Architecture SASE : futur de la sécurité du cloud??
Convergence du mode du SD-WAN et de la cybersécurité, l'architecture SASE poussée par le Gartner s'impose comme l'architecture de sécurité cible pour ces prochaines années. Tous les acteurs de la Cyber s'en réclament, mais attention à ne pas mettre tous ses oufs dans le même panier.
Pour reprendre la formule de Gartner : le futur de la sécurité des réseaux est dans le cloud.
C'est le cas de plus en plus de briques de sécurité, et les analystes du cabinet ont imaginé une nouvelle architecture de sécurité qui tient compte de cette migration vers le cloud, le modèle SASE (Secure Access Service Edge).
Parmi les idées fortes de ce modèle de sécurité, figure la convergence des réseaux SD-WAN et les solutions de sécurité. Comment ? Le réseau vient solliciter des services de sécurité disponibles soit sur un équipement local, soit dans le cloud.
Tous les fournisseurs de solutions de sécurité se positionnent vis-à-vis de ce modèle, souvent à coup de partenariats, mais aussi d'acquisitions.
La ruée cyber sur les acteurs du SD-WAN
Acteur historique de la cybersécurité, Check Point Software a constitué une offre cloud depuis environ cinq ans et se positionne sur le marché SASE grâce à son offre cloudGuard Connect avec une approche assez classique : » L'agent installé sur les postes administrés par l'entreprise a la capacité de monter un tunnel vers l'un de nos points de présence et ainsi donner à l'utilisateur un accès sécurisé à ses applications dans le cloud » , détaille Philippe Rondel, le cyber-évangéliste de l'éditeur. » Cette capacité sera prochainement étendue à l'accès aux applications exécutées dans le datacenter des entreprises. »
Pour le volet SD-WAN, l'éditeur a fait le choix de s'allier à des spécialistes, nouant des partenariats avec VMware, Silver Peak, Citrix, Aryaka, Aruba, Cisco.
Grand rival de Check Point Software, Palo Alto Networks s'est offert CloudGenix, un spécialiste du SD-WAN dans le cloud en avril 2020. » L'enjeu du SASE, c'est la modernisation des réseaux via le SD-WAN et la sécurisation des flux. Mais il fait veiller à ne pas complexifier davantage et aller vers des solutions réellement unifiée s», explique Éric Antibi, directeur technique de Palo Alto Networks en France.
» Il y a quelques mois, nous avons ajouté une brique SD-WAN à notre portefeuille, car la priorité est aujourd'hui donnée à la simplification des outils. Nous avons des clients qui ont jusqu'à vingt consoles d'administration différentes pour gérer leurs briques de sécurité. Une console unique facilite le travail des équipes. »
De plus, l'éditeur mise sur la gestion de la qualité de service pour se démarquer de ses concurrents, avec l'offre de DEM (Digital Experience Management) de Sinefa, un éditeur acquis en novembre 2020.
À l'inverse, les éditeurs venus du monde réseau remontent vers les couches cybersécurité. C'est le cas de Versa Networks, un pionnier du SD-WAN, qui s'est doté ces dix-huit derniers mois d'un stack cybersécurité, avec un service de Secure Gateway, WAF et accès distant.
» Nous ne sommes pas aussi connus qu'un Palo Alto ou qu'un Fortinet sur le marché de la sécurité. Nous ne vendons pas de firewall en tant que tel, mais des capacités réseaux pour accéder aux applications cloud via Internet, MPLS ou LTE, avec des services de sécurité embarqués » , souligne Hector Avalos, VP Sales Europe, Middle East, Africa & Russia de Versa Networks.
L'éditeur est très actif auprès des opérateurs, car, selon lui, les entreprises françaises privilégient les services managés lorsqu'elles souhaitent mettre en place un SD-WAN. » Les opérateurs proposent des offres SD-WAN s'appuyant sur nos solutions, parmi lesquels Bouygues Telecom, Adista, NXO, Jaguar Networks, IMS Networks, avec des offres SD-WAN pour les PME, mais aussi Deutsche Telekom, Colt, Verizon pour les grands comptes. »
Une approche 100 % cloud est-elle possible ?
Zscaler, un » pure player cloud » , s'est fait une belle place sur le marché des passerelles Web sécurisées : » Aujourd'hui, de 70 % à 85 % du trafic réseau d'une entreprise passe par Internet. La protection ne peut plus être périmétrique, mais de type Zero Trust, avec des utilisateurs et des applications qui ne sont plus nécessairement dans le réseau interne, argumente Ivan Rogissart, directeur avant-ventes Europe du Sud de Zscaler. Nous avons des points de présence dans 150 datacenters dans le monde. Depuis ces points de présence, les utilisateurs disposent d'un accès sécurisé à ses applications SaaS ou aux applications localisées dans le datacenter de leur entreprise ou encore portées par des IaaS. »
À cette vision résolument cloud, Christophe Auberger, évangéliste cybersécurité chez Fortinet répond par une vision bien plus hybride de l'avenir : » L'hybridation est la solution, car il faut tenir compte de la taille d'un site, mais aussi de sa criticité. Un point de vente n'a pas la même criticité qu'un site de production ou qu'un centre de R&D.
Certains sites n'auront pas d'équipements de sécurité, d'autres un routeur amélioré de quelques fonctions de sécurité et certains doivent être dotés d'équipements à plus forte capacité, pour porter davantage de services en local. »
Des acteurs IT traditionnels déjà en bataille
Des acteurs plus généralistes ont, bien évidemment, voulu monter dans la fusée SASE.
Cisco, par exemple, propose une offre articulée autour du SD-WAN et de la sécurité dans le cloud avec Cisco Umbrella, mais aussi Duo, son offre d'accès de type Zero Trust.
VMware est aussi très actif sur le marché du SASE.
Avec l'acquisition de Velocloud, en 2017, l'éditeur américain s'est doté d'une brique SD-WAN. Ghaleb Zekri, Senior SDDC Architect EMEA, résume la stratégie : » Notre position consiste à offrir le meilleur des deux mondes. Nous sommes le leader du marché des SD-WAN et aussi leader sur le volet end-user, avec Workspace One. Nous proposons une solution SASE en alignement avec notre stratégie Any App. Any cloud. Any Device. »
VMware dispose de 2?300 points d'accès dans le monde et, avec Workspace One, l'Américain sécurise le » dernier kilomètre » . Ghaleb Zekri insiste : » Un élément différenciant de notre offre est de miser sur des solutions ouvertes et interopérables avec des solutions de sécurité d'autres éditeurs, comme des EDR et des solutions de détection d'intrusion. L'ouverture est réellement une particularité de notre. »
Lors de la dernière édition de VMworld, l'éditeur a ainsi annoncé des partenariats avec Zscaler et Menlo Security, un acteur lui aussi très actif dans le domaine du » Secure Web Gateways » .
Désormais, tout éditeur de sécurité se doit d'avoir l'offre la plus complète possible dans le cloud et se coller aussi près que possible au dogme SASE, un principe appelé à devenir dominant dans les années à venir.
Attention, toutefois aux capacités d'administration de ces piles de services plus ou moins hétéroclites et assemblées à coup d'acquisitions et de partenariats parfois éphémères. C'est, notamment, sur les capacités d'administration de ces architectures de plus en plus larges que les acteurs vont pouvoir faire la différence.
Alain Clapaud
Sur le même thème
Voir tous les articles Cloud