SSE: Security Service Edge

Définition du SSE

En 2021, Gartner a présenté un nouveau concept, le SSE (Security Service Edge), pour décrire la convergence de certaines fonctions de sécurité réseau dans le cloud. Le SSE marque la convergence de fonctions SWG, CASB/DLP et ZTNA dans un seul service cloud. Il s’agit d’un pan de la couche sécurité du SASE que l’on peut déployer de façon autonome ou dans le cadre d’un processus de transformation SASE complet.

Le SSE permet un accès sécurisé à des applications Web et cloud sans prise en charge directe de l’optimisation globale de l’accès et de la sécurité du trafic WAN latéral. Un suivi et un contrôle étendus à tout le trafic est un aspect clé d’une architecture SSE efficace.

Découvrir Cato SSE 360

Security Service Edge (SSE)

Facteurs d’adoption du SSE

Réseaux d’ancienne génération reposant sur des data centers physiques

La migration vers le cloud exige une refonte de l’architecture de connectivité et de sécurité pour gérer l’accès des utilisateurs à des applications internes dans des data centers physiques et virtuels et à des applications de cloud public, partout et à tout moment.

Ralentissement de l’accès cloud sécurisé par le trafic Internet transporté

Le volume du trafic Internet et cloud augmentant, il ne convient pas d’envoyer tout le trafic via les pare-feux du data center. Il faut permettre un accès Internet direct et sécurisé sur chaque site et à chaque utilisateur distant pour établir un suivi et un contrôle complets, sans nuire à l’expérience utilisateur.

Hybridisation de l’informatique d’entreprise

L’adoption d’un modèle opérationnel hybride oblige l’informatique d’entreprise à s’adapter. Le télétravail exige une plateforme agile et évolutive pour garantir une sécurité et une application de stratégies complètes pour tous les éléments (utilisateurs, sites, applications, clouds), où qu’ils résident.

Incapacité à évoluer des appliances de sécurité d’ancienne génération

Les appliances de sécurité d’ancienne génération sont incompatibles avec les exigences actuelles de l’entreprise : limitation à un site, mise à jour constante et montée en charge impossible. La gestion d’équipes hybrides demande une architecture de sécurité agile et évolutive, capable de protéger tous les utilisateurs où qu’ils résident, au bureau, en déplacement ou à domicile.

Solutions non intégrées rendant la gestion complexe

Les outils partiels alourdissent les tâches manuelles incombant à la DSI en termes de correctifs et de mise à niveau, avec un risque accru d’erreurs et d’oublis. Un modèle de déploiement de type service évite d’avoir à mettre à jour l’infrastructure de sécurité et maintient la protection.

Avantages du SSE

Application de stratégies cohérentes

Le SSE établit un cadre global qui connecte tous les éléments dans une plateforme de sécurité commune. Il contrôle tout le trafic entre deux éléments et applique des stratégies d’entreprise pour la prévention des menaces et la protection des données.

Surface d’attaque réduite

Le SSE établit un accès zero-trust en veillant à ce que les utilisateurs ne puissent accéder qu’à des applications autorisées (privilège minimum). Il analyse en permanence le trafic des applications pour détecter des anomalies, des menaces, des attaques ou la perte de données sensibles.

Contrôle de sécurité haute performance

Le SSE est une solution cloud native, qui repose sur un backbone mondial de PoP. Il contrôle sans impact tout le trafic, offre une évolutivité verticale et horizontale selon la croissance et minimise la latence de chaque PoP résidant à proximité de chaque site et utilisateur.

État de sécurité renforcé

Le SSE déleste la DSI de la tâche de déployer manuellement des réponses aux nouvelles menaces. L’expertise du COS du service garantit que les utilisateurs restent protégés et la surface d’attaque de l’entreprise minimisée.

Charge informatique allégée

Le fournisseur SSE enrichit constamment les fonctions toutes accessibles dans le cloud dans le cadre d’un service à mise à jour automatique. La charge de la DSI s’en trouve réduite et elle peut se consacrer aux tâches cruciales, plutôt qu’à un travail administratif ingrat.

Présentation de Cato SSE 360 : suivi et contrôle complets pour tout le trafic WAN, cloud et Internet

Cato SSE 360 dépasse le cadre de convergence du SSE en alliant un suivi, une optimisation et un contrôle complets de tout le trafic, des utilisateurs, des appareils et des applications, partout.

La plupart des solutions SSE classiques offrent un accès sécurisé aux applications Web et cloud ou à certaines internes. Mais, les entreprises doivent optimiser et sécuriser tout le trafic, de toutes les applications et les ressources WAN, cloud et Web, pour l’ensemble des ports et des protocoles. Cela exige d’autres outils partiels comme des pare-feux et des backbones globaux pour combler les lacunes de sécurité.
Conjugué à notre réseau Edge SD-WAN, Cato SSE 360 offre une voie d’évolution claire vers la convergence SASE.

« En intégrant la sécurité au cœur de l’infrastructure, nous répondons à nos besoins d’audit et métier et respectons les normes sans avoir à gérer de nombreuses appliances de sécurité.

Nous collectons des détails sur la qualité des liaisons de chaque site et recevons des alertes de sécurité pour parer rapidement aux attaques ou l’infection de maliciels. »

Dave Oliver,
Directeur informatique, Grant and Stone

Défi

Sécuriser et optimiser tout le trafic global s’avère coûteux et complexe

Les outils de sécurité partiels et non intégrés surchargent les DSI en manque de ressources, nuisant à l’état de sécurité et généralisant le risque lié aux erreurs de configuration.

La convergence SSE standard atténue ces problèmes, mais offre un suivi et un contrôle limités ne couvrant que les applications Web et de cloud public, et certaines applications internes. Le trafic WAN reste donc ni contrôlé ni optimisé.

Enfin, un produit SSE pas intégré à une plateforme SASE globale ne peut élargir la convergence au SD-WAN pour un processus de transformation SASE complet.

Les outils de sécurité partiels et non intégrés surchargent les DSI en manque de ressources, nuisant à l’état de sécurité et généralisant le risque lié aux erreurs de configuration.

La convergence SSE standard atténue ces problèmes, mais offre un suivi et un contrôle limités ne couvrant que les applications Web et de cloud public, et certaines applications internes. Le trafic WAN reste donc ni contrôlé ni optimisé.

Enfin, un produit SSE pas intégré à une plateforme SASE globale ne peut élargir la convergence au SD-WAN pour un processus de transformation SASE complet.

Solution Cato

Cato SSE 360 intègre un suivi, une optimisation et un contrôle de tout le trafic global

Cato SSE 360 offre la seule solution SSE complète qui allie un suivi, une optimisation et un contrôle du trafic à l’échelle de toute l’entreprise, notamment des applications SaaS, Web et du WAN.

Cato SSE 360 assure une transition fluide et transparente vers un déploiement SASE intégral, avec l’option d’une connectivité convergente de tous les sites physiques via Cato SD-WAN, au besoin.

Cato SSE 360 offre la seule solution SSE complète qui allie un suivi, une optimisation et un contrôle du trafic à l’échelle de toute l’entreprise, notamment des applications SaaS, Web et du WAN.

Cato SSE 360 assure une transition fluide et transparente vers un déploiement SASE intégral, avec l’option d’une connectivité convergente de tous les sites physiques via Cato SD-WAN, au besoin.

SSE vs. Cato SSE 360

Solutions SSE classiques

Solutions SSE classiques

Cato SSE 360

Cato SSE 360

Suivi et contrôle

Solutions SSE classiques

Suivi et contrôle limités

Une solution SSE partielle classique atténue la fragmentation par la convergence. Mais, par nature, elle ne contrôle que le trafic SaaS et certaines applications internes. Cela crée des lacunes de sécurité et d’optimisation du trafic WAN latéral.

Cato SSE 360

Suivi, optimisation et contrôle complets

Cato SSE 360 repose sur notre architecture Single Pass Cloud Engine pour assurer un suivi, une optimisation et un contrôle inégalés de tout le trafic (WAN, Internet et Cloud) entre tous les éléments (utilisateurs, sites, applications et clouds).

Optimisation de l’accès globale

Solutions SSE classiques

Aucune optimisation globale

Un produit SSE classique achemine le trafic du PoP vers le réseau Internet public et n’utilise pas de backbone privé mondial qui optimise le routage global. Cela engendre de la latence, une perte de paquets et de la gigue, d’où une expérience utilisateur inégale.

Cato SSE 360

Backbone privé mondial optimisé

Cato SSE 360 optimise l’accès global à toutes les applications, au WAN, au Web et au cloud grâce à un backbone privé mondial intégrant une accélération du trafic qui évite l’imprévisibilité du réseau public.

Du SSE au SASE

Solutions SSE classiques

Solution partielle sans issue

Un produit SSE classique ne peut pas évoluer vers une solution SASE complète, par défaut de convergence SD-WAN. La DSI doit créer sa propre solution SASE à partir d’outils partiels et d’appliances complexes.

Cato SSE 360

Voie d’évolution fluide vers le SASE

Cato offre la seule solution SSE assurant une voie d’évolution fluide vers une transformation SASE intégrale, en étendant le déploiement aux appliances Edge SD-WAN Cato Socket.

Solutions SSE classiques

Cato SSE 360

Suivi et contrôle

Suivi et contrôle limités

Une solution SSE partielle classique atténue la fragmentation par la convergence. Mais, par nature, elle ne contrôle que le trafic SaaS et certaines applications internes. Cela crée des lacunes de sécurité et d’optimisation du trafic WAN latéral.

Suivi, optimisation et contrôle complets

Cato SSE 360 repose sur notre architecture Single Pass Cloud Engine pour assurer un suivi, une optimisation et un contrôle inégalés de tout le trafic (WAN, Internet et Cloud) entre tous les éléments (utilisateurs, sites, applications et clouds).

Optimisation de l’accès globale

Aucune optimisation globale

Un produit SSE classique achemine le trafic du PoP vers le réseau Internet public et n’utilise pas de backbone privé mondial qui optimise le routage global. Cela engendre de la latence, une perte de paquets et de la gigue, d’où une expérience utilisateur inégale.

Backbone privé mondial optimisé

Cato SSE 360 optimise l’accès global à toutes les applications, au WAN, au Web et au cloud grâce à un backbone privé mondial intégrant une accélération du trafic qui évite l’imprévisibilité du réseau public.

Du SSE au SASE

Solution partielle sans issue

Un produit SSE classique ne peut pas évoluer vers une solution SASE complète, par défaut de convergence SD-WAN. La DSI doit créer sa propre solution SASE à partir d’outils partiels et d’appliances complexes.

Voie d’évolution fluide vers le SASE

Cato offre la seule solution SSE assurant une voie d’évolution fluide vers une transformation SASE intégrale, en étendant le déploiement aux appliances Edge SD-WAN Cato Socket.

Fonctionnement de Cato SSE 360

Suivi, optimisation et contrôle complets de tout le trafic

Cato SSE 360 gère le trafic de tous les éléments, pour l’ensemble des ports et des protocoles, dans tous les sens : WAN, Internet et cloud. Cato SSE 360 applique uniformément toutes les stratégies de sécurité et d’optimisation à tout le trafic entre des utilisateurs, des appareils, des applications et des sites.

Sécurité haute performance, partout

Cato SSE 360 se déploie sur plus de 75 PoP (points de présence) cloud, conçus pour traiter un trafic important en alliant faible latence (moins de 25 ms pour chaque utilisateur et site) et haute performance sur les liaisons de transport vers les destinations cloud et WAN.

Console de gestion convergente

Une console centrale présente toutes les stratégies, les événements et les analyses et permet de les gérer en détail. Un tableau de bord d’analyse unifié affiche tous les événements pour les utilisateurs, les menaces, les données et l’accès aux applications.

Service SSE pérenne et résilient

L’architecture convergente facilite l’ajout de nouvelles fonctions de sécurité au service cloud SSE 360. Sa conception intègre la haute disponibilité pour garantir un contrôle de sécurité continu en cas de panne d’un PoP ou du réseau.

Voie d’évolution fluide vers le SASE

Cato SSE 360 offre une voie d’évolution fluide vers un déploiement SASE complet en englobant la convergence SD-WAN et l’optimisation WAN, rationalisant davantage l’infrastructure informatique.

Composantes de Cato SSE 360

Service SSE cloud natif

Notre Single-Pass Cloud Engine (SPACE) forme la base du service cloud natif global et convergent. Voici les fonctions de convergence actuelles du SPACE pour le service Cato SSE 360 : SWG, ZTNA, CASB/DLP, FWaaS et prévention des menaces avancée (IPS, lutte contre les maliciels de nouvelle génération).

Backbone privé mondial

Le réseau mondial de Cato compte plus de 75 PoP répartis géographiquement et interconnecte plusieurs opérateurs de niveau 1, avec la garantie de SLA. Chaque PoP utilise toutes les fonctions SSE entre plusieurs nœuds de calcul et SPACE pour assurer une latence minimale, une optimisation globale du routage et un service de réparation entièrement automatisé.

Clients Cato ZTNA/SDP pour les utilisateurs

Les utilisateurs se connectent au service Cato via des clients légers. Ils accèdent de façon optimale et sécurisée aux applications Web, de cloud public ou internes, ainsi qu’aux data centers physiques et virtuels. Les tiers disposent d’un accès sans client via un portail des applications.

Dispositifs compatibles IPsec et SD-WAN Cato Socket pour les sites

Les sites physiques et virtuels se connectent via des dispositifs tiers compatibles IPsec ou des appliances SD-WAN Cato Socket. L’entreprise peut choisir d’utiliser les pare-feux actuels ou des appliances SD-WAN résidant dans leurs réseaux et bénéficier des fonctions de sécurité avancée de Cato. Un socket Cato assure la résilience de boucle locale et la QoS et évite les interruptions et coupures avec la sélection de chemin dynamique orientée application et l’atténuation de la perte de paquets.

Application de gestion complète

Notre application de gestion complète permet une analyse claire de la sécurité et du réseau, avec une configuration de stratégies précise et globale. Les services managés comprennent le déploiement de site, le suivi intelligent de boucle locale, la configuration réseau, la modification de stratégie de sécurité et le MDR.

  • Définition du SSE

    En 2021, Gartner a présenté un nouveau concept, le SSE (Security Service Edge). Le SSE assure la convergence de fonctions d’accès aux applications sécurisé (intégrant les volets SWG, ZTNA et CASB/DLP) dans un seul service cloud. Il permet à l’entreprise de remplacer une architecture informatique rigide et non intégrée par une plate-forme de sécurité convergente, déployée sous forme de service cloud natif. La DSI de l’entreprise peut répondre rapidement à de nouveaux besoins métier ou de sécurité comme la migration cloud, l’adoption d’applications de cloud public et le télétravail. L’architecture convergente réduit le coût et la complexité avec une seule console de gestion simple, une infrastructure à auto-réparation et des mesures automatiquement adaptatives pour bien parer aux nouvelles menaces.

  • Différence entre les outils de sécurité partiels et le SSE

    La DSI de l’entreprise crée généralement une infrastructure de sécurité reposant sur plusieurs produits partiels et des appliances d’ancienne génération. Elle s’adapte de plus en plus lentement aux besoins métier ou techniques en constante évolution et au cadre des menaces changeant. Le problème s’amplifie avec la rareté des compétences en cybersécurité, les ressources et budgets limités et le coût élevé du support externalisé.

  • Raisons de l’importance du SSE

    Le SSE marque la première étape dans la transformation de la sécurité en assurant la convergence d’un accès sécurisé permanent à toutes les applications pour tous les utilisateurs. Dans le cadre d’une plateforme SASE intégrée, le SSE ouvre la voie vers une transformation SASE complète à un stade ultérieur, avec la convergence SD-WAN et l’optimisation WAN. Plus l’entreprise affine sa convergence informatique et plus elle bénéficie d’un meilleur suivi, de coûts réduits et de gains d’efficacité et d’agilité opérationnelle.

  • Relation entre le SSE et le SASE

    Deux après avoir présenté le service SASE (Secure Access Service Edge), Gartner a lancé le SSE (Security Service Edge). Le SASE assure la convergence d’un réseau SD-WAN et de la sécurité (FWaaS, CASB, SWG et ZTNA) dans un seul service cloud natif. Le SSE définit un cadre plus limité de fonctions de sécurité réseau convergente (SWG, CASB/DLP et ZTNA). Le SSE met l’accent sur un accès sécurisé aux applications, sans couvrir la connectivité réseau optimisée de bout en bout et la sécurité du trafic WAN latéral.

  • Différence entre les services SSE classiques et Cato SSE 360

    Un service SSE classique repose sur une architecture de proxy Web qui permet l’accès à des sites Web et des applications SaaS. Pour permettre un accès réseau zero-trust (ZTNA) à toutes les applications, un service SSE intermédiaire doit ajouter une autre couche de connecteurs d’application. Même avec cette extension, le trafic généré par des éléments d’entreprise comme les appareils IoT ou celui entre les applications et dans le WAN reste en dehors du champ du SSE.
    Cato SSE 360 repose sur notre architecture Single Pass Cloud Engine pour assurer un suivi, une optimisation et un contrôle inégalés de tout le trafic (WAN, Internet et Cloud) entre tous les éléments (utilisateurs, sites, applications et clouds). Cato SSE 360 optimise l’accès global grâce à un backbone privé mondial intégrant une accélération du trafic qui évite l’imprévisibilité du réseau public.