Formalisées par le Gartner, les offres SASE se structurent chez les principaux fournisseurs. (Crédit D.R.)
La jeune architecture Secure Access Services Edge (SASE) basée sur le cloud est prometteuse, mais les offres et les services diffèrent en fonction des fournisseurs.
L'architecture SASE (Secure Access Service Edge) émergente combine mise en réseau et sécurité dans un service cloud, ce qui permet aux entreprises de fournir plus facilement un accès simple et sécurisé à leurs ressources. Le contenu des offres SASE proposées par les vendeurs et les fournisseurs de services est très inégal et les modalités de ces offres varient considérablement. Le terme SASE - prononcer « sassy » - a été inventé l'an dernier par Gartner pour désigner un réseau étendu défini par logiciel (SD-WAN) avec du contrôle d'accès et de la sécurité, le tout étant regroupé sous forme de service cloud. L'architecture SASE devrait connaître une croissance rapide et significative. Ainsi, le Dell'Oro Groupe estime son taux de croissance annuel composé à 116 % entre 2019 et 2024. De plus, comme le fait remarquer l'analyste de Gartner Nat Smith, la crise du Covid-19 a « clairement » accéléré cette dynamique. D'après le cabinet d'étude, 60 % des clients du SD-WAN auront migré vers SASE d'ici 2024, contre environ 35 % en 2020.
Parmi les avantages potentiels du SASE, on peut citer une gestion plus facile du réseau et de la sécurité, la possibilité d'augmenter ou de diminuer les capacités en fonction des besoins de l'entreprise et des coûts moins élevés. « SASE fait partie des technologies qui permet de mieux gérer les disruptions à venir », a expliqué Nat Smith. D'après la longue liste de technologies et de fonctionnalités qui pourraient être incluses dans un service SASE, Gartner met en avant l'optimisation de la latence, le routage, la mise en cache, la déduplication et les restrictions géographiques. Côté sécurité, Gartner mentionne, entre autres choses, la prévention des pertes de données, les pares-feux des applications web, la détection des menaces, le chiffrement et l'isolation des navigateurs distants. « Il n'y a pas de minimum requis pour qu'un service soit considéré comme un véritable SASE », a encore expliqué M. Smith. « Il s'agit plus d'un cadre que d'une architecture », a-t-il ajouté. « Si vous voulez cocher les cases d'une checklist, vous passez à côté de ce qu'est le SASE. Cette architecture est plutôt liée à une évolution ».
5 éléments essentiels
Cependant, Gartner estime qu'un SASE doit offrir cinq éléments essentiels : du SD-WAN, du firewall-as-a-service (FWaaS), une passerelle web sécurisée, un courtier en sécurité dans le cloud (CASB), et un accès réseau zéro-trust, également connu sous le nom de périmètre défini par logiciel. « Au fur et à mesure de leur évolution, ces cinq composants n'en font plus qu'un pour devenir un SASE », a encore déclaré l'analyste de Gartner. Aujourd'hui, les offres commercialisées sous le nom de SASE peuvent être pilotées par des fournisseurs de services qui proposent des fonctionnalités plus ou moins riches, ou par des vendeurs de matériel proposant des services clouds. Les vendeurs de SASE peuvent également fournir du matériel ou des logiciels aux utilisateurs finaux, des appliances réseau pour les datacenters d'entreprise, des dorsales et des points de présence (PoP) de réseau distribué, une protection contre les dénis de service distribués (DDoS) et des plates-formes CASB.
« On trouve dans cette catégorie des fournisseurs de matériel qui se définissent comme fournisseurs SASE, sans pourtant offrir les cinq fonctionnalités essentielles », a déclaré M. Smith. « Je ne pense pas qu'un vendeur soit clairement ou manifestement plus performant que les autres ». Selon l'analyste, « les vendeurs de matériel peuvent être confrontés à des défis importants, surtout s'ils passent d'un modèle de produits basé sur le matériel à un modèle de services basé sur les abonnements ». Par exemple, concernant les ventes de matériel, les revenus sont récoltés principalement au début de la relation commerciale, plutôt qu'avec des cycles de paiement mensuels. Cela implique des changements dans le mode de rémunération des commerciaux et le mode de gestion de la trésorerie de l'entreprise. Le recours à des services SASE peut également perturber les canaux de partenaires. « Les vendeurs doivent se préparer à de nombreux défis, même si l'on peut penser que cela s'équilibra sur le long terme. Mais SASE se traduit par un changement très radical pour la plupart des équipes de vente », a-t-il ajouté.
Panorama des offres
Aujourd'hui, on trouve des services appelés SASE dans le cloud, et d'autres sur site. Voilà, en bref, ce que certains ont à offrir.
Akamai : Plus connu pour son réseau mondial de diffusion de contenu, Akamai dispose de 4000 points de présence dans le monde entier, ce qui lui confère une proximité avec les utilisateurs finaux et les datacenters. Akamai offrait déjà une passerelle web sécurisée et un accès réseau Zero-Trust. « Le CASB est disponible par l'intermédiaire d'un partenaire tiers », comme l'explique l'entreprise, « et les clients doivent fournir leur propre FWaaS et SD-WAN ». D'ici quelques trimestres, Akamai prévoit de sécuriser tout le trafic sortant afin de protéger son réseau contre les activités malveillantes.
Aruba : La filiale réseau de Hewlett Packard Enterprise (HPE) se concentre sur le matériel pour réseau Edge, dont l'accès à la périphérie Access Edge, mais cherche aussi à étoffer son offre SASE. Selon Paul Kaspian, directeur senior de la sécurité et du marketing produits d'Aruba, « pour palier l'absence de PoPs et de sécurité en tant que service, Aruba s'est associé à Zscaler et à d'autres partenaires, dont McAfee, Semantic, Check Point et d'autres, pour renforce la sécurité du cloud ».
Barracuda Networks : Selon un porte-parole de Barracuda, l'offre de l'entreprise comporte la plupart des composants nécessaires au SASE, à commencer par le SD-WAN, et elle propose des services de sécurité réseau comme FWaaS, IPS, la recherche de logiciels malveillants, le filtrage de contenu, la protection avancée contre les menaces, la protection contre les DDoS et l'accès réseau Zero-Trust. Selon Barracuda Networks, il ne lui manque que le CASB. C'est pourquoi, les clients doivent fournir leur courtier en sécurité dans le cloud.
Cato : Ce fournisseur, mis en avant dans le livre blanc de Gartner sur l'architecture Secure Access Services Edge, affirme détenir plus de 600 clients SASE. Cato a déclaré que l'entreprise avait été conçue pour être « native du cloud » dès le départ. Le service cloud de Cato inclut le FWaaS, le CASB, une passerelle web sécurisée et un accès réseau Zero-Trust. Et Cato Socket, une fonctionnalité de Cato Cloud, peut délivrer des services SD-WAN.
Cisco : Au printemps 2020, Cisco a rassemblé son réseau étendu, sa sécurité et ses services informatiques de pointe dans un seul paquet SASE natif du cloud. Gartner a qualifié de « solide », la feuille de route de l'équipementier. Selon le cabinet d'études, Cisco vise « à délivrer des capacités de sécurité croissantes de manière intégrée, pour aller vers une architecture SASE ». Ce paquet combine des services Cisco SD-WAN et Cisco Umbrella, plus le CASB Cloudlock ainsi que la sécurité Zero-Trust apportée par l'acquisition de Duo Security.
Forcepoint :« Forcepoint propose une pile de sécurité SASE complète sous forme de service et dispose de plus de 160 PoPs dans le monde entier », a expliqué Ravi Srinivasan, vice-président des solutions et du marketing de la plate-forme de Forcepoint. Elle peut fournir des SD-WAN, mais inclure également les services de réseau déjà déployés par les clients. Forcepoint s'est associé à des partenaires pour l'isolation des navigateurs distants.
Fortinet : Selon Gartner, l'offre SASE de Fortinet comprend tous les éléments essentiels du SASE, y compris le SD-WAN (Fortinet Secure SD-WAN), le FWaaS (FortiGuard Security Services for FortiGate Next-Generation Firewalls), le courtier en sécurité d'accès cloud (FortiCASB), la passerelle web sécurisée (Fortigate SWG), et la sécurité Zero-Trust fournie par l'acquisition d'OPAQ Networks en juillet 2020.
Masergy : Les services de Masergy sont disponibles à la fois dans le cloud et sur site, et l'entreprise affirme que sa plate-forme Managed SD-WAN Secure offre la majeure partie de la pile de sécurité SASE de base, y compris le FWaaS, le CASB et une passerelle web sécurisée. L'entreprise a fait savoir qu'elle était en train de mettre en place sa propre capacité d'accès réseau Zero-Trust. Masergy propose une optimisation de la sécurité basée sur l'intelligence artificielle et l'apprentissage machine.
Netskope : Grâce à sa technologie SASE, Netskope indique que son activité a augmenté de plus de 80 % d'une année sur l'autre et qu'elle répond aux exigences SASE listées par Gartner en matière de CASB (Netskope CASB), de passerelle web sécurisée (Netskope Nxt Gen SWG) et d'accès réseau Zero-Trust (Netskope Private Access). Son offre ne comporte pas de FWaaS, mais Netskope précise qu'elle peut fournir un SD-WAN par l'intermédiaire de partenaires comme Aryaka, VMware VelocCoud, Silver Peak (Aruba) et Versa Networks.
Palo Alto Networks : Une partie de son expertise SASE est issu d'acquisitions, comme celle de CloudGenix, qui apporte une expertise SD-WAN. D'autres fonctionnalités SASE font déjà partie de l'accès Prisma de Palo Alto, lequel inclut le FWaaS, le CASB et l'accès réseau Zero-Trust. Palo Alto a conclu un partenariat avec Google Cloud et AWS pour fournir l'infrastructure cloud nécessaire.
VMware : Pour fournir des services pour les cinq capacités SASE essentielles pointées par Gartner et les propose ensemble, l'éditeur met en avant VMware SASE Platform. Plus précisément, il s'agit des capacités de SD-WAN (VMware SD-WAN), d'accès réseau Zero-Trust (VMware Secure Access), de CASB et de passerelle Web sécurisée (VMware Cloud Web Security), et FWaaS (NSX Firewall as a Service).
Zscaler : Selon l'analyste Nat Smith de Gartner, avec son réseau Zero-Trust, Zscaler disposait déjà d'un bon atout pour devenir fournisseur SASE. Son offre comporte notamment le FWaaS (Zscaler Cloud Firewall), une passerelle web sécurisée (Zscaler Internet Access), un accès réseau Zero-Trust (Zscaler Private Access) et le CASB (Zscaler Cloud Access Security Broker). Il ne lui manque que le SD-WAN, que Zscaler fournit via des partenaires, à la fois sous forme « d'intégration en un clic » et sous forme « d'accueil et de gestion intégrés ».
Suivez-nous