Comment le SASE favorise le business et structure la transformation digitale ?

L'objectif principal du modèle SASE est de contribuer à la modernisation des réseaux et de la sécurité afin de répondre à l'évolution constante des besoins des entreprises. Ce faisant, SASE assure une sécurité unifiée pour tous les utilisateurs, quel que soit l'endroit où ils exercent leurs activités, et fournit une visibilité et un contrôle sur ce à quoi ils peuvent accéder.

Selon Gartner, les organisations qui mettent en œuvre SASE devraient adopter l'approche stratégique CARTA (Continuous Adaptive Risk and Trust Assessment). Avec CARTA, pour obtenir une gestion efficace des risques et de la cybersécurité, vous aurez besoin des éléments suivants :

• Visibilité complète des appareils et un contrôle automatisé.
• Micro-segmentation des réseaux pour réduire les mouvements latéraux et contenir les brèches
• Surveillance, d'une évaluation et d'une remédiation continues des risques cybernétiques et opérationnels.
• Produits et solutions de plusieurs fournisseurs, avec de nouveaux niveaux d'orchestration, d'automatisation et de réponse.
• Gestion sécurisée et efficace des appareils IoT sans agent et des systèmes opérationnels (OT).
• Découverte, évaluation de la posture et remédiation/contrôle des appareils physiques et virtuels ainsi que des infrastructures et charges de travail dans le cloud.

La clé de la mise en œuvre de CARTA, et donc du SASE, est l'adoption d'une approche "Zero Trust". La stratégie consistant à "vérifier, puis faire confiance" plutôt que de faire confiance par défaut est essentielle. Avec le Zero Trust, vous partez du principe que votre réseau a été compromis et que les utilisateurs et les appareils doivent prouver qu'ils sont qui ou ce qu'ils prétendent être. Même si les utilisateurs ou les appareils se trouvent déjà dans le périmètre du réseau, une vérification stricte de leur identité est nécessaire.

À un niveau élevé, l'objectif ultime des entreprises qui souhaitent adopter le SASE est le suivant : tirer parti de la technologie centrée sur le cloud pour réduire les charges et les coûts opérationnels et, ce faisant, réduire les menaces pour l'organisation.

Les technologies qui composent une architecture SASE

Il est important de comprendre que l'architecture SASE n'est liée à aucun fournisseur ou solution et vise à fournir l'infrastructure de sécurité la plus flexible possible. Les composants de sécurité et de réseau suivants constituent l'architecture SASE :

• Secure Web Gateway (SWG) pour l'inspection du trafic afin de protéger les utilisateurs des sites malveillants et d'appliquer les politiques d'accès.
• Firewall as a Service (FWaaS) pour les capacités de pare-feu de nouvelle génération (NGWF) afin de protéger le réseau contre un large éventail de menaces modernes. Le NGFW défend non seulement les actifs, tels que les serveurs hébergés dans le centre de données, mais aussi les utilisateurs qui travaillent sur place ou se connectent via un VPN.
• Cloud Access Security Broker (CASB) pour une couche supplémentaire de support afin de garantir que le trafic réseau entre les appareils sur site et les fournisseurs de cloud computing soit conforme aux politiques de sécurité de l'organisation.
• Solutions Zero Trust Network Access (ZTNA) pour une connectivité transparente et sécurisée aux applications, sans placer d'utilisateurs sur le réseau ni exposer les applications à Internet, ni s'appuyer sur les solutions existantes.
• SD-WAN pour réduire les coûts du réseau étendu et sécuriser les appareils IoT. À partir d'un seul panneau de verre, le SD-WAN permet aux organisations de voir et de gérer les flux de données sur tous les circuits internet et offre la possibilité de donner la priorité à la bande passante aux applications critiques pour l'entreprise.

Les avantages du SASE pour une organisation

Le modèle SASE encourage les entreprises à consolider ces technologies de base avec moins de fournisseurs. Idéalement, elles seraient gérées à partir d'un portail unique. Plus précisément, les avantages de la mise en œuvre d'une architecture SASE dans une entreprise sont les suivants :

• Routage optimisé en fonction de la latence - le SASE contribue à réduire la latence en acheminant le trafic réseau sur un réseau périphérique global. À la périphérie, les données et le trafic réseau sont traités plus près de l'utilisateur ou du dispositif.
• Réduction des coûts et de la complexité - En consolidant les fournisseurs et les piles technologiques, les coûts et les complexités peuvent être réduits.
• Agilité - De nouveaux scénarios d'affaires numériques avec une adoption plus rapide sont viables avec moins d'exposition au risque et moins de frais généraux opérationnels.
• Activation plus facile du ZTNA - Permettre un accès sécurisé au réseau en fonction de l'identité de l'utilisateur, du dispositif ou de l'application avec un chiffrement de bout en bout.
• Politique centralisée, application locale - Bénéficier d'une gestion centralisée basée sur le cloud tout en maintenant une application distribuée des politiques.

Les scénarios business facilités par le SASE

La mise en œuvre des opérations de fusions et acquisitions (M&A)

Lorsqu'un dirigeant annonce l'intention de l'entreprise d'acquérir son plus grand concurrent dans les deux mois, la réussite du projet de fusion et d'acquisition (F&A) à l'échelle de l'entreprise repose en partie sur les épaules de l'informatique. La vitesse à laquelle une équipe informatique peut interconnecter et rationaliser tous les éléments, des communications réseau à la sécurité en passant par les applications de l'entreprise, déterminera la rapidité avec laquelle l'entreprise commune pourra fonctionner et le succès global de la fusion-acquisition.

Dans cet exemple, l'entreprise acquéreuse dispose d'une architecture informatique et WAN héritée qui relie ses multiples sites via MPLS. L'accès à Internet et au cloud est assuré par une passerelle centralisée, une appliance NGFW, dans le centre de données de l'entreprise. Les communications internes reposent sur des serveurs d'applications Microsoft Exchange, CRM et VoIP, avec une partie de l'infrastructure hébergée dans AWS.

En revanche, l'organisation acquise est beaucoup plus axée sur le cloud et la mobilité, et utilise Office 365, Salesforce CRM et Fuze, RingCentral ou 8X8 pour les communications unifiées en tant que service (UCaaS). La sécurité est assurée par une passerelle Web sécurisée (SWG) basée sur le cloud. Les bureaux disposent d'un accès direct à Internet ; des VPN basés sur Internet les connectent les uns aux autres et au cloud.

En quelques mois seulement, les équipes informatiques doivent cartographier les réseaux existants et acquis, les connecter et les intégrer, et faire en sorte que le réseau intégré soit opérationnel en toute sécurité, sans interruption majeure de l'activité. Pour relever ce défi informatique plus large, les DSI doivent relever les défis de l'infrastructure dans l'ensemble de la pile informatique :

• Accès à distance - Même avant le COVID-19, l'informatique devait équiper les utilisateurs d'un accès à distance. Si une seule entreprise s'appuie fortement sur l'accès mobile, l'équipe informatique cherchera probablement à adopter la solution mobile existante dans toute l'entreprise. Des raisons impérieuses, telles que les performances, la convivialité et le coût, peuvent pousser l'équipe à adopter une toute nouvelle stratégie mobile. D'une manière ou d'une autre, l'équipe informatique devra fournir une solution d'accès à distance pour l'ensemble de l'entreprise.
• Applications - L'informatique devra rationaliser les déploiements de messagerie électronique, de CRM et de VoIP qui existent sur site et dans le nuage. Étant donné que la moitié des applications résident dans le nuage et que les entreprises se tournent de toute façon vers le nuage, elles saisiront probablement l'occasion de passer au nuage. Cela nécessitera un projet immédiat de migration vers le cloud qui, à lui seul, pourrait normalement prendre plusieurs mois.
• Sécurité - L'informatique doit imposer une politique de sécurité commune à l'ensemble du réseau. Cela garantit qu'il n'y a pas de failles que les attaquants peuvent contourner et que les utilisateurs ne peuvent accéder qu'aux ressources nécessaires et approuvées. La pile de sécurité multifournisseur et multi-architecture complique considérablement ce processus.
• Réseau - Il n'existe plus de réseau unique desservant l'ensemble de l'entreprise, ce qui complique tout - accès aux ressources, gestion du réseau, etc.

Pour relever ces défis, l'informatique doit créer une architecture réseau unifiée unique dans les organisations fusionnées, avec une interface de gestion unique, une sécurité unifiée et une architecture optimisée pour le personnel mobile. La société fusionnée doit également entreprendre une évaluation de la préparation au cloud afin de déterminer la stratégie la meilleure et la plus rapide pour la migration vers le cloud, y compris l'infrastructure, les réseaux, la sécurité et les besoins en ressources informatiques.

Le développement de la croissance au travers de l'expansion géographique

Comme tout responsable informatique le sait, l'expansion dans une région éloignée s'accompagne de nombreux défis. En raison de la latence due à la distance accrue, les applications qui fonctionnaient si bien dans la région deviendront soudainement lentes. Une infrastructure de sécurité et de réseau supplémentaire sera nécessaire et devra à son tour être intégrée à l'infrastructure existante de l'entreprise. En bref, tous les aspects de la gestion informatique seront affectés par la distance accrue, la nouvelle infrastructure et le changement des cultures d'entreprise endémiques aux expansions mondiales. Voici comment les aborder.

Dans cet exemple, le PDG de l'entreprise annonce une expansion commerciale en Amérique du Nord, en Europe et en Asie. L'entreprise s'appuie actuellement sur un serveur VPN mobile situé sur l'un de ses sites européens pour connecter, sécuriser et gérer les utilisateurs distants et mobiles. Ses applications d'entreprise ERP et CRM sont exécutées dans un centre de données AWS basé en Europe. Les applications Office et la messagerie sont fournies par Office 365. La sécurité du réseau provient d'un datacenter NGFW et de solutions UTM déployées sur plusieurs sites de succursales. Les communications réseau sur chaque site sont assurées par un accès Internet dédié.

L'équipe informatique doit assurer une performance et une sécurité cohérentes des applications dans l'ensemble de l'organisation dispersée dans le monde, y compris dans les régions où la qualité de la technologie et des services réseau offerts dans l'UE ou en Amérique du Nord est soit indisponible, soit trop coûteuse. Pour répondre à ce défi informatique plus large, les DSI doivent relever les défis de l'infrastructure dans toute la pile informatique :

• Accès à distance - Les problèmes de performance auront un impact sur les utilisateurs distants et mobiles dans les nouvelles régions. Ils devront également trouver des moyens de se connecter localement au réseau de l'entreprise pour éviter la latence de la connexion au serveur VPN européen (voir Application).
• Applications - Comme les magasins de données et les applications se trouvent dans l'UE, les bureaux basés aux États-Unis devront renvoyer le trafic vers l'UE, ce qui ajoutera une latence qui perturbera les performances des applications.
• Sécurité - La sécurité actuelle reposant sur des appliances de pare-feu, il faudra acheter, expédier, installer et gérer de nouvelles appliances. Cela prendra du temps et des ressources.
• Réseau - Au fur et à mesure que les bureaux seront déployés au-delà de l'Union européenne, l'entreprise sera probablement confrontée à une baisse des performances des applications et à une mauvaise expérience des utilisateurs mobiles, en raison de l'imprévisibilité et de la latence élevée des liaisons Internet transatlantiques.

Dans l'idéal, la stratégie de mondialisation informatique de l'entreprise devrait s'articuler autour d'une architecture réseau unique, optimisée au niveau mondial, qui relie les succursales et les utilisateurs mobiles. La sécurité devrait être assurée partout via une seule plateforme mondiale. Le trafic des applications et des centres de données en nuage devrait également être optimisé. Les utilisateurs mobiles doivent pouvoir se connecter localement à ce réseau mondial, en évitant les problèmes de performance liés à la première connexion au serveur VPN dans l'UE.

La problématique des déploiements rapides et agiles

Que vous soyez dans le secteur de la construction ou de l'ingénierie et que vous n'ayez que quelques heures ou quelques jours pour mettre vos équipes sur le terrain ou que vous deviez simplement ouvrir de nouveaux bureaux en moins d'une semaine, il est essentiel de s'adapter facilement aux changements rapides de l'entreprise. Dans ces cas, l'informatique doit permettre aux équipes d'être opérationnelles et d'avoir un accès sécurisé aux applications d'entreprise et à l'Internet bien plus rapidement que les semaines et les mois nécessaires à l'ouverture de nouveaux bureaux avec les déploiements d'entreprise existants. Comment s'adapter à ce type de changement ?

Dans ce cas, le PDG annonce un nouveau contrat important qui nécessite la mise en place d'un grand nombre de nouveaux sites à travers l'Europe, à raison d'environ deux par semaine. Actuellement, l'organisation informatique est réduite à une équipe de deux personnes, ce qui pose un problème de personnel et de ressources.

L'entreprise exécute des applications ERP et CRM dans un centre de données Azure situé dans l'est des États-Unis et Office 365 pour les applications bureautiques classiques et la messagerie unifiée. Pour la sécurité, elle s'appuie sur une appliance NGFW dans le centre de données de l'entreprise et sur les UTM du même fournisseur sur plusieurs sites. La connectivité site à site et la connectivité Internet sont actuellement fournies par un accès Internet direct, mais avec la nécessité de faire tourner les sites rapidement, l'entreprise devra ajouter un accès 4G/LTE sur chacun des nouveaux sites jusqu'à ce que le telco local puisse déployer le haut débit ou la fibre.

Même si l'espace de bureaux a déjà été acquis et que la connectivité nécessaire au dernier kilomètre est en place, l'ouverture de deux nouveaux sites chaque semaine implique toujours des défis importants :

• Gestion - Le plus grand défi est le manque de personnel informatique pour exécuter un projet de cette ampleur tout en maintenant les lumières dans l'organisation.
• Applications - L'expérience utilisateur des applications risque de souffrir du fait que le trafic est réacheminé vers les centres de données.
• Sécurité - L'équipe informatique devra faire face à la logistique importante que représentent l'achat, les tests et le déploiement des appareils de sécurité dans chaque nouveau site dans un délai aussi court.
• Réseau - L'équipe informatique est confrontée à une infrastructure réseau incohérente, avec certains sites sur des circuits DIA et de nouveaux sites sur 4G/LTE en transition vers DIA lorsqu'ils sont disponibles.

Avec un si grand nombre de sites à déployer et si peu de personnel informatique, les technologies permettant un déploiement rapide des sites (telles que l'approvisionnement sans contact) et une gestion simplifiée sont essentielles. Idéalement, le personnel informatique devrait être en mesure d'expédier un appareil préconfiguré que le personnel non technique sur site peut simplement brancher et rendre opérationnel rapidement. Des tests à distance seront nécessaires car, souvent, les méthodes de provisionnement sans contact peuvent ne pas fonctionner derrière le système DHCP local.

Les déploiements sur site doivent inclure une stratégie d'optimisation du cloud pour protéger l'expérience du cloud. Le déploiement rapide de la sécurité sera difficile avec les appliances. Un pare-feu en tant que service (FWaaS) ou une solution de sécurité basée sur le cloud seraient de meilleures solutions. Enfin, le fait de disposer d'une architecture réseau unique et unifiée sur tous les sites contribuera à simplifier le déploiement.

La nécessaire migration vers le cloud

Toutes les entreprises sont présentes dans le cloud, même s'il ne s'agit que de quelques utilisateurs utilisant des applications SaaS. Et les avantages du cloud sont bien connus : adoption facile, déploiement et configuration rapides, maintenance réduite et, souvent, bien moins coûteux que de déployer soi-même l'application. Que se passe-t-il donc lorsque le PDG décide de tirer parti de ces avantages et insiste pour que le service informatique élabore un plan visant à créer ou à étendre de manière significative l'empreinte du cloud de l'entreprise ? Tout seul, cela peut être un défi. L'adoption et la migration vers le cloud touchent de nombreuses équipes au sein de l'organisation informatique. Le cloud est particulièrement difficile pour l'équipe chargée de l'infrastructure lorsque le réseau global de l'entreprise est encore basé sur une infrastructure MPLS héritée.

L'entreprise utilise un service MPLS géré et global pour connecter les succursales au centre de données de l'entreprise. Une appliance NGFW au siège fait office de portail Internet sécurisé pour l'entreprise. Le réseau est entièrement géré par le fournisseur MPLS. Toutes les applications d'entreprise actuelles sont exécutées dans les centres de données de l'entreprise. Les utilisateurs distants et mobiles se connectent à un serveur VPN.

L'élaboration d'un plan complet de migration vers le cloud doit prendre en compte non seulement les coûts spécifiques au cloud, mais aussi les processus et les technologies nécessaires pour migrer et prendre en charge le cloud :

• Gestion - Les changements prendront des années et coûteront une fortune car le fournisseur MPLS devient la passerelle vers tout.
• Accès à distance - Le backhauling du trafic d'accès à distance vers un serveur VPN unique avant d'accéder au cloud entraînera une mauvaise expérience pour les utilisateurs à domicile et mobiles.
• Application - Une chose que les responsables informatiques savent, c'est que lorsque vous effectuez un changement radical, tel que le transfert d'applications vers le cloud, cela implique une courbe d'apprentissage importante. Il y aura forcément des problèmes, que ce soit dans le domaine des applications ou dans celui du réseau. Mais l'ancienne organisation ne dispose pas d'une pratique du cloud, ce qui rend la transition particulièrement douloureuse.
• Sécurité - Le fait d'avoir un seul NFGW au siège signifie qu'il n'y a pas de contrôle et pas de sécurité dans les succursales.
• Réseau - La capacité et l'architecture du réseau MPLS sous-jacent ne sont pas suffisantes pour une migration vers le cloud. Les mises à niveau de la bande passante et d'autres changements architecturaux devront être budgétisés dans le projet de migration vers le cloud.

Plutôt que de conserver une architecture MPLS vieillissante et inadaptée au cloud, l'entreprise doit trouver un fournisseur de solutions capable de proposer un réseau étendu (WAN) de grande capacité basé sur Internet, ainsi que des solutions de sécurité et d'accès mobile basées sur le cloud.

Une telle solution réduira les coûts et les délais liés à la collaboration avec les opérateurs de télécommunications tout en fournissant un réseau doté de la capacité et de l'architecture nécessaires à la migration vers le cloud. Elle facilitera également l'accès au cloud, en particulier si elle comprend un backbone privé mondial. Avec une plateforme de sécurité FWaaS ou basée sur le cloud, l'équipe informatique sera en mesure d'effectuer des changements de politique de sécurité plus rapidement. L'accès mobile basé sur le cloud éliminera le backhaul qui nuit aux performances à distance.

Le SASE apporte une solution à ces enjeux business

Le SASE représente une transformation de l'architecture informatique qui fusionne la connectivité et la sécurité du réseau étendu pour tous les sites de l'entreprise et les utilisateurs mobiles en un seul service global en nuage.

La convergence de la mise en réseau et de la sécurité par le SASE

Selon la définition de Gartner, le SASE fait converger la mise en réseau et la sécurité en une seule plateforme qui est :

• Cloud native - Toutes les fonctions de mise en réseau et de sécurité sont mises en œuvre dans le cloud, où le SASE tire parti des principales capacités du cloud telles que l'élasticité, l'adaptabilité, l'autoréparation, l'auto-maintenance et la portée mondiale. Comme d'autres solutions en nuage, le SASE réduit les coûts initiaux, les dépenses mensuelles et le coût total de possession, car la maintenance, les mises à jour et la gestion sont principalement prises en charge par le fournisseur du SASE.
• Indépendant des équipements en périphérie - Le SASE crée un seul réseau pour toutes les ressources de l'entreprise, y compris les centres de données de l'entreprise et du cloud, les succursales et les utilisateurs mobiles.
• Globalement distribué - Globalement distribué : Avec le SASE, des capacités complètes de mise en réseau et de sécurité sont disponibles partout dans le monde et offrent la meilleure expérience possible à tous les niveaux.
• Axé sur l'identité - L'identité de l'utilisateur - et non l'adresse IP - détermine l'expérience réseau, y compris la qualité de service, la sélection des routes, les politiques de sécurité et les contrôles appliqués. Cette approche réduit les frais d'exploitation en permettant aux entreprises d'élaborer un seul ensemble de politiques de réseau et de sécurité pour les utilisateurs, quel que soit le dispositif ou le lieu.

Le SASE et les cinq points sensibles de la transformation digitale

Le SASE répond aux cinq points sensibles de la transformation numérique.

• Gestion - Le SASE fournit une interface de gestion unique pour tous les réseaux, fonctions de sécurité, emplacements et utilisateurs mobiles, transformant la complexité et la perte de contrôle informatique en simplicité et en contrôle total. De nombreuses solutions SASE permettent un libre-service pour les utilisateurs, de sorte que de nouveaux sites et utilisateurs mobiles peuvent être ajoutés et configurés rapidement et facilement.
• Mobile - Les utilisateurs mobiles se connectent au même réseau rapide basé sur le cloud que tous les autres sites et ressources. Il n'y a donc aucune différence en termes de performances, d'évolutivité, de sécurité ou de productivité. Les utilisateurs mobiles bénéficient de la même expérience de travail et de la même productivité qu'au bureau. Le service informatique peut ajouter des centaines de nouveaux utilisateurs mobiles sans aucun problème de performance, de sécurité ou de ressources.
• Application - Le SASE connecte les centres de données en nuage au même réseau mondial que les autres sites de l'entreprise et les utilisateurs mobiles et gère ces connexions avec la même interface de gestion. Les connexions au cloud sont déjà préconfigurées, de sorte que la connexion à n'importe quel service de cloud connecté à l'architecture SASE est rapide et simple.
• Sécurité - Le SASE fournit à tous les sites et utilisateurs une pile de sécurité d'entreprise unique, complète et basée sur le cloud, comprenant un NGFW, un anti-malware, un CASB, un SWG, un ZTNA/SDP et un IPS, tous gérés par une console unique.
• Réseau - Le SASE connecte chaque site mondial et chaque utilisateur mobile à un seul réseau haute performance basé sur le cloud avec une interface de gestion unique.

En fin de compte, lorsqu'il est correctement mis en œuvre, le modèle SASE permet aux organisations d'accéder à une technologie centrée sur le cloud, de réduire la charge et les coûts opérationnels, d'améliorer la sécurité et de réduire les menaces. N'oubliez pas que le SASE ne s'achète pas sur étagère et qu'il existe de nombreuses façons d'assembler une solution SASE.