Capacités du SASE et du Zero Trust Network Access

Le Market Guide for Zero Trust Network Access (ZTNA) de Gartner prévoyait que d’ici 2023, 60 % des entreprises élimineraient progressivement le VPN et utiliseraient le ZTNA à la place. Le principal moteur de l’adoption du ZTNA est l’évolution des périmètres réseau de l’entreprise. Les charges de travail cloud, de travail à domicile, mobiles, et les actifs réseau sur site doivent être pris en compte, et les solutions ponctuelles, telles que les appliances VPN, ne sont pas l’outil idéal pour cette tâche.

À un niveau global, nous pouvons résumer l’avantage du ZTNA sur le VPN en un seul mot : granularité. Zero Trust Network Access permet aux entreprises de restreindre l’accès à un niveau que le VPN et d’autres approches de type « château -et-douve » de la sécurité du réseau ne peuvent tout simplement pas atteindre.

Ce contrôle granulaire est également la raison pour laquelle Zero Trust Network Access complète l’approche orientée identité des demandes d’accès réseau du SASE. Avec l’intégration de Zero Trust Network Access à une plateforme réseau cloud native, le SASE est capable de connecter les ressources des entreprises modernes — utilisateurs mobiles, sites, applications cloud et centres de données cloud — avec le bon degré d’accès. Mais comment exactement le ZTNA et le SASE s’associent-ils pour tenir cette promesse ? Voyons cela de plus près…

Qu’est-ce que le Zero Trust Network Access ?

Zero Trust Network Access, également connu sous le nom de SDP (Software-defined Perimeter), est une approche moderne pour sécuriser l’accès aux applications et aux services à la fois dans le cloud et sur site. Le fonctionnement du ZTNA est simple : refuser à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité réseau globale et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

Aujourd’hui, avec les solutions ponctuelles de sécurité réseau traditionnelles, une fois qu’un utilisateur franchit une appliance de sécurité, il obtient implicitement un accès à tout élément sur le même sous-réseau. Cela augmente intrinsèquement le risque et la surface d’attaque. Le ZTNA renverse ce paradigme. Avec le ZTNA, l’informatique doit explicitement autoriser l’accès aux ressources réseau et peut appliquer des restrictions jusqu’au niveau de l’application.

SASE et Zero Trust

Le ZTNA n’est qu’une petite partie du SASE. Le SASE restreint l’accès à tous les edges — sites, utilisateurs mobiles et ressources cloud — conformément aux principes du ZTNA. En d’autres termes, c’est avec ses capacités NGFW et SWG que le SASE restreint l’accès ; le ZTNA est le degré de restriction d’accès des edges du SASE.

Le SASE regroupe Zero Trust Network Access, NGFW et d’autres services de sécurité ainsi que des services réseau tels que le SD-WAN, l’optimisation WAN et l’agrégation de bande passante dans une plateforme cloud native. Cela veut dire que les entreprises qui tirent parti de l’architecture SASE bénéficient des avantages de Zero Trust Network Access ainsi que d’une suite complète de solutions de réseau et de sécurité, qui est à la fois simple à gérer et hautement évolutive.

Les avantages du SASE et du Zero Trust Network Access

Le premier avantage du SASE et du Zero Trust Network Access est qu’une approche de sécurité par défaut basée sur l’identité améliore considérablement la posture de sécurité. Même si un utilisateur malveillant compromet une ressource réseau, le ZTNA peut limiter les dommages. En outre, les services de sécurité SASE peuvent établir une référence de comportement réseau normal, ce qui permet une approche plus proactive de la sécurité réseau en général et de la détection des menaces en particulier. Avec une base de référence solide, le comportement malveillant est plus facile à détecter, à contenir et à prévenir.

Au-delà des avantages en matière de sécurité, le couplage du SASE et du ZTNA résout un autre ensemble de problèmes que les solutions ponctuelles créent pour les entreprises modernes : l’étalement des appliances et la complexité du réseau. Avec les solutions VPN ponctuelles, les entreprises sont obligées de déployer des appliances supplémentaires pour des fonctionnalités telles que SD-WAN et NGFW. Cela signifie que les dépenses d’exploitation et d’investissement croissent avec chaque site supplémentaire qui a besoin d’une appliance. Cela signifie également que les intégrations entre les appliances, les utilisateurs mobiles et les services cloud augmentent considérablement la complexité du réseau.
SASE & ZTNA éliminent ces problèmes en fournissant une solution cloud native qui fonctionne pour tous les edges de réseau. Cela veut dire que les services cloud, les utilisateurs mobiles, l’IdO, les succursales et les réseaux d’entreprise bénéficient tous du même niveau de sécurité sans augmenter considérablement la complexité ou les coûts de déploiement.

Pour résumer, par rapport aux solutions ponctuelles traditionnelles, Zero Trust Network Access avec SASE est :

  • Plus facile à faire évoluer. L’étalement des appliances rend les solutions ponctuelles VPN difficiles à gérer à mesure qu’un réseau se développe. Le SASE apporte l’évolutivité d’une plateforme cloud native multilocataire à la sécurité réseau.
  • Plus granulaire. Avec les solutions ponctuelles traditionnelles, les entreprises peuvent mettre en œuvre des politiques qui limitent l’accès en fonction des adresses IP. SASE et Zero Trust Network Access permettent le contrôle d’accès et la visibilité du réseau jusqu’au niveau des applications et des identités spécifiques.
  • Plus sûr. Les solutions ponctuelles étaient assez efficaces à l’époque où un paradigme de « château et douve » assurait une sécurité suffisante du réseau. Or, les réseaux modernes ont des topologies qui ne rentrent tout simplement pas dans ce paradigme. En s’assurant que tous les edges de réseau sont pris en compte (par exemple en permettant un accès mobile sans client) et en utilisant des solutions de sécurité spécialement conçues pour les topologies de réseau modernes, SASE et ZTNA peuvent augmenter considérablement la posture de sécurité.
  • Plus rapide et plus fiable. Souvent, les appliances VPN deviennent des goulets d’étranglement qui ralentissent un WAN et ont un impact négatif sur les performances. En effet, les appliances individuelles ont des limites en termes de processeur et de ressources. Avec une approche cloud native, le SASE élimine ces limitations de ressources et améliore encore les performances du WAN en fournissant également une optimisation WAN dans le cadre de la structure réseau sous-jacente.

La première véritable plate-forme SASE avec Zero Trust Network Access

Le marché du SASE est encore en phase de maturation, et beaucoup de fournisseurs SASE sont loin de tenir la véritable promesse du SASE. Pour cette raison, il est important d’apprendre ce que n’est pas le SASE. En plus d’être considéré comme un fournisseur de référence pour le SASE dans le Hype Cycle Hype Cycle for Enterprise Networking 2019 de Gartner, Cato Networks est également la première véritable plateforme SASE au monde.

La plateforme SASE de Cato a été construite dès le départ en ayant à l’esprit les réseaux d’entreprise modernes. La plateforme combine des fonctionnalités de sécurité telles que Zero Trust Network Access, SWG, NGFW et IPS avec des services réseau tels que SD-WAN et optimisation WAN ainsi qu’un backbone privé mondial au SLA de disponibilité de 99,999 %. En conséquence, Cato est le seul fournisseur actuellement capable de tenir la véritable promesse du SASE du point de vue de la performance, de la sécurité et de l’évolutivité.

Si vous souhaitez voir la plateforme Cato SASE en action, inscrivez-vous pour une démonstration ou contactez-nous dès aujourd’hui. Pour un examen plus approfondi du SASE, consultez notre eBook « The Network for the Digital Business Starts with the Secure Access Service Edge (SASE) ».

Related Articles