Qu’est-ce que Security Service Edge ?
Security Service Edge, ou SSE, tel que défini par Gartner dans le rapport « Hype Cycle for Cloud Security » en 2021, est le composant de sécurité du SASE qui sécurise l’accès au Web, aux applications SaaS et aux applications privées. Il comprend des fonctionnalités de sécurité avancées telles que Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) et Firewall as a Service (FWaaS).
Présentation de Security Service Edge (SSE)
Comment fonctionne SSE ?
Une solution SSE sécurise l’accès à distance au Web, aux services cloud et aux applications privées.
Traditionnellement, les entreprises hébergeaient leurs applications de manière centralisée dans des datacenters, ce qui facilitait un grand nombre d’inspections de sécurité telles que les pare-feu et les IDS/IPS. Avec le déplacement des applications vers le cloud et les initiatives de travail à distance, les entreprises ont désormais du mal à protéger leurs applications contre les menaces externes, car elles fonctionnent dans des environnements distribués en dehors du périmètre de sécurité traditionnel. Les infrastructures réseau traditionnelles empêchent les services informatiques de surveiller toutes les connexions entre les utilisateurs et les applications SaaS. De plus, le fait de diriger le trafic destiné au cloud vers le datacenter pour une inspection de sécurité a un impact considérable – et négatif – sur les performances des applications et l’expérience des utilisateurs.
Les solutions Security Service Edge sont des services cloud qui permettent aux organisations d’effectuer des inspections de sécurité avancées au plus près des points de terminaison, notamment des utilisateurs et des appareils. Elles créent un périmètre de sécurité dynamique qui assure la protection contre les menaces, la sécurité des données et le contrôle d’accès, quel que soit le lieu de connexion des utilisateurs.
Composants de SSE
Security Service Edge (SSE) comprend quatre composants de sécurité essentiels :
- ZTNA
ZTNA part du principe que, par défaut, aucun utilisateur ne peut être digne de confiance pour accéder à quoi que ce soit jusqu’à preuve du contraire. Contrairement à un VPN qui donne aux utilisateurs connectés un large accès au réseau de l’entreprise, ZTNA limite l’accès de l’utilisateur, par l’intermédiaire d’un agent de confiance, aux seules applications ou microsegments spécifiques qui ont été approuvés pour l’utilisateur. - CASB
CASB identifie et détecte les données sensibles dans les applications cloud, y compris l’accès cloud-to-cloud, et applique les politiques de sécurité telles que l’authentification et l’authentification unique (SSO). Il empêche les utilisateurs de s’inscrire et d’utiliser des applications cloud qui ne sont pas autorisées par les politiques informatiques et de sécurité d’une organisation. Cela permet aux organisations de réduire l’informatique fantôme qui pose des problèmes de sécurité et de conformité. - SWG
SWG protège les organisations contre les menaces basées sur le Web en utilisant plusieurs techniques de défense. Il se place entre un utilisateur et un site Web de sorte que les utilisateurs se connectent à la solution SWG, qui effectue plusieurs inspections de sécurité, notamment le filtrage URL, la détection des codes malveillants et le contrôle de l’accès au Web, puis redirige le trafic vers le site Web. - FWaaS
FWaaS est un pare-feu basé dans le cloud qui analyse le trafic provenant de plusieurs sources. FWaaS consolide le trafic provenant de plusieurs sites exploités par l’organisation, notamment le siège de l’entreprise, les succursales distantes et les utilisateurs mobiles. FWaaS prend souvent en charge les contrôles d’accès indispensables tels que IDS/IPS, la prévention des menaces avancées, le filtrage URL et la sécurité DNS. - D’autres services de sécurité peuvent être proposés en plus des fonctionnalités de base ci-dessus, tels que la prévention des pertes de données (DLP), l’isolation de navigateur à distance (RBI) et le sandboxing.
Quelle est la différence entre SSE et SASE ?
En 2019, Gartner a inventé le terme SASE (Secure Access Service Edge) pour combiner les fonctionnalités SD-WAN avec les services de sécurité dans le cloud. Même si la mise en réseau et la sécurité sont étroitement liées, elles restent deux domaines d’expertise différents et très complexes. La sécurité évolue rapidement pour assurer une protection contre les risques de cybersécurité en constante évolution, tandis que les réseaux étendus ont pour but de fournir des connexions rapides, robustes et flexibles. En outre, la sécurité et la mise en réseau sont généralement gérées par des équipes différentes.
Au début de l’année 2022, Gartner a lancé le Magic Quadrant SSE comme nouvelle catégorie pour le composant de sécurité de SASE dans le cloud. SSE définit l’ensemble des services de sécurité qui contribuent à la réalisation de la vision de la sécurité de SASE, tandis que le SD-WAN définit les exigences de fonctionnalité réseau du WAN Edge de SASE.
En bref, SASE = SD-WAN + SSE
Pourquoi adopter le SSE ?
- SSE offre un accès à distance sécurisé
Le travail hybride étant la nouvelle norme, les entreprises doivent sécuriser leurs travailleurs à distance afin qu’ils puissent se connecter de n’importe où. SSE offre des fonctionnalités « Zero Trust » qui partent du principe qu’aucun utilisateur ne peut être digne de confiance par défaut. Sur la base de l’identification, les utilisateurs peuvent accéder à certaines parties du réseau et voir les applications cloud qui sont pertinentes pour leur rôle dans l’organisation uniquement, ce qui les empêche d’accéder et d’exploiter les données sensibles de l’entreprise. - SSE protège les organisations de type « cloud-first » contre les menaces externes
Avec l’accélération de la numérisation, la cybercriminalité s’est développée au même rythme. La plupart des applications ayant été déplacées vers le cloud, les organisations doivent désormais trouver des moyens efficaces de protéger leurs actifs numériques. SSE offre des fonctionnalités de pare-feu et protège les organisations contre les menaces basées sur le Web en utilisant plusieurs techniques telles que le filtrage URL et la détection des codes malveillants. Grâce à des fonctionnalités CASB, il protège les données sensibles hébergées dans le cloud en appliquant des politiques de sécurité. D’autres fonctionnalités de sécurité, telles que l’isolation de navigateur à distance (RBI), isolent les internautes d’Internet en reconstruisant des pages Web exemptes de codes malveillants. - SSE aide à construire un SASE de pointe avec un SD‑WAN avancé
En s’intégrant étroitement à plusieurs fournisseurs SSE, une solution SD-WAN avancée permet aux organisations de construire une architecture SASE de pointe sans compromettre les performances ou la sécurité. Elle donne aux organisations la liberté de choix pour sélectionner les meilleures solutions SSE. Pour s’intégrer aux solutions SSE, un SD-WAN avancé peut automatiser la configuration de tunnels sécurisés entre les succursales et les points de présence SSE, identifier les applications First packet, attribuer des politiques au trafic provenant d’applications spécifiques et acheminer automatiquement le trafic vers un service SSE en fonction des politiques de sécurité définies par les organisations.
Quels sont les avantages offerts par SSE ?
- Amélioration de la sécurité
SSE rapproche la sécurité de l’utilisateur et permet une approche plus souple de la connectivité en dehors des murs de l’entreprise. Hébergé dans le cloud, SSE est facilement mis à jour pour faire face aux dernières menaces de sécurité, et les changements de politiques peuvent être immédiatement et automatiquement répercutés sur les utilisateurs distants, offrant ainsi une approche de sécurité cohérente. - Opérations simplifiées
SSE unifie plusieurs services de sécurité en une seule plateforme, éliminant les chevauchements et tirant parti des avantages d’une plateforme unique en dédupliquant et en harmonisant les politiques de sécurité. Elle offre une meilleure visibilité des incidents de sécurité à partir d’un emplacement central, et elle contribue à rationaliser les opérations et à réduire les coûts. - SASE de pointe
Avec deux capacités distinctes, SD-WAN et SSE, les entreprises peuvent choisir les meilleures fonctionnalités de mise en réseau et de sécurité qui correspondent à leurs besoins pour construire une architecture SASE de pointe. En outre, les solutions SD-WAN avancées permettent aux organisations d’aller au-delà du SASE et de sécuriser les appareils IoT en intégrant des fonctionnalités de pare-feu de nouvelle génération qui segmentent de manière dynamique le réseau en fonction du rôle et de l’identité.