Défini par le Gartner comme étant intégré au réseau et fourni en tant que service cloud, le modèle de sécurité SASE (Secure Access Service Edge) pourrait bien intéresser de nombreuses entreprises. Toutes ne sont cependant pas à même de le mettre en oeuvre et doivent relever quelques difficultés. Car il n'existe pas une seule et unique façon de l'implanter et peut être adapté pour répondre de façon très personnalisée aux besoins de l'entreprise en tenant compte de ses réseaux historiques.

SASE apparait comme la prochaine étape de la transformation du réseau étendu (WAN). L'architecture actuelle du WAN est restée en grande partie la même pendant presque 40 ans. Le SD-WAN a constitué un grand pas en avant et rendu le réseau plus efficace sans toutefois le transformer. Or c'est précisément l'approche de SASE, surfant sur les tendances actuelles telles que le cloud, la mobilité et même l'augmentation du télétravail induit par la crise sanitaire du Covid-19. L'un des problèmes avec le SD-WAN est qu'il crée de nouveaux défis de sécurité. Par exemple, le SD-WAN simplifie la configuration d'un tunnel partagé à partir d'une succursale afin que les employés puissent avoir un accès direct au cloud au lieu d'avoir à passer par le WAN de l'entreprise et accéder au datacenter. Cela améliore l'expérience utilisateur et utilise le réseau plus efficacement, mais crée également une énorme faille de sécurité. Une façon de résoudre ce problème serait de mettre un pare-feu dans chaque succursale, mais cela coûte cher et crée un casse-tête opérationnel car il est difficile, voire impossible, de synchroniser des dizaines, voire des centaines de pare-feu.

SASE sur site managé dans le cloud

SASE résout ce problème en intégrant des capacités de sécurité dans le réseau afin qu'elles deviennent un service réseau. La gestion de la sécurité et de la mise en réseau se fait via le cloud pour permettre aux administrateurs d'effectuer une modification une seule fois et la transmettre à chaque emplacement à la fois. L'intégration de la sécurité et du réseau ne fait pas que faire évoluer le WAN : il le transforme. Les WAN traditionnels - SD-WAN inclus - connectent et sécurisent les succursales et les sites de l'entreprise. SASE permet aux entreprises de connecter des travailleurs distants, des points de terminaison IoT et tout ce qui doit se connecter. Pour les entreprises qui envisagent SASE, il est important de comprendre qu'il existe de nombreuses façons de le consommer. En voici quelques-unes.

Le monde est peut-être devenu fou de cloud, mais l'infrastructure sur site a toujours un rôle à jouer. Avec SASE géré à partir du cloud, chaque emplacement aurait son propre routeur, pare-feu, gestion unifiée des menaces (UTM) et autres dispositifs de sécurité. Leur gestion à partir du cloud est essentielle à la réussite, car elle offre la facilité d'utilisation du cloud SASE natif. Le grand avantage est que toutes les inspections de sécurité sont effectuées localement, améliorant ainsi les performances pour les grands sites. Un gros inconvénient est évidemment le coût de fourniture de matériel pour chaque site.

Un autre avantage est que cette approche propose un certain niveau de protection des investissements. Si l'organisation a récemment acheté une infrastructure sur site, elle n'est peut-être pas prête à la lancer. Le passage à une approche gérée par le cloud permet aux entreprises de continuer à utiliser leurs routeurs, pare-feu et autres appareils relativement nouveaux. Le SASE sur site géré dans le cloud doit être utilisé pour les organisations qui comptent des centaines ou des milliers de travailleurs dans un même emplacement. Les organisations de fabrication et les établissements de santé en sont des exemples. De plus, les entreprises qui préfèrent un modèle à faire soi-même devraient choisir cette approche.

Le SASE managé

Bien que le SASE apporte de nombreux avantages, il augmente la complexité du WAN. Les ingénieurs réseau doivent prendre en compte des éléments tels que l'emplacement d'utilisation des tunnels séparés, le niveau de maillage entre les bureaux, la façon de fournir la sécurité, la création de profils utilisateur et d'autres facteurs. Les WAN hérités étaient inefficaces mais avaient moins de considérations. Le SASE permet aux entreprises de faire beaucoup plus avec le réseau, mais ramène également la complexité à un niveau que de nombreuses organisations n'ont peut-être pas les compétences nécessaires. Un SASE managé a donc l'avantage de permettre à un tiers bien expérimenté dans les meilleures pratiques de configurer et d'exécuter le réseau.

Le revers de la médaille est lié à une perte de contrôle. Une tendance récente a été que les fournisseurs de services managés en proposent des cogérés dans lesquels les organisations peuvent effectuer des tâches avec lesquelles elles sont à l'aise, et décharger d'autres fonctions vers le MSP. Les entreprises qui cherchent à passer rapidement à SASE mais qui sont très tolérantes aux risques devraient envisager un service géré.

L'option hybride

En fin de compte, la plupart des organisations de toute taille significative adopteront probablement une approche hybride dans laquelle une combinaison de SASE cloud natif et sur site est utilisée. Cela peut être le cas par exemple pour un cabinet d'avocats mondial disposant d'un ou deux bureaux par pays, mais chaque site ayant des centaines d'employés. L'entreprise pourrait utiliser une infrastructure sur site pour les bureaux physiques, mais connecter les travailleurs à domicile avec un service cloud natif. Un autre exemple est celui des organisations de fabrication qui utilisent une infrastructure locale pour de grandes installations et connectent leurs véhicules autonomes à l'aide de services cloud.

Des stratégies d'adoption variées

Un chemin rapide vers le SASE peut être de déplacer l'infrastructure actuelle vers une gestion par les outils de gestion cloud des fournisseurs d'équipement. Il est probable que les produits fabriqués au cours des deux dernières années offrent une telle option, même si les clients ne l'utilisent peut-être pas aujourd'hui. L'utilisation de ces outils peut garantir que les politiques et les paramètres de configuration soient facilement portés d'un WAN traditionnel vers SASE. Si une approche cloud native est envisagée, vérifiez si le fournisseur propose un chemin vers une infrastructure sur site gérée par le cloud. Cela devient important à mesure que le nombre d'emplacements d'entreprise augmente.

Au moment du déploiement, les entreprises peuvent avoir un certain nombre de petits emplacements et préférer une approche cloud. Au fil du temps, si un ou plusieurs se développent au point où la surcharge du réseau pose des problèmes, l'entreprise pourra passer à un modèle sur site géré par le cloud. Idéalement, le fournisseur proposerait un plan de transition afin que cela puisse se produire sans interruption. Une autre considération clé est la sécurité. Certains des plus petits fournisseurs de SASE ont leurs propres piles de sécurité, mais l'organisation cliente peut préférer le confort d'utiliser un fournisseur de marque. De nombreux fournisseurs de SD-WAN se sont associés aux plus grandes sociétés de sécurité pour compléter leurs capacités SASE afin que les clients potentiels puissent découvrir quel fournisseur de sécurité est impliqué pour s'assurer qu'ils travaillent avec le fournisseur de sécurité de leur choix.

Tout voir pour bien sécuriser

Les entreprises doivent s'assurer que leur fournisseur SASE dispose d'un tableau de bord riche apportant une visibilité et des capacités d'analyse. Bien que cela ne fasse pas partie de la définition de Gartner, cela devrait l'être. Les réseaux ne sont pas statiques et doivent faire évoluer les entreprises. Cela nécessite une visibilité de bout en bout des modèles de trafic réseau, de la densité des utilisateurs, des politiques de sécurité et d'autres facteurs. Les fournisseurs SASE doivent fournir ces informations afin que les clients puissent être informés et apporter des modifications si nécessaire. Même si un service géré est utilisé, le MSP doit fournir une visibilité sur l'environnement. Comme le dit l’axiome, vous ne pouvez pas gérer ou sécuriser ce que vous ne pouvez pas voir, et avec SASE, il est essentiel que vous voyiez tout.