Architecture SASE

Les entreprises passent d'une application, de données et de services hébergés sur site à cloud, afin de pouvoir travailler de n'importe où. Dans cet article, nous en apprendrons davantage sur les composantes d'une architecture SASE et sur leur valeur.

La croissance du site cloud, la transition vers le télétravail et l'utilisation accrue d'appareils mobiles signifient que l'infrastructure informatique d'une organisation se déplace rapidement en dehors du périmètre du réseau. Sécuriser le nouveau parc informatique distribué sans sacrifier les performances et l'expérience utilisateur nécessite une nouvelle approche de la conception du réseau, que Gartner appelle une architecture Secure Access Service Edge (SASE).

En savoir plus Téléchargez la fiche technique

Qu'est-ce qu'une architecture SASE (Secure Access Service Edge) ?

L'entreprise moderne compte probablement plus d'utilisateurs, d'appareils, d'applications, de services et de données à l'extérieur du périmètre de son réseau qu'à l'intérieur. Cela signifie que l'architecture de sécurité traditionnelle axée sur le périmètre n'est plus efficace.

Pour répondre aux besoins de l'entreprise moderne, Gartner a défini l'architecture SASE. Cette architecture est conçue pour répondre aux besoins d'une organisation en matière de réseau et de sécurité dans le cadre d'une solution unique.

  • Routage optimisé du réseau : La répartition des utilisateurs et des services signifie que la topologie du réseau étendu (WAN) de l'entreprise est devenue plus complexe. Une qualité d'expérience élevée (QoE) nécessite une sélection dynamique et optimisée des chemins d'accès pour le trafic réseau à l'aide de politiques définies par logiciel.
  • Sécurité en tant que service : La sécurité centralisée sur les sites physiques d'une organisation augmente la latence du réseau pour le trafic hors site. La sécurité doit être déployée sur le site cloud en tant que service, plutôt que sur le périmètre du réseau du siège. Une architecture de réseau géographiquement distribuée offre à une main-d'œuvre mobile répartie un meilleur accès à l'application cloud.
  • Accès sécurisé : Les services de sécurité étant consolidés et fournis sous la forme d'un service cloud, les principes de confiance zéro et une gestion solide de l'accès à plusieurs facteurs peuvent être appliqués tout au long d'une session. L'unification de la gestion et de l'inspection permet de gagner en efficacité. Le décryptage, l'inspection et le chiffrement se font en une seule fois, ce qui réduit la latence.

L'équilibre entre les besoins de performance et de sécurité du réseau nécessite une architecture de réseau et de sécurité dotée de ces caractéristiques. Comme le montre l'image ci-dessous, SASE intègre un certain nombre de fonctions de réseau et de sécurité.

Cette fonctionnalité peut être classée en trois catégories : cloud- sécurité hébergée, principes d'accès au réseau de confiance zéro et services de réseau.

#1. cloud-Composants de sécurité fondés sur la base

La sécurité se déplaçant vers la périphérie du réseau, les solutions de sécurité traditionnellement déployées au périmètre du réseau doivent être déplacées vers le site cloud. L'architecture SASE offre des options "cloud-native" pour les fonctionnalités de sécurité de base, notamment :

  • Firewall-as-a-Service (FWaaS): Un pare-feu est le fondement de l'architecture de sécurité du réseau d'une organisation. Avec SASE, un pare-feu peut être déployé en tant que service basé sur le cloud pour assurer la sécurité avec un impact minimal sur la performance du réseau.
  • Passerelle Web sécurisée (SWG): Les utilisateurs, qu'ils soient sur place ou à distance, doivent être protégés contre les menaces basées sur le web. Un GTS applique les politiques de cybersécurité de l'entreprise et inspecte et filtre le trafic Internet malveillant.
  • Courtier en sécurité pour l’accès au cloud (CASB): CASB est une solution de sécurité et de contrôle d'accès de type Software-as-a-Service (Modèle SaaS). Il permet de surveiller et de sécuriser l'accès aux applications basées sur le cloud, telles qu'Office 365.

#2. Composants ZTNA

Une politique de sécurité de confiance zéro est conçue pour limiter les autorisations et l'accès d'un utilisateur sur un réseau au minimum requis pour son rôle professionnel. Cela limite la probabilité et l'impact d'un incident de sécurité.

Les solutions d'accès au réseau de confiance zéro (ZTNA ) - également connues sous le nom de périmètre défini par logiciel(SDP)- appliquent un modèle de sécurité de confiance zéro. Pour ce faire, il convient de mettre en œuvre :

  • Authentification forte : Avec une architecture de confiance zéro, l'accès et les permissions sont basés sur le rôle de l'utilisateur au sein de l'organisation et sur la vérification de l'appareil. La sécurité basée sur l'identité nécessite une authentification forte de l'utilisateur, protégée par des solutions d'authentification multi-facteurs (MFA) et de conformité de l'appareil.
  • Autorisation et contrôle d'accès : Une fois que l'identité d'un utilisateur a été prouvée, une solution ZTNA doit déterminer la validité de toute demande future. Pour ce faire, il faut comparer une demande aux contrôles d'accès basés sur les rôles (RBAC) et autoriser ou refuser l'accès au cas par cas.
  • Contrôle continu de la session : La sécurité zéro confiance est conçue pour minimiser les risques, ce qui nécessite une surveillance continue des sessions. Cette surveillance continue permet d'actualiser les calculs de risque et les niveaux de confiance en fonction des comportements observés.

#3. Composants des services de réseau

En plus d'assurer la sécurité du réseau WAN de l'entreprise, SASE est également conçu pour optimiser les performances du réseau pour l'organisation distribuée. Il y parvient en intégrant des fonctionnalités de réseau étendu défini par logiciel (SD-WAN) et en sécurisant les utilisateurs mobiles et temporaires.

Le SD-WAN est déployé sous la forme d'un réseau d'appliances SD-WAN, physiques ou sur le site cloud. Tout le trafic circulant sur le réseau WAN de l'entreprise est acheminé depuis son point d'entrée jusqu'à l'appliance SD-WAN la plus proche de sa destination, en fonction de l'application et de l'objectif de l'entreprise. L'utilisation du SD-WAN dans le cadre du SASE présente un certain nombre d'avantages :

  • Sélection optimisée du chemin d'accès : Les pannes de réseau, les limites de la bande passante et la congestion peuvent toutes augmenter la latence du réseau. Le SD-WAN utilise le contrôle des performances et la sélection intelligente des routes pour maximiser les performances du réseau.
  • application-Routage à base de données : Les utilisateurs distants et mobiles de l'entreprise ont également besoin d'une connectivité sécurisée aux ressources de l'entreprise lorsqu'ils ne sont pas au bureau. En outre, les contractants peuvent avoir besoin d'accéder à des appareils qui ne sont pas gérés. Avec une solution d'accès sécurisé à distance, le client et l'appareil sans client peuvent avoir un accès sécurisé au réseau SASE et, de là, à la ressource souhaitée.

Valeur d'une architecture SASE

Les réseaux d'entreprise évoluent, et les architectures de réseau et de sécurité doivent évoluer avec eux. SASE est conçu pour fournir à la fois la sécurité et l'optimisation des performances du réseau en une seule solution. En déplaçant les fonctionnalités de sécurité et de routage vers la périphérie du réseau, SASE minimise l'impact de la sécurité sur l'expérience utilisateur tout en maintenant un haut niveau de sécurité.

Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.

Commencez

Harmony SASE

Harmony SASE Internet Access 

Harmony Private Access

 

Sujets connexes

Qu’est-ce que Secure Access Service Edge (SASE) ?

Qu'est-ce que l'accès au réseau sans confiance (ZTNA) ?

Qu’est-ce qu’un Software-defined WAN (SD-WAN) ?

SASE vs CASB

 

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d’analyse et de marketing. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Pour plus d’informations, veuillez lire notre Avis sur les cookies.
OK