de latence, et les réseaux existants manquent de bande passante. En outre, le périmètre de sécurité classique, où un pare-feu fixe protège le réseau de l’entreprise contre l’Internet non sécurisé, n’a guère de sens dans une infrastructure où les utilisateurs et les données se trouvent au-delà du périmètre.

Les organisations ont besoin d’un dispositif de défense plus global.

Les organisations ont besoin d’un dispositif de défense plus global qui s’appuie sur une multitude de technologies allant de la protection des terminaux à la prévention des logiciels malveillants en passant par l’inspection du contenu.

Dans la pratique, la mise en œuvre d’une telle approche holistique s’est avérée difficile, en particulier pour les entreprises de taille moyenne. Les failles dans les infrastructures de sécurité sont des portes ouvertes pour les agresseurs, et les compétences spécialisées pour s’en protéger sont source de coûts additionnels. Souvent, les exigences des opérations quotidiennes empêchent les équipes informatiques allégées de mettre en œuvre les meilleures pratiques stratégiques, comme les tests d’intrusion ou la conception proactive de stratégies de réponse à incident.

Le SASE relève ces défis en matière de réseau et de sécurité en envisageant un réseau mondial de points de présence (PoP) interconnectés par une dorsale à hautes performances. Les logiciels de sécurité et de mise en réseau fonctionnent idéalement sur une plateforme multitenant native du cloud dans le PoP, ce qui donne au SASE toute l’élasticité, l’évolutivité et les avantages en termes de coûts d’un service cloud.

Les entreprises se connectent à ces PoPs via n’importe quelle connexion Internet locale disponible. Les avantages comprennent un réseau étendu à définition logicielle (SD-WAN) pour connecter les sites, des clients VPN et un accès sans client pour les utilisateurs distants, des connexions natives ou des appareils virtuels pour le cloud. En tant que tel, le SASE peut, en théorie, remplacer les réseaux MPLS mondiaux, les VPN de site à site, les VPN d’accès à distance, les passerelles cloud et les interconnexions directes des réseaux existants.

Un éventail de fonctions de sécurité peut s’appliquer à tout le trafic envoyé aux points de présence. Gartner en a identifié un large : DNS sécurisé, pare-feu de nouvelle génération (NGFW), passerelle web sécurisée (SWG), passerelle d’accès cloud sécurité (CASB), accès réseau sans confiance (ZTNA) et prévention des fuites de données (DLP). Une plateforme unique intégrant toutes ces technologies crée une infrastructure de sécurité à la fois plus facile à administrer et à maintenir.

La convergence des technologies apporte également d’autres avantages. Le dépannage est plus facile pour les administrateurs informatiques, car toutes les données de réseau et de sécurité peuvent, en théorie, être exposées via une console unifiée. Les administrateurs n’ont plus besoin de passer d’une interface à l’autre, ce qui complique le processus de dépannage.

Le fait de réunir toutes les technologies améliore l’agilité IT. Selon les recherches de SD-WAN Experts, l’un des défis de la COVID-19 était que les entreprises devaient soudainement faire passer des plateformes d’accès à distance, dimensionnées pour seulement 10 à 15 % de la main-d’œuvre travaillant quelques heures par jour, à une population complète travaillant toute la journée.

De tels changements impliquent l’achat de plus de ressources de serveurs VPN et d’une connectivité Internet renforcée, car le trafic doit aboutir à ces serveurs VPN. Davantage de serveurs VPN pourraient être nécessaires, que ce soit pour des raisons de disponibilité ou pour accueillir des utilisateurs travaillant dans des régions du monde entier. Les entreprises doivent encore s’assurer que toutes les politiques de sécurité et d’optimisation des performances sont en place pour offrir à leurs employés une expérience à distance sécurisée et de niveau entreprise. L’architecture SASE répond directement à ces questions.

Le SASE dans les faits

La plus grande question que les acheteurs devraient se poser est de savoir exactement quelles parties de la vision de SASE l’architecture d’un fournisseur met actuellement en œuvre.

La réalité du SASE est cependant très différente de la théorie. Le SASE en tant qu’architecture reste un développement en cours pour les trois à cinq prochaines années. Aucune plateforme ne répond actuellement à tous les critères de Gartner.

Aujourd’hui, les produits SASE diffèrent considérablement en termes de fonctionnalités. À une exception près, les fournisseurs réseaux et sécurité ne sont tout simplement pas encore en mesure de fournir la vision complète de SASE. C’est aussi simple que cela. Ainsi, la plus grande question que les acheteurs devraient se poser est de savoir exactement quelles parties de la vision de SASE l’architecture d’un fournisseur met actuellement en œuvre.

Partant de là, nous avons interrogé chacun des 5 fournisseurs étudiés ici sur les cinq domaines suivants :

  • Décrivez brièvement votre architecture SASE.
  • Identifiez les composants multitenant de votre plateforme SASE.
  • Fournissez-vous un backbone privé ? Si oui, combien de PoPs proposez-vous dans chaque région (Amérique du Nord, Amérique latine, EMEA, APAC et Chine) ?
  • Quelles sont les trois caractéristiques qui vous différencient ?
  • Décrivez votre modèle de tarification.

Cato Networks

Cato propose Cato Cloud, qui, selon certaines sources, connecte toutes les succursales, les utilisateurs distants et les ressources cloud en un service cloud global et sécurisé.

Cato affirme avoir été conçu pour répondre à toutes les exigences clés du SASE : convergence de la connectivité et de la sécurité en un moteur single-pass et basé sur l’identité, un service basé sur le cloud et natif du cloud, une empreinte mondiale et prise en charge de toutes les extrémités.

Cato Cloud se compose d’un backbone privé mondial fort de plus de 60 PoPs et de services de sécurité entièrement gérés, comprenant NGFW, SWG, la nouvelle génération d’anti-logiciels malveillants, un système de prévention des intrusions (IPS), l’intégration native du cloud, l’accès à distance, la gestion unifiée et un dispositif SD-WAN – le Cato Socket.

Cato propose ses services sous la forme d’un abonnement annuel. Le prix est basé sur la capacité du dernier kilomètre des succursales connectées et sur le nombre d’utilisateurs distants.

Open Systems

Les produits SASE proposés par Open Systems permettent de connecter en toute sécurité les utilisateurs d’une organisation à des applications, des succursales aux clouds, partout dans le monde. La société affirme qu’elle protège et surveille constamment les actifs numériques de ses clients afin de détecter les menaces de manière proactive et d’y répondre.

Les plateformes SASE gérées par la société reposent sur la plateforme unifiée et évolutive d’Open System, qui intègre les principaux services de réseau et de sécurité, notamment le SD-WAN, l’optimisation des applications, le NGFW, le SWG, le CASB et l’accès à distance. Open Systems n’a pas de composants ou de dorsale multitenant – il recommande aux clients de s’appuyer sur des dorsales tierces.

Open Systems propose un modèle de tarification basé sur l’utilisateur. Des frais d’installation uniques couvrent les coûts du projet, de conception et de mise en œuvre. Un coût mensuel récurrent couvre les licences logicielles et matérielles, la gestion du cycle de vie et le support.

Palo Alto Networks

La plateforme SASE de Palo Alto utilise l’extrémité SD-WAN de CloudGenix avec Palo Alto Prisma Access pour sécuriser les terminaux SD-WAN et les utilisateurs mobiles, ainsi que Prisma SaaS pour sécuriser les applications SaaS approuvées. Prisma Access est une application multitenant qui permet aux clients d’héberger plusieurs instances sur une seule appliance Panorama. Les locataires de Prisma Access obtiennent leurs propres instances dédiées, qui ne sont pas partagées avec d’autres tenants.

Bien que Palo Alto ne dispose pas d’un backbone privé, elle prétend offrir une sécurité cohérente dans le cloud grâce à une architecture multicloud qui s’étend sur plus de 100 sites dans 76 pays.

Les modèles de tarification actuels sont basés sur l’utilisation de la bande passante.

Versa Networks

Versa fournit des services SASE à la fois en local et via le cloud, en utilisant son système d’exploitation propriétaire (VOS). Versa SASE est disponible sous forme de service de cloud privé que les entreprises peuvent exploiter, administrer et héberger avec leurs propres Versa Cloud Gateways privées.

Les services SASE de Versa comprennent le SWG, le NGFW, l’infrastructure de bureau virtuel, le DNS aseptisé, la protection des ressources de calcul d’extrémité, le VPN, le ZTNA et le SD-WAN. Une interface de gestion unique administre la pile logicielle VOS.

Les Versa Cloud Gateways sont réparties sur 90 sites. Bien que Versa ne fournisse pas de backbone, il a la capacité d’interconnecter les passerelles à travers des backbones privés au sein d’Azure, AWS et Equinix. L’isolation des navigateurs distants, la sandbox réseau et le CASB sont en version bêta.

Versa SASE est disponible sous forme de service par abonnement et son prix varie en fonction des caractéristiques et des capacités dont les utilisateurs ont besoin.

VMware

La plateforme SASE de VMware fait converger la mise en réseau dans le cloud, la sécurité dans le cloud et le ZTNA avec la sécurité web. Elle inclut VMware Edge Network Intelligence, qui offre une visibilité accrue aux utilisateurs.

La plateforme SASE de VMware est disponible sous forme de service managé ou non, grâce à un réseau mondial de plus de 2 700 nœuds de services dans le cloud, répartis sur plus de 100 points de présence. Ces points de présence servent de passerelle vers le SaaS et d’autres services de cloud computing. Toutefois, VMware ne fournit pas backbone et s’appuie plutôt sur des partenaires fournisseurs de services.

Les services de réseau et de sécurité peuvent être fournis de manière intrinsèque ou séquentielle aux succursales, aux utilisateurs mobiles, aux campus et aux équipements IoT. Tous les composants sont multitenant.

VMware pratique une tarification par abonnement. Les périphériques physiques VMware Edge sont disponibles à la fois à l’achat et à la location ; des offres logicielles spécifiques sont également disponibles pour répondre aux besoins à long terme du télétravail.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)