Secure Access Service Edge : un changement de paradigme

Secure Access Service Edge

Le monde des réseaux et de la sécurité des réseaux vit, comme toute autre technologie, sa révolution digitale. La traditionnelle vision du « réseau ‘interne’ d’entreprise » (« inside the firewall ») et du « réseau ‘externe’ Internet » a volé en éclats : Internet est devenu le réseau de l’entreprise étendue.

Secure Access Service Edge : les tendances qui amènent à un changement de paradigme

  • Le passage d’une architecture « centrée-réseau » (« network-centric ») à une architecture « centrée-utilisateur (« user-centric ») et « centrée-application » (« application-centric ») ». D’un côté, le cloud, et la décentralisation des serveurs et des applications dans des nuages disparates ; de l’autre côté, la mobilité, et la décentralisation des terminaux (« devices », « endpoints ») et des utilisateurs « n’importe où » (au bureau, en télétravail, en déplacement, chez un prestataire, etc.).
  • La tendance générale vers la virtualisation et le « software-defined xxx ». En une formule, on pourrait dire que l’accès réseau devient un service cloud. On passe d’une architecture physique à une architecture logique, où les équipements physiques (il en reste toujours !) sont contrôlés par une couche logicielle centralisée qui configure et reconfigure les équipements et les réseaux de façon beaucoup plus dynamique. On évoque le terme « infrastructure as code », qui n’est rien d’autre que le DevOps appliqué aux SDN (« Software Defined Networks »).

Cet éclatement du réseau en services logiciels amène son nouveau lot de technologies et de services d’accès sécurisé hybrides (en partie dans les datacenters exploités par l’entreprise, en partie dans les datacenters exploités par des fournisseurs de services cloud) : on fait référence à ces nouvelles technologies et à ces nouveaux services d’accès sécurisé par la terminologie « Secure Access Service Edge », « SASE », qu’on prononce « sassy » ! Les « workloads » applicatifs sont désormais soit dans le cloud soit sur le terminal de l’utilisateur : et c’est là que doivent se déployer et s’appliquer les règles et les politiques de gouvernance et de sécurité. Tandis que le réseau qui les fait interagir et interopérer devient un ensemble de services mis à disposition dans le cloud.

Ici, le mot « edge » pourrait se traduire par « borne » : on s’adresse à la « borne » la plus proche, et les « bornes » sont connectées entre elles dans un réseau ou des réseaux interconnectés. Le « edge », c’est le point de présence (« point of presence ») ou le point de connexion le plus proche : le « edge » n’est plus le « firewall » de l’entreprise, mais le service d’interconnexion et d’accès.

Evidemment, la technologie de base sous-jacente du « SASE » est d’abord une technologie réseau, et de réseau « défini par logiciel » (« software-defined »). Mais ce réseau « logiciel » ou « virtuel » se complète de technologies d’accès et de sécurité selon les cas d’usage. Les technologies d’accès selon les différents cas d’usage

On parle de « Zero-Trust Network Access » (« ZTNA ») pour l’accès distant « par le réseau » aux applications d’entreprise. C’est la technologie de base pour le télétravail : fournir un accès sécurisé depuis n’importe où aux bureaux ou aux applications de l’entreprise.

  • Il faut distinguer deux technologies complémentaires et nécessaires.
    Les technologies de « protection », qui « empêchent les méchants de rentrer » : pour les applications, on parle de « Web Application Firewall » (« WAF »).
    Les technologies d’ « accès », qui « autorisent les bons à rentrer » : c’est l’objet du « ZTNA ».

On parle de « Cloud Access Security Broker” (“CASB”) pour l’accès « par le réseau » aux applications SaaS et aux services cloud. Souvent, les « CASB » jouent les deux rôles, de « protection » (empêcher l’utilisation d’applications SaaS ou de services cloud « sauvages », donc empêcher le « shadow IT »), et d’ « accès » (autoriser l’utilisation d’applications SaaS ou de services cloud). Certaines solutions de ZTNA couvrent cette partie « accès » d’un CASB, pour des raisons de conformité réglementaire par exemple, pour forcer le passage par le datacenter de l’entreprise qui peut alors, par exemple, encrypter le flux applicatif vers les applications SaaS ou les services cloud.

On parle de « Secure Web Gateway » (« SWG ») pour les accès intersites, évitant à une entreprise de créer un réseau dédié entre ses différentes localisations, et mais en permettant l’accès entre ces localisations par un service cloud sur Internet.

Des technologies de sécurité selon les différents cas d’usage

Les technologies de déport d’affichage sont plus connues pour d’autres propriétés que leur propriété de sécurité : mais elles ont un réel apport en matière de sécurité et de protection des terminaux (« devices », « endpoints ») par le fait qu’elles restituent une image de l’interface qui n’est pas vulnérable aux programmes malveillants (comme le serait par exemple un navigateur sur le poste de travail). Il peut s’agir de technologies de virtualisation d’applications ou de bureaux (qu’on appelle « VDI », « Virtual Desktop Infrastructure ») ou des technologies de virtualisation de navigateur web (qu’on appelle « RBI », « Remote Brower Isolation »).

Toutes les technologies de détection de fraudes basées sur l’analyse comportementale de l’utilisateur (« User Behavior Analytics »). Par exemple, l’analyse du comportement d’utilisation de la souris et du clavier par un utilisateur permet de calculer son empreinte comportementale et de comparer une empreinte calculée par rapport à une empreinte attendue, et ainsi de détecter si c’est toujours le même utilisateur derrière le terminal que celui qui a passé la barre de l’authentification. L’analyse comportementale sur d’autres données que celles-là, sur le même principe, est le moyen le plus avancé pour la détection des fraudes. Ces technologies font évidemment appel à l’Intelligence Artificielle (essentiellement le Machine Learning). Spécialiste de virtualisation d’applications (par déport d’affichage), de gestion des accès et d’Intelligence Artificielle, Systancia est au cœur de ces innovations technologiques et acteur de « SASE », pour vous accompagner dans ces transformations majeures. La crise actuelle accélère d’autant plus le besoin et l’adoption de ces technologies émergentes, notamment pour l’accès distant sécurisé au système d’information, pour des collaborateurs ou des prestataires en télétravail.