Security Service Edge : 7 points à prendre en compte pour choisir la bonne solution
Les approches basées sur le cadre Security Service Edge permettent d'élargir le niveau de cybersécurité sans être lié à un réseau. La sécurité est idéalement assurée par le cloud, qui peut suivre la connexion entre l'utilisateur et l'application, quel que soit le lieu.
Le Security Service Edge (SSE) est l'évolution naturelle du modèle SASE de Gartner. En supprimant le « A » qui correspond à "accès", il devient clair que le réseau n'est plus considéré comme faisant partie d'une solution de sécurité. Il devient "simplement" le mécanisme qui transporte les flux de données vers la plate-forme de sécurité et de contrôle. On reconnaît ainsi que la sécurité doit entrer en jeu indépendamment du composant réseau pour pouvoir couvrir les scénarios d'application émergents dans le domaine du cloud, de l'edge computing, de l'IoT, de l'OT ou encore de la 5G.
Les solutions Security Service Edge sont conçues pour répondre aux défis fondamentaux en matière de sécurité auxquels les organisations sont confrontées à l'ère du travail hybride, des applications dans des environnements multicloud, de l'edge computing et de la digitalisation de leur technologie opérationnelle (OT).
À mesure que les organisations adoptent des logiciels et des offres d'infrastructure « as a service » (SaaS, IaaS), leurs données et applications sont de plus en plus distribuées en dehors des datacenters sur site. En outre, de plus en plus d'utilisateurs sont nomades et se connectent à leurs applications et données dans le cloud depuis n'importe où et depuis plusieurs types d'appareils.
C'est un fait, il est ainsi de plus en plus difficile de sécuriser l'accès aux applications dans le cloud des personnes nomades car les technologies traditionnelles sont ancrées sur l'usage et le rôle du datacenter, et rendent ainsi complexe le chemin entre l'utilisateur et le dispositif et entre la charge de travail et le service. Et c'est sans compter l'augmentation du risque de menaces avancées ou d'attaques par ransomware.
Les approches basées sur le cadre Security Service Edge permettent d'élargir le niveau de cybersécurité sans être lié à un réseau. La sécurité est idéalement assurée par le cloud, qui peut suivre la connexion entre l'utilisateur et l'application, quel que soit le lieu. Le fait que tous les services de sécurité soient corrélés de manière cohérente réduit le risque de surfaces d'attaque.
Grâce à un modèle SSE, le service informatique bénéficie d'une vision globale de tous les flux de données, quels que soient les canaux choisis pour accéder aux applications. Grâce à une approche basée sur le cloud, les mises à jour de sécurité sont effectuées automatiquement pour tous les utilisateurs sans le délai typique de l'administration informatique manuelle.
Mais il existe de nombreuses solutions basées sur l'approche Security Service Edge.
Le guide suivant fournit 7 points clés sur les principaux éléments à prendre en compte pour le processus de sélection.
1 - Disponibilité et résilience au niveau mondial
Lorsque les entreprises externalisent l'ensemble de leur infrastructure de sécurité pour toutes les fonctions auprès d'un fournisseur de cloud computing, elles ont besoin d'une solution qui soit disponible à l'échelle mondiale, évolutive et qui soit à l'épreuve des pannes. Il est également intéressant de se pencher sur la base technologique sur laquelle ces performances sont fournies afin de répondre aux exigences modernes des entreprises.
L'utilisateur devrait toujours obtenir automatiquement la connexion au service de sécurité qui offre les meilleures performances et permettre ainsi le traitement des flux de données directement à la périphérie pour éviter la latence.
2 - Sécurité basée sur le Zero Trust
Le Zero Trust est la clé pour fournir la bonne fonctionnalité SSE pour tout service. Elle doit être capable de contrôler la sécurité depuis la source du trafic jusqu'à sa destination via un processus de contrôle individuel basé sur des politiques d'accès. Avec un schéma Zero Trust, chaque personne et chaque appareil est traité individuellement et n'a accès qu'à ce qui lui est autorisé. La solution SSE doit réguler l'accès sur la base du principe du moindre privilège, qui accorde à chaque utilisateur ou dispositif individuel l'accès aux applications en fonction de ses droits d'accès.
Cette micro-segmentation de toutes les sources, qui peuvent être des utilisateurs, des machines OT ou même des charges de travail, empêche la propagation latérale des attaques dans l'environnement informatique. Comme les applications et les services ne sont plus exposés à l'Internet de cette manière, la surface d'attaque des cybercriminels est réduite et le risque est minimisé.
3 - Inspection TLS complète et évolutive
L'examen du trafic de données cryptées, y compris les codes malveillants qui y sont cachés, constitue la base d'autres fonctionnalités de sécurité d'une approche SSE. Il convient alors de choisir une plateforme SSE capable de fournir une inspection utilisant le protocole de sécurité TLS/SSL à l'échelle mondiale. En unifiant les technologies clés de protection des données, une plateforme SSE offre une meilleure visibilité et une plus grande simplicité sur tous les canaux de données.
La fonctionnalité DLP (Data Loss Prevention) dans le cloud facilite la recherche, la classification et la sécurisation des données sensibles (notamment les données personnelles ou la propriété intellectuelle) afin de soutenir les politiques de conformité.
4 - Flexibilité pour les futurs scénarios d'application
Avec les tendances émergentes dans le domaine de l'edge computing et de la 5G, la possibilité d'exploiter des applications en toute sécurité à la périphérie et de surveiller la communication des flux de données quel que soit le mécanisme de transmission utilisé joue un rôle. Avec l'avancement de la disponibilité de la 5G, des applications qui transportent leurs données collectées par des capteurs à la périphérie via la norme sans fil pour un traitement ultérieur, vont émerger.
Par conséquent, l'approche du SSE doit fonctionner indépendamment du réseau et prendre en charge la fonctionnalité d'informatique de périphérie qui trouve déjà sa place dans les technologies opérationnelles ou les environnements IoT.
5 - Se concentrer sur l'expérience utilisateur
En matière de sécurité, l'expérience utilisateur des solutions de sécurité doit toujours être au centre du processus. Idéalement, l'utilisateur ne doit pas remarquer la solution de sécurité qui protège ses flux de données, de sorte qu'il ne soit pas gêné dans son travail ou qu'il doive intervenir manuellement, comme c'est le cas avec une solution VPN.
La facilité d'utilisation consiste à garantir à l'utilisateur une expérience sans faille lors de l'utilisation de la solution SSE. Si les politiques ne répondent pas aux besoins de l'utilisateur, elles peuvent être ajustées par le service informatique.
6 - Intégration dans un écosystème de partenaires
L'écosystème de partenaires est un point important pour le choix d'une solution SSE. Aucun fournisseur dans le paysage de la sécurité n'est en mesure de se passer de partenaires technologiques qui, par exemple, fournissent l'intégration du cloud, AWS ou Azure, ou la détection des points de terminaison et le SD-WAN.
Les intégrations de partenaires devraient avoir lieu dans un écosystème robuste, axé sur les API, où les partenaires apportent leur savoir-faire et leur expérience dans des domaines spécifiques pour travailler à l'orchestration de l'automatisation. Par exemple, le partenaire SD-WAN achemine le trafic de données vers la plateforme de sécurité et est responsable de la connexion dans le cadre traditionnel du SASE.
7 - Pas d'achat sans tests approfondis
Toute organisation cherchant à tester un service SSE devrait le soumettre à un projet pilote étendu. Un projet avec un nombre limité d'utilisateurs ou de sites ne donne aucune idée des performances du système global. Il occulte également toute limitation ou restriction qui ne peut autrement entrer en jeu que lors de la mise en oeuvre dans le backend et peut risquer de prolonger le déploiement. Il est alors recommandé de mener à bien un test de l'examen TLS : un processus particulièrement important qui révèle les performances du système.
L'administration du service doit être relativement facile pour le département informatique sur une interface utilisateur centrale. Il est recommandé d'examiner une liste de contrôle des performances et de l'évolutivité pour évaluer l'ensemble de l'approche Security Service Edge.
Ainsi, tous ceux qui prendront en compte ces sept points clés lors du choix d'une solution SSE peuvent être assurés du fait qu'ils font le choix d'une approche pérenne qui prend en charge les exigences d'un environnement de travail basé sur le cloud.
Nathan Howe, Vice-président, Technologies émergentes et 5G - Zscaler.
Sur le même thème
Voir tous les articles Cybersécurité