Tout n’est pas un service SASE
Lorsque Gartner a publié le rapport « Le futur de la sécurité des réseaux est dans le cloud » en 2019, il a fait deux choses. Premièrement, il a identifié et décrit avec précision l’orientation des architectures de réseau et de sécurité d’entreprise au cours de la prochaine décennie. Deuxièmement, comme l’indiquent les chiffres de Google Trends, pour décrire cette nouvelle approche, il a créé l’un des termes qui font le plus de buzz de nos jours : le SASE, acronyme de « Secure Access Service Edge ».
En raison de tout ce buzz autour du SASE, de nombreux « fournisseurs SASE » commercialisent des solutions possédant des fonctionnalités du SASE. Cependant, la plupart de ces solutions échouent lorsqu’il s’agit de réaliser la promesse du SASE, à savoir une solution de sécurité réseau globale et convergente. Ici, nous examinerons de près ce que n’est pas le SASE afin d’aider à identifier la valeur que les fournisseurs SASE devraient offrir aux entreprises.
Un SD-WAN n’est pas un SASE
Dans certains contextes, le SASE est considéré comme la nouvelle génération de SD-WAN. Il est compréhensible que cette comparaison soit faite du point de vue de l’agilité et de la convergence qu’il apporte à l’infrastructure réseau. En fait, la capacité d’acheminer le trafic de manière optimale et d’abstraire le support physique sous-jacent (les principaux avantages du SD-WAN) est une partie importante du SASE.
Cependant, le SD-WAN seul n’est qu’une partie d’une solution plus large que les fournisseurs SASE devraient fournir. En outre, toutes les implémentations de SD-WAN ne sont pas comparables. Par exemple, le SASE vise à prendre en charge tous les edges réseau (WAN, périphérie réseau, cloud computing et mobilité), mais avec de nombreuses appliances SD-WAN, la prise en charge de la mobilité est absente ou inexistante.
La sécurité dans le cloud n’est pas un service SASE
Comme avec le SD-WAN, il existe de nombreuses fonctionnalités de sécurité qui sont des parties importantes d’une solution SASE. On peut citer par exemple l’IPS (système de prévention des intrusions), le NGFW (pare-feu nouvelle génération) et la SWG (passerelle Web sécurisée).
Étant donné que la sécurité basée sur l’identité et l’architecture native du cloud sont des caractéristiques clés du SASE, on peut être amené à croire qu’un pare-feu basé sur le cloud riche en fonctionnalités puisse servir de méthode pour implémenter le SASE. Cependant, dans la pratique, cela ne fonctionne pas bien. La sécurité ne représente que la moitié de l’architecture SASE, et un pare-feu basé sur le cloud et un IPS ne peuvent pas à eux seuls assurer le routage et l’optimisation WAN à une échelle globale.
Encore une fois, comme pour le SD-WAN, les avantages de ces technologies en font des éléments importants du SASE, mais même si elles sont regroupées, elles ne constituent pas à proprement parler un SASE.
Des appliances disparates multiples assemblées ne forment pas un SASE
La fonctionnalité du SD-WAN qui permet un routage agile et efficace est une partie importante du SASE. De même, les fonctions de sécurité telles qu’IPS, SWG et NGFW sont une partie importante du SASE. Cependant, un simple déploiement d’appliances et de solutions des « fournisseurs SASE » qui cochent toutes les cases de l’ensemble de fonctionnalités SASE ne tiendra pas la promesse du SASE.
En effet, la création d’un patchwork d’appliances de réseau et de sécurité et de solutions cloud ne peut tout simplement pas offrir l’agilité, la visibilité, la simplicité et les performances qu’une seule solution convergée est à même de fournir. Le sourcing, le déploiement, la gestion et l’intégration de plusieurs produits augmentent non seulement les coûts, mais aussi la complexité du réseau. En conséquence, un patchwork de solutions qui semble cohérent en théorie crée souvent des goulets d’étranglement opérationnels et des omissions de sécurité à grande échelle. Bien que certains puissent plaider pour le transfert de la complexité à un fournisseur de services, cela ne résout pas les problèmes sous-jacents et conduit souvent à des coûts plus élevés pour des performances sous-optimales.
Des appliances virtuelles sur des appareils de périphérie ne constituent pas un SASE
L’utilisation d’appliances virtuelles sur un appareil de périphérie réduit l’empreinte matérielle, mais n’a que peu d’effet sur les coûts d’exploitation. Les appliances doivent encore être déployées, intégrées, mises à niveau, et entretenues. Les silos sous-jacents et la complexité ne disparaissent pas. Les véritables plates-formes SASE éliminent le facteur de forme de l’appliance. Les fonctions sont fournies sous la forme d’une plateforme multilocataire, cloud native. Les fournisseurs SASE gèrent et entretiennent la plate-forme sous-jacente au profit de tous les clients. Ni l’entreprise ni le fournisseur n’assument les frais généraux opérationnels de la gestion des appliances.
Alors qu’est-ce que le SASE exactement ?
Le SASE vise à faire converger la connectivité et la sécurité d’une manière qui améliore les performances, simplifie la complexité opérationnelle et renforce la sécurité à une échelle globale. Pour répondre à ces critères, une solution SASE véritable a besoin des caractéristiques suivantes:
- Prise en charge de tous les edges. Les emplacements mobiles, cloud, WAN et de périphérie doivent tous être pris en charge sans sacrifier les performances ou les fonctionnalités. De nombreuses appliances virtuelles et physiques ont du mal à répondre à ce critère. En effet, les appliances de sécurité dépendent souvent d’un site spécifique.
- Sécurité orientée identité : Le modèle de sécurité SASE est construit autour de l’identification granulaire des ressources. Le SASE exige que chaque application, personne et appareil puisse être pris en compte et que les flux de données puissent être analysés en profondeur. Cela fournit une visibilité complète du réseau et une sensibilisation contextuelle pour aider à atténuer les menaces.
- Architecture cloud native. Pour simplifier la gestion et offrir l’élasticité, la résilience et l’auto-entretien qui rendent le SASE performant et évolutif pour l’entreprise, une architecture native cloud multilocataire est indispensable.
- Connectivité réseau distribuée à l’échelle mondiale. Une plateforme cloud distribuée à l’échelle mondiale garantit que toutes les fonctionnalités du SASE sont disponibles, quel que soit l’endroit où se situent géographiquement les edges du réseau d’entreprise. Cela signifie que les points de présence SASE doivent aller au-delà des centres de données dans le cloud public et assurer une connectivité à faible latence pour tous les points de terminaison WAN.
Les véritables fournisseurs SASE comprennent que la convergence est essentielle
L’enseignement fondamental à retenir ici est le suivant : Le SASE n’est pas seulement un ensemble de fonctionnalités de sécurité et de réseau robustes ; son but est de faire converger cet ensemble de fonctionnalités pour améliorer les performances et la sécurité tout en réduisant la complexité et les coûts. Pour la troisième année consécutive, Cato Networks a été désigné fournisseur SASE de référence dans le récent Hype Cycle for Enterprise Networking de Gartner et l’approche Cato du SASE a été construite en ayant à l’esprit la convergence et l’entreprise numérique moderne.
Pour un examen approfondi du SASE et de ce qu’il peut apporter à votre entreprise, consultez notre eBook gratuit « The Network for the Digital Business Starts with the Secure Access Service Edge (SASE) ». Sinon, si vous souhaitez essayer notre solution SASE basée sur le cloud, veuillez nous contacter ou vous inscrire pour une démonstration dès aujourd’hui.