le Secure Access Service Edge (ou SASE) a été un mot à la mode très chaud au cours de la dernière année. Terme et catégorie créés par Gartner 2019, SASE déclare que l’avenir du réseautage et de la sécurité réside dans la convergence de ces catégories en une plate-forme unique basée sur le cloud.
Les fonctionnalités offertes par SASE ne sont pas nouvelles et incluent SD-WAN, la prévention des menaces, l’accès à distance et d’autres qui étaient disponibles auprès de plusieurs fournisseurs au fil des ans.
Alors, qu’y a-t-il de nouveau à propos de SASE? C’est le sujet principal de notre discussion avec Yishay Yovel, Chief Marketing Office chez Réseaux Cato, l’une des premières entreprises à pénétrer le marché SASE.
THN: Cato avait été un grand partisan de SASE. Pourquoi SASE est-il important pour les clients finaux?
Yishay: SASE est un appel au réveil pour notre industrie et nos organisations informatiques. L’infrastructure informatique s’est fragmentée avec de nombreuses solutions ponctuelles qui, à leur tour, ont créé de la complexité, de la rigidité, des coûts élevés et des risques accrus. Ce sont des problèmes systémiques. Chaque produit ponctuel fait par lui-même son travail, mais ensemble, ils deviennent très difficiles à manipuler. Quelque chose devait changer.
Cato a été fondée en 2015 pour résoudre ce problème. La solution que nous avons créée est une nouvelle plate-forme de mise en réseau et de sécurité convergée qui est fournie en tant que service cloud mondial. Mêmes excellentes capacités, mais dans une seule plate-forme, gestion unique, auto-entretenu et auto-réparateur. En 2019, Gartner a proposé SASE qui correspond parfaitement à notre vision.
SASE est donc un moyen pour les clients de simplifier leur infrastructure, de la consommer en tant que service et de fournir un accès sécurisé et optimisé à tous les utilisateurs et applications partout où ils exercent leurs activités.
THN: Cela ressemble à une très grande promesse. En quoi SASE est-il pertinent pour les clients pendant la pandémie?
Yishay: SASE est un très bon exemple que la bonne architecture est la clé d’une réponse rapide à l’évolution des conditions commerciales. Imaginez que vous ayez investi dans une tonne d’équipement de succursale – pare-feu, appliances SD-WAN, même MPLS. Tous ces investissements sont inactifs avec tout le monde travaillant à domicile. SASE, en revanche, est une architecture basée sur le cloud.
Selon Gartner, SASE est fourni à partir de points de présence cloud (PoP), qui fournissent diverses capacités de sécurité et d’optimisation aux utilisateurs. Ceci est important car un utilisateur peut passer du bureau à son domicile, se connecter au service cloud SASE avec un agent de périphérique léger et obtenir fondamentalement la même protection et optimisation que si elle était au bureau.
En bref, SASE permet de travailler de n’importe où. Maintenant, nous avions des solutions VPN à distance depuis 20 ans, mais elles ont été conçues pour les guerriers de la route, une petite partie de l’organisation et pour de courtes sessions. Nous avons besoin d’une évolutivité et d’une distribution totalement différentes de celles que le VPN ne peut pas offrir.
C’est ainsi que SASE avec Zero Trust Network Access (ZTNA) intégré élimine à la fois les solutions de points VPN et fournit un meilleur service global. Dans le cas de Cato, nous avons vu notre utilisation de l’accès à distance grimper de 300% au cours des deux premiers mois de la pandémie, sans hoquet.
THN: Vous mentionnez que SASE est une architecture basée sur le cloud, mais il semble que tous les fournisseurs ne soient pas d’accord. Pourquoi donc?
Yishay: SASE est très difficile pour les fournisseurs de boîtes héritées. Si votre entreprise est bâtie sur la vente de boîtiers bon marché qui essaient d’emballer toutes les capacités SASE, vous ne vous adressez pas aux véritables problèmes d’architecture que SASE tente de résoudre.
Tout d’abord, le dimensionnement et la mise à l’échelle – vous devez vous assurer que l’appliance que vous installez peut prendre en charge toutes les capacités différentes aujourd’hui et dans les années à venir. Ce n’est pas une tâche triviale – les fonctionnalités de sécurité et de mise en réseau ont des exigences de traitement très différentes, et il est difficile de déterminer quelle est la bonne taille dont vous aurez besoin (multipliée par le nombre d’emplacements et leurs exigences particulières).
Deuxièmement, vous devez gérer les correctifs et les mises à jour presque boîte par boîte. Troisièmement, vous avez besoin de ces boîtes distribuées partout dans le monde – que ce soit dans vos succursales ou dans des installations de colocation. Quatrièmement, vous devez gérer des scénarios dans lesquels les utilisateurs distants ont besoin d’un accès sécurisé aux applications cloud lorsque l’appliance n’est pas dans une ligne de mire. Et enfin, vous effectuez un investissement lié à l’emplacement: les utilisateurs quittent le bureau et les capacités dont ils ont besoin ne peuvent pas les suivre.
SASE élimine tous ces problèmes. Il est à l’échelle du cloud, vous n’avez donc pas à vous soucier de la mise à l’échelle. Il est géré par le fournisseur de services cloud, aucun correctif n’est donc nécessaire. Il est distribué dans le monde entier via plusieurs points de présence (PoP), donc pas de colocations ni de hubs. Il peut voir et protéger tout le trafic, donc pas besoin de backhauling. Et, parce qu’il n’est pas « coincé dans le bureau », – il peut servir les utilisateurs n’importe où.
Fondamentalement, ces solutions SASE orientées appareils tentent de vous convaincre que vous n’avez pas du tout besoin de SASE. Ce qu’ils proposent en tant que SASE, c’est la même approche héritée qu’ils ont vendue au cours des dernières décennies. Une architecture basée sur le cloud n’est pas une fonctionnalité facultative de SASE; c’est l’essence même de SASE – sans service cloud, il ne peut y avoir de SASE.
THN: Permettez-moi de rendre cela un peu plus difficile. Qu’en est-il des scénarios où le trafic doit être sécurisé à l’intérieur d’un centre de données?
Yishay: SASE se concentre sur le réseau étendu (WAN). Il s’agit du trafic qui passe entre les succursales, les centres de données, les utilisateurs et les clouds. C’est le trafic qui anime les affaires aujourd’hui. Le cloud est le meilleur endroit pour sécuriser et optimiser ce trafic. De toute évidence, si vous ne pouvez pas utiliser les services cloud ou si vous avez des exigences spécifiques dans un centre de données, SASE n’a pas été créé pour résoudre ce problème.
Si j’ai 1 000 succursales et 20 000 utilisateurs qui peuvent bénéficier de SASE et un centre de données qui ne le peut pas, est-ce que je préférerais toujours une architecture SASE basée sur une appliance? Je pense qu’il est logique de gérer l’exception en tant que telle au lieu d’asservir toute l’infrastructure à la mauvaise architecture.
THN: Nous voyons des sociétés de sécurité comme zScaler, Palo Alto Networks et Netskope rejoindre également la course SASE. SASE n’est-il pas plus une question de sécurité que de réseautage?
Yishay: SASE est la convergence de la mise en réseau (en particulier, de la périphérie WAN) avec la sécurité dans le cloud. Si vous «comptez les fonctionnalités», il y a plus de fonctionnalités de sécurité que de fonctionnalités réseau dans SASE. Mais, chez nos clients, la nécessité de changer l’architecture du réseau pour devenir davantage orientée cloud et mobile est ce qui motive le changement nécessaire dans l’architecture de sécurité.
Par conséquent, certains fournisseurs de sécurité ajoutent des fonctionnalités SD-WAN à leur offre pour mieux s’aligner sur SASE. D’autres fournisseurs s’associent à des fournisseurs de SD-WAN, mais cela affaiblit évidemment leur histoire de plate-forme unique.
Les clients devront choisir entre une architecture unique offrant une optimisation et un contrôle de bout en bout par rapport à une certaine forme d’intégration à faire soi-même de plusieurs produits. Nous pensons que la tendance principale au cours des prochaines années aura tendance à favoriser la simplicité d’une plate-forme convergée unique livrée en tant que service.
THN: Merci pour la perspicacité. Où les lecteurs peuvent-ils en savoir plus sur SASE?
Yishay: nous avons récemment créé un Livre « SASE for Dummies », qui peut être téléchargé gratuitement via notre site Web. Je souhaite encourager les lecteurs à réfléchir de manière critique aux différentes architectures SASE lors de leur prochaine mise à jour de réseau et de sécurité. Nous constatons d’énormes avantages pour nos clients en adoptant SASE et nous pensons que cela transformera véritablement le paysage informatique au cours des prochaines années, comme le prédit Gartner.