/ Qu’est-ce que le Security Service Edge (SSE) ?
Qu’est-ce que le Security Service Edge (SSE) ?
Le Security Service Edge (SSE), tel que Gartner le définit, est une convergence de services de sécurité réseau fournis à partir d’une plateforme cloud spécialement conçue à cette fin. Le SSE peut être considéré comme un sous-ensemble du cadre SASE (Secure Access Service Edge) dont l’architecture est résolument axée sur les services de sécurité. Les services de base SSE incluent une passerelle Web sécurisée (SWG), un accès réseau Zero Trust (ZTNA), un CASB (cloud access security broker) et un pare-feu en tant que service (FWaaS).
Pourquoi le SSE est-il important ?
Tendance croissante du secteur, le SSE résout les défis fondamentaux auxquels les entreprises sont confrontées en matière de télétravail, de cloud, d’informatique de périphérie sécurisée et de transformation digitale. À mesure que les entreprises adoptent des offres de logiciels et d’infrastructures en tant que service (SaaS, IaaS), ainsi que d’autres applications cloud, leurs données sont de plus en plus distribuées en dehors de leurs data centers sur site. En outre, les utilisateurs sont de plus en plus mobiles et distants, se connectant depuis n’importe où, via n’importe quelle connexion, à leurs applications et données dans le cloud.
Il est difficile de sécuriser les applications cloud et les utilisateurs mobiles avec les approches traditionnelles de la sécurité du réseau à cause des raisons suivantes :
- Ancrées dans le data center, les technologies traditionnelles ne peuvent pas suivre les connexions entre les utilisateurs et les applications cloud.
- Relayer (« hairpinning ») le trafic utilisateur vers un data center via un VPN traditionnel pour inspection ralentit tous les processus.
- L’administration et la maintenance du matériel sont des facteurs qui rendent les approches traditionnelles du data center coûteuses.
- Les VPN sont faciles à pirater en raison de l’absence de correctifs.
Pire encore, les piles de sécurité des data centers modernes ont organiquement évolué vers des ensembles de produits ponctuels complexes et difficiles à intégrer. Cette complexité laisse par nature des lacunes entre les solutions de sécurité disparates, ce qui augmente davantage le risque de menaces avancées ou d’attaques par ransomware.
Avantages du SSE
- Sécurité basée sur le cloud plus solide et plus cohérente qui étend la protection au siège et aux filiales, ainsi qu’aux utilisateurs distants/mobiles
- Réseau à faible latence et performances de sécurité optimisés, le trafic n’étant pas cantonné à un date center central pour l application des politiques.
- Évolutivité pour l’adaptation aux besoins changeants d’une entreprise, tels que l’adoption de nouveaux services cloud et la croissance ou le déplacement de la main-d’œuvre.
- Gestion rationalisée de la sécurité et des réseaux grâce à une plateforme centralisée fournie dans le cloud pour les services de sécurité critiques
- Coûts plus prévisibles et frais opérationnels réduits grâce à la diminution du besoin de déploiements de matériel sur site
Quelle est la différence entre le SASE et le SSE ?
Dans le cadre SASE, les services de réseau et de sécurité doivent être exploités selon une approche unifiée, fournie par dans cloud. Les aspects réseau et sécurité des solutions SASE se concentrent sur l’amélioration de l’expérience utilisateur vers les applications cloud tout en réduisant les coûts et la complexité.
Une plateforme SASE peut être considérée en deux tranches. La tranche SSE se concentre sur l’unification des services de sécurité, notamment SWG, ZTNA, CASB, FWaaS, et autres. L’autre, la tranche WAN Edge, se concentre sur les services réseau, notamment le réseau étendu défini par logiciel (SD-WAN), l’optimisation du réseau étendu, la qualité de service (QoS) et d’autres moyens d’améliorer le routage vers les applications cloud.
Capacités fondamentales du SSE
Les quatre services essentiels au SSE sont :
- Passerelle Web sécurisée (SWG) : une solution de sécurité qui empêche le trafic Internet non sécurisé de pénétrer le réseau interne d’une entreprise
- Accès réseau Zero Trust (ZTNA) : un modèle de confiance adaptatif, où celle-ci n’est jamais implicite, qui permet un accès sécurisé aux applications internes pour les utilisateurs distants
- Cloud Access Security Broker (CASB) : un point d’application entre les utilisateurs d’applications cloud et les services cloud pour la protection des données et la protection contre les menaces.
- Pare-feu en tant que service (FWaaS) : une technologie de sécurité réseau qui fournit des capacités avancées de pare-feu de couche 7/de nouvelle génération
Source : CXO REvolutionaries, « Le Security Service Edge (SSE) reflète un marché en évolution : ce que vous devez savoir »
Avantages du SSE par rapport à la sécurité traditionnelle du réseau
Fourni à partir d’une plateforme unifiée centrée sur le cloud, le SSE permet aux entreprises de s’affranchir des difficultés liées à la sécurité du réseau traditionnelle. Le SSE offre quatre avantages majeurs :
1. Réduction plus efficace des risques
Le SSE permet d’assurer la cybersécurité sans être lié à un réseau. La sécurité est fournie à partir d’une plateforme cloud qui peut suivre l’utilisateur jusqu’à sa connexion à l’application, quel que soit son emplacement. Rassembler tous les services de sécurité en un point unique permet de réduire les risques en supprimant les lacunes souvent observées dans les produits ponctuels.
Le SSE améliore également la visibilité sur les utilisateurs, où qu’ils se trouvent, et sur les données, quels que soient les canaux utilisés. En outre, le SSE applique automatiquement les mises à jour de sécurité dans le cloud sans le délai habituel lié à l’administration informatique manuelle.
2. Accès Zero Trust
Les plateformes SSE (et SASE) doivent permettre aux utilisateurs d’accéder aux applications, privées ou cloud, sur la base du moindre privilège avec une politique de Zero Trust solide basée sur quatre facteurs : utilisateur, appareil, application et contenu. Aucun utilisateur ne doit être intrinsèquement réputé fiable, et l’accès doit être accordé en fonction de l’identité et de la politique.
Connecter sur Internet les utilisateurs et les applications de manière sécurisée à l’aide de politiques d’entreprise garantit une expérience à distance plus sûre, car les utilisateurs ne sont jamais placés sur le réseau. Ainsi, les menaces ne peuvent pas se déplacer latéralement et les applications restent protégées derrière la plateforme SSE. Les applications ne sont pas exposées sur Internet et ne peuvent donc pas être découvertes, ce qui réduit la surface d’attaque et augmente votre sécurité tout en minimisant le risque commercial.
3. Expérience utilisateur
Selon la définition de Gartner, le SSE doit être entièrement distribué sur des data centers répartis dans le monde. Les meilleures architectures SSE sont spécifiquement conçues pour être inspectées dans chaque data center, par opposition aux fournisseurs qui hébergent leurs plateformes SSE dans des infrastructures IaaS.
La distribution de l’architecture améliore les performances et réduit la latence, car l’inspection du contenu, y compris le déchiffrement et l’inspection TLS/SSL, a lieu là où l’utilisateur final se connecte au cloud SSE. Avec l’ajout du peering sur la plateforme SSE, vos utilisateurs mobiles bénéficient de la meilleure expérience possible. Ils ne sont plus contraints d’utiliser des VPN lents, et l’accès aux applications dans les clouds publics et privés se fait de manière rapide et transparente.
4. Avantages du regroupement
Tous les services de sécurité clés étant unifiés, vous constaterez une réduction des coûts et de la complexité. Le SSE peut assurer de nombreux services de sécurité clés sur une seule plateforme : SWG, CASB, ZTNA, pare-feu cloud (FWaaS), sandbox cloud, prévention contre la perte de données cloud (DLP), gestion de la posture de sécurité cloud (CSPM) et isolation du navigateur cloud (CBI). De plus, si vous n’avez pas l’utilité de tous ces services dans l’immédiat, vous pouvez simplement les ajouter à mesure que votre entreprise se développe.
Avec toutes les protections unifiées sous une seule politique, tous les canaux que vos utilisateurs et vos données traversent bénéficient de la même protection cohérente.
Les principaux cas d’utilisation du SSE
1. Accès sécurisé aux services cloud et au Web
L’application d’une politique de contrôle de l’accès des utilisateurs à Internet, au Web et aux applications cloud (historiquement réalisée par un SWG) constitue l’un des principaux cas d’utilisation du Security Service Edge. La politique de contrôle du SSE permet d’atténuer les risques lorsque les utilisateurs finaux accèdent au contenu aussi bien sur le réseau qu’en dehors du réseau. L’application des politiques d’entreprise de contrôle d’accès et d’Internet à des fins de conformité est également un élément clé de ce cas d’utilisation pour les IaaS, PaaS et SaaS.
La gestion de la posture de sécurité cloud (CSPM) constitue une autre fonctionnalité essentielle en matière de protection de votre entreprise contre les erreurs de configuration à risque pouvant entraîner des failles de sécurité.
2. Détecter et atténuer les menaces
La détection des menaces et la prévention des attaques menées à bien sur Internet, le Web et les services cloud constituent des facteurs clés pour l’adoption du SSE et, dans une moindre mesure, du SASE. Les utilisateurs finaux accédant au contenu via tout type de connexion ou d’appareil, les entreprises doivent adopter une approche de défense en profondeur contre les programmes malveillants, l’hameçonnage et les autres menaces.
Votre plateforme SSE doit disposer de fonctionnalités de prévention des menaces avancées, notamment un pare-feu cloud (FWaaS), un sandbox cloud, la détection des malwares et l’isolation du navigateur cloud. Les CASB permettent d’inspecter les données au sein des applications SaaS, et peuvent identifier et mettre en quarantaine les malwares existants avant qu’ils ne causent de préjudices. Le contrôle adaptatif des accès, par lequel la posture de l’appareil d’un utilisateur final est déterminée et par lequel l’accès est ajusté en conséquence, constitue également un élément clé.
3. Connecter et sécuriser les travailleurs à distance
Les équipes travaillant à distance ont besoin d’un accès aux services cloud et aux applications privées sans être exposés aux risques inhérents au VPN. Permettre l’accès aux applications, aux données et au contenu sans laisser l’accès au réseau constitue un élément essentiel de l’accès Zero Trust, car cela permet d’éliminer les ramifications de sécurité liées au fait de placer l’utilisateur sur un réseau plat.
Fournir un accès sécurisé aux applications privées et cloud sans devoir ouvrir les ACL du pare-feu ou exposer les applications sur Internet est essentiel dans ce contexte. Les plateformes SSE doivent permettre une connectivité native des applications de l’intérieur vers l’extérieur en maintenant les applications invisibles sur Internet. Une approche ZTNA doit également offrir une évolutivité sur un réseau mondial d’endpoints, garantissant l’expérience la plus rapide à tous vos utilisateurs, quelles que soient les demandes de connectivité.
4. Identifier et protéger les données sensibles
Le SSE vous permet de trouver et de contrôler les données sensibles, où qu’elles se trouvent. En unifiant les technologies essentielles de protection des données, une plateforme SSE offre une meilleure visibilité et une plus grande simplicité sur tous les canaux de données. Cloud DLP permet de facilement trouver, classer et sécuriser les données sensibles (par exemple, les données personnelles identifiables) pour prendre en charge les normes PCI (Payment Card Industry) et d’autres politiques de conformité. Le SSE simplifie également la protection de vos données, dans la mesure où vous pouvez créer une seule fois des politiques DLP et les appliquer au trafic inline et aux données au repos dans les applications cloud via les CASB.
Les plateformes SSE les plus efficaces proposent également une inspection TLS/SSL de haute performance pour traiter le trafic chiffré (c’est-à-dire la plupart des données en transit). L’identification de l’informatique fantôme, qui permet aux entreprises de bloquer les applications à risque ou approuvées sur tous les terminaux, constitue également un élément clé pour ce cas d’utilisation.
Conseils pour sélectionner la bonne plateforme SSE
Vous avez besoin d’une plate-forme SSE qui vous procure une sécurité rapide et évolutive et une expérience utilisateur homogène basée sur le Zero Trust.
Recherchez une plateforme qui est :
Conçue pour favoriser la rapidité au niveau de l’expérience utilisateur et des applications cloud
Un accès rapide et sécurisé requiert une architecture cloud native distribuée à l’échelle mondiale dans un grand nombre de data centers. Les plateformes SSE conçues pour l’inspection présentent un avantage par rapport aux plateformes SSE hébergées dans des clouds IaaS. En effet, ces dernières ne sont pas conçues pour répondre aux exigences de l’inspection de contenu en temps réel. Lorsque chaque data center est un nœud d’inspection, la sécurité est toujours rapide et locale pour l’utilisateur, où qu’il se trouve. Veillez également à ce que les fournisseurs SSE proposent un peering rapide et solide, afin que l’expérience des applications cloud demeure optimale.
Construite dès le départ avec une architecture Zero Trust
Le contrôle des accès doit être régi par l’identité et ne jamais placer les utilisateurs sur votre réseau. Privilégiez les fournisseurs cloud natifs qui proposent une prise en charge étendue de l’accès Zero Trust pour tous les utilisateurs, appareils, IoT, applications cloud et charges de travail. Ici aussi, un fournisseur disposant de nombreux data centers répartis dans le monde garantira que vos utilisateurs bénéficient toujours d’une expérience rapide sans la contrainte imposée par un VPN. L’approche ZTNA de votre fournisseur à l’égard du SSE doit avoir fait ses preuves dans le cadre de grands déploiements mondiaux, car l’évolutivité est impérative pour la productivité des utilisateurs distants.
Capable d’une inspection proxy évolutive et inline
L’inspection par proxy met fin aux deux connexions, celle de l’appareil et celle de l’application cloud. Se placer entre les deux permet d’effectuer une inspection SSL complète et d’empêcher les connexions de « passer ». Cela assure une meilleure sécurité et une meilleure inspection que les pare-feu traditionnels. Concentrez-vous sur les plateformes SSE qui peuvent fournir du contenu et une inspection TLS/SSL à l’échelle mondiale. L’inspection inline étant généralement effectuée sur le trafic critique pour l’entreprise, les interruptions dues à des problèmes d’évolutivité peuvent avoir de graves répercussions. Assurez-vous que le fournisseur SSE que vous avez choisi dispose de solides accords de niveau de service (SLA) et d’un historique d’inspection du trafic inline pour de grandes entreprises mondiales.
Stimulant l’innovation dans la croissance du SSE
À mesure que les entreprises adoptent le SSE en tant que plateforme unifiée, des capacités et des services de sécurité supplémentaires permettront à la plateforme SSE de demeurer pérenne. La surveillance de l’expérience digitale constitue un service qui commence à migrer vers le SSE. En effet, elle permet au service informatique d’identifier rapidement les problèmes de connectivité de l’utilisateur vers l’application cloud.
En outre, comme le définit l’architecture SASE, le regroupement des services réseau associé à une plateforme SSE est important. Cela inclut une excellente prise en charge de la connectivité à travers les services SD-WAN, la connectivité des filiales locales et la connectivité multicloud. En vous concentrant sur les fournisseurs de services SASE qui sont également des moteurs de l’innovation SSE, vous pouvez vous assurer une marge de croissance sans ajouter de complexité à mesure que l’écosystème cloud de votre entreprise évolue.
Zscaler et SSE
Zscaler résout vos problèmes de cloud et de mobilité avec une plateforme révolutionnaire pour le SSE et bien plus. Nous vous aiderons à réduire vos coûts et vos problèmes de complexité avec Zero Trust, à éliminer votre surface d’attaque et à bénéficier d’une expérience utilisateur exceptionnelle.