Qu'est-ce que l'architecture Secure Access Service Edge (SASE) et qu'est-ce que cela signifie pour les acteurs de canal ?
Le SASE, ou Secure Access Service Edge, selon la dénomination de Gartner, est une technique d'intégration dont la popularité a connu une forte adoption ces dernières années. L'idée du SASE est de combiner en une seule solution de nombreuses fonctions de sécurité basées sur le réseau, comme les passerelles web sécurisées (Secure Web Gateways, SWG), les pare-feu, l'accès réseau de confiance zéro (Zero Trust Network Access, ZTNA) et la fonctionnalité de courtier en sécurité d'accès au cloud (Cloud Access Security Broker, CASB), avec un réseau étendu défini par logiciel SD-WAN. C'est un peu plus complexe que le simple regroupement des fonctions de réseau et de sécurité, mais une fois comprise, l'intégration peut offrir aux partenaires un argument de vente intéressant.
En 2019, le cabinet d'études Gartner aurait été le premier à définir le terme SASE, d'où l'importance de son avis sur la question. Bjarne Munch, analyste principal senior au sein du cabinet, estime que le SASE offre des performances améliorées du fait de son fonctionnement à partir d'un logiciel unique et des opérations améliorées grâce à des politiques uniformes. « Á l'heure actuelle, le nombre massif d'employés travaillant à distance est l'un des principaux moteurs du SASE, car la sécurité actuelle, basée sur les réseaux privés virtuels VPN IP et les pares-feux, est trop rudimentaire et autorise généralement trop d'accès », a déclaré l'analyste de Gartner. « L'accès réseau de confiance zéro ZTNA permet de définir des politiques d'accès très granulaires, par employé, par appareil et par lieu, et de garantir ainsi des politiques de sécurité uniformes sur tous les sites », a-t-il ajouté.
Au cours des prochaines années, la popularité du SASE devrait faire boule de neige : dans son rapport intitulé « Market Opportunity Map : Secure Access Service Edge, Worldwide », publié en juillet, Gartner affirme que d'ici à 2023, le SASE sera le modèle de consommation dominant pour le WAN edge dans les nouveaux déploiements et les déploiements mis à jour. Le même rapport prévoit également que l'adoption du SASE par les entreprises augmentera à un taux de croissance annuel composé (CAGR) de 36 % jusqu'en 2025. Certains partenaires commencent à capitaliser sur le SASE. Des fournisseurs de services managés comme Converged Communication Network Applications (CCNA) à Sydney et Oreta à Melbourne, sont tous deux compétents dans ce domaine.
Selon Craig Sims, co-directeur général de CCNA, le SASE permet une transformation sécurisée et rapide du cloud. Plus précisément, M. Sims considère que grâce au SASE, il est possible de relier le réseau étendu défini par logiciel (SD-WAN) à des fonctions de sécurité comme la prévention des menaces (Threat Prevention, TP), le filtrage Web, le sandboxing, la sécurité DNS, la prévention contre le vol d'identifiants, la prévention des pertes de données (DLP) et les politiques de pare-feu de nouvelle génération. Quant à Sachin Verma, cofondateur et directeur général d'Oreta, il estime que le SASE permet d'améliorer les performances du réseau et de réduire le nombre de fournisseurs intervenant dans un modèle de service cloud.
Selon les partenaires, l'un des avantages de la technique d'intégration du SASE concerne la simplification. Par exemple, M. Sims pointe la facilité de déploiement des solutions cloud, la facilité de gestion, l'évolutivité du réseau étendu et la réduction des coûts, l'ensemble offrant une solution de réseau sécurisé cohérente de bout en bout. « Une bonne solution SASE tiendra compte de la périphérie réelle - l'utilisateur final ou le dispositif périphérique - et pas seulement la succursale ou le datacenter », a-t-il déclaré. De même, M. Verma fait remarquer que cette technique offre essentiellement « simplicité et flexibilité » pour gérer le trafic et la sécurité du réseau étendu à partir d'un seul endroit.
Même si l'offre d'un seul fournisseur peut simplifier les choses, l'analyste de Gartner Bjarne Munch a également déclaré que les entreprises devront mettre toutes leurs solutions de sécurité dans le même panier, ce qui ne pourrait pas convenir à toutes. « L'un des principaux points négatifs du SASE, c'est que de nombreuses entreprises ont des préférences pour les fournisseurs selon les fonctions », a-t-il ajouté. « Cela signifie que pour avoir une solution SASE complète, elles devront peut-être faire des compromis sur leurs fournisseurs préférés dans certains domaines ».
Cette situation place les partenaires à la croisée des chemins, que ce soit pour fournir une offre SASE d'un seul fournisseur, ou des offres de sécurité multiples de divers fournisseurs. « Le SASE est encore nouveau et quelques fournisseurs seulement proposent toutes les fonctionnalités requises pour une solution SASE, mais beaucoup d'entre eux ne sont pas aussi bons dans tous les domaines », a ajouté M. Munch. « Cela signifie que les entreprises ou les sociétés qui souhaitent adopter le SASE doivent l'aborder avec une stratégie qui permet de s'assurer que ce qu'elles achètent aujourd'hui évoluera bien vers une solution SASE complète ».
Du fait de cette dépendance envers des fonctionnalités basées sur le cloud, Bjarne Munch fait aussi remarquer que dans le cas où un accès au cloud n'est pas disponible, un déploiement de sécurité sur site sera peut-être plus adapté. « Par ailleurs, ce n'est pas parce qu'il est possible d'intégrer des fonctions de sécurité dans une offre SASE qu'il faut absolument le faire, et la décision d'utiliser ou non le SASE doit être prise au cas par cas », a recommandé M. Sims.
« Chaque solution réseau doit être examinée très attentivement ; toutes les fonctions n'ont pas besoin d'être ajoutées à toutes les architectures, même si elles sont des éléments essentiels d'une offre SASE », a-t-il déclaré. « Elles peuvent parfois être remplacées par des outils de prévention des menaces, filtrage Web, sandboxing, sécurité DNS, prévention du vol d'informations d'identification, prévention des pertes de données et paramétrages de pare-feu de nouvelle génération. », ajoute-t-il.
Sachin Verma partage la même conviction, affirmant qu'aucune solution, y compris SASE, ne convient à tous les cas d'usage : « Parfois, un modèle SASE seul ne répondra pas à toutes les exigences d'une entreprise. Par exemple, un bureau qui exigerait que les applications et les données soient hébergées localement aurait besoin d'une approche hybride pour permettre un équilibre entre les exigences de réseau/sécurité sur site et dans le cloud. »
« Cependant, certaines entreprises peuvent s'appuyer sur un mécanisme de transport de données de types MPLS [multiprotocol label Switching] ou sur des tunnels VPN [virtual private network], là où le SASE peut ne pas leur convenir », indique-t-il.
Bjarne Munch recommande également d'examiner les besoins de l'entreprise, plutôt que d'aller droit vers le SASE et de dire que cela suffira. « S'il est nécessaire de renouveler le WAN aujourd'hui, il est plus important d'assurer un déploiement SD-WAN que d'attendre la solution SASE parfaite », estime l'analyste de chez Gartner. Et d'ajoutrer, « De même, si l'entreprise autorise désormais un grand pourcentage d'employés à travailler à distance, alors le ZTNA devrait être une priorité. »
En outre, déclare Sachin Verma, la nature émergente du SASE signifie que la technologie a encore une marge d'amélioration « importante » et que les services de sécurité peuvent être mieux assurés par des solutions existantes. « Dans certains cas où une entreprise a récemment mis en oeuvre du SD-WAN, l'ajout du SASE peut créer des doublons, introduire des inefficacités et rendre le dépannage plus difficile. »
Quoi qu'il en soit, cette marge d'amélioration est quelque chose que les partenaires examinent de près. «Le SASE est toujours une catégorie technologique de produits et de services émergente qui continuera à se développer et à devenir plus largement reconnue. Le tri sera fait dans les compétences des partenaires à mesure que les technologies cloud continueront de croître », a déclaré Sims.
« Ce n'est que le début de SASE. »
Suivez-nous