Secure Access Service Edge (SASE) est un moyen utile de décrire l’intégration de la mise en réseau et de la sécurité. Malheureusement, c’est là que s’arrête son utilité. Personne ne contestera que le SASE est une bonne idée ou qu’il pose de réels problèmes au DSI. Le problème vient de la livraison.
À mesure que les applications et les utilisateurs sont de plus en plus distribués, il n’est plus logique de renvoyer le trafic vers le centre de données pour inspection. Le transfert du trafic vers un pare-feu distant, qui peut se trouver à l’autre bout du monde, a un impact considérable sur les performances des applications.
Comme Gartner, la société qui a été la première a inventé le terme SASE En 2019, a-t-il décrit, les contrôles de mise en réseau et de sécurité devaient migrer vers le cloud. Les pare-feu basés sur le cloud et les passerelles Internet réduiraient le temps d’aller-retour entre l’utilisateur et le point de contrôle de sécurité jusqu’à l’application, ce qui entraînerait une latence plus faible et des performances applicatives plus élevées.
La performance n’était pas la seule justification du SASE. Les architectes système ont reconnu que l’intégration de la sécurité dans les réseaux plutôt que de l’implanter permettrait d’améliorer la sécurité. Une pile de réseau et de sécurité unique, régie par un ensemble unique de politiques, réduirait également la complexité, ce qui entraînerait une diminution des frais de gestion informatique et de support.
Problèmes avec le SASE « traditionnel »
Il y a plusieurs raisons pour lesquelles le SASE reste plus ambitieux que pratique.
Premièrement, Fournisseurs SASE faites semblant de parler aux utilisateurs qui ne sont pas à l’intérieur du bureau. Il s’agit d’une partie importante de la main-d’œuvre hybride actuelle, mais leurs systèmes n’ont jamais été conçus pour ce style de travail.
Le SD-WAN – l’architecture réseau au cœur de SASE – est une architecture de succursale en étoile et en étoile centrée sur le matériel. L’hypothèse fondamentale derrière la plupart des théories actuelles SD-WAN plates-formes et l’attirail SASE qui y est attaché, est que la plupart des utilisateurs seraient au même endroit ou concentrés dans quelques endroits.
Deuxièmement, contrairement à une configuration de bureau, où l’informatique contrôle directement l’environnement réseau local et étendu, les utilisateurs travaillant depuis n’importe où (WFA) peuvent être connectés à un réseau Wi-Fi ou à un haut débit grand public peu fiable. De plus, les paramètres sur lesquels vous comptiez auparavant pour la sécurité – tels que leur emplacement/adresse IP – disparaissent. Lorsque vous ajoutez une sécurité de niveau entreprise à une connexion distante – en forçant le trafic Internet via une passerelle Web sécurisée (SWG), par exemple – vous compromettez les performances.
C’est pourquoi la plupart Solutions SASE impliquent toujours des connexions réseau améliorées et du matériel supplémentaire dans les locaux des utilisateurs. Cela ajoute des dépenses considérables et une complexité opérationnelle (déploiement et maintenance de milliers de routeurs matériels) et ne fonctionne que pour les utilisateurs qui travaillent à domicile ou dans un autre emplacement fixe.
Troisièmement, Fournisseurs SASE ne sont pas encore complètement formés, mais ont évolué à partir des fournisseurs de réseaux et de sécurité existants – généralement des fournisseurs de SD-WAN ou de pare-feu d’entreprise. Cela signifie qu’ils ont dû assembler tous les composants de leur solution SASE – dans la plupart des cas par acquisition – puis les faire fonctionner ensemble. L’objectif du SASE est censé réduire la complexité, mais le prix de toute cette dette héritée pour les clients est constitué de multiples tableaux de bord, d’îlots politiques disparates et d’une complexité bien plus grande.
Karl Gouverneur, ancien CIO de F100, caractérise le problème de la manière suivante : « Les DSI veulent la promesse SASE de mise en réseau et de sécurité intégrées, mais ils recherchent le « bouton de facilité ». Les offres SASE héritées d’un seul fournisseur sont souvent une mosaïque coûteuse et trop complexe de produits acquis, tandis que les solutions multifournisseurs apportent également de la complexité à l’environnement, reposent sur une recherche constante du doigt et nécessitent une intégration plus poussée.
Retirer la localisation de l’équation
Les modes de travail évoluent rapidement. Les Millennials et les GenZ – la première véritable génération numérique – ne s’attendent plus à se rendre au même endroit tous les jours. Tout comme le web a rompu le lien entre le physique et le shopping, on assiste aujourd’hui à la désintermédiation du lieu de travail, qui est partout et partout. La tendance a été accélérée par la pandémie, mais c’est une erreur de croire que la pandémie a créé le travail hybride.
Ainsi, bien que SASE fasse les bonnes hypothèses sur la nécessité d’intégrer la mise en réseau et la sécurité, elle ne va pas assez loin. La pile de mise en réseau et de sécurité est toujours limitée au bureau et centralisée. Si vous conceviez cela à partir de zéro, vous ne commenceriez pas à partir de là.
Une approche plus radicale, ce que nous appelons le SASE personnel, consiste à déplacer la pile de réseau et de sécurité vers la gauche jusqu’à la périphérie de l’utilisateur. Pensez-y comme à la transition de l’ordinateur central au mini-ordinateur puis au PC au début des années 1980, une migration rapide de la puissance de calcul vers l’utilisateur final. Le SASE personnel implique un processus similaire changement architectural avec des gains de productivité proportionnés pour la main-d’œuvre hybride moderne, qui s’attend mais obtient rarement le même niveau de performances réseau et de sécurité transparente dont elle bénéficie actuellement lorsqu’elle entre au bureau.
Le SASE personnel implique de mettre en place toutes les fonctions clés de réseau et de sécurité, y compris le pare-feu, la sécurité Internet, le routage et la sécurité. confiance zéro contrôles d’accès à la périphérie de l’utilisateur – là où la plupart des données sont créées et consommées – tout en conservant les contrôles informatiques nécessaires sur la politique de sécurité et l’observabilité du réseau.
L’autre élément essentiel pour libérer le travailleur hybride/à distance d’une expérience utilisateur de seconde classe est la fourniture de bout en bout d’un SASE personnel en tant que service. Toute solution WFA impliquant davantage d’appliances matérielles semble être un pas en arrière.
Nous le saurons quand nous y arriverons
Comme l’a déclaré Mauricio Sanchez, directeur de recherche senior, réseaux d’entreprise et sécurité chez Dell’Oro Group : « Dans de nombreuses solutions SASE destinées aux utilisateurs WFA, la sécurité éclipse souvent la mise en réseau. Pourtant, pour que les utilisateurs distants bénéficient d’une expérience positive et d’une sécurité robuste, il est essentiel de mettre autant d’accent sur un réseau hautes performances que sur une sécurité rigoureuse. Une solution SASE véritablement efficace intègre ces éléments de manière transparente, répondant ainsi aux demandes de la main-d’œuvre hybride. »
La vision originale de Gartner pour SASE était juste, mais comme cela arrive souvent dans le secteur informatique, la destination était plus facile à imaginer que le voyage. Nous ne réaliserons pas cette vision tant que nous ne pourrons pas la façonner non pas autour de l’informatique de la dernière décennie, mais autour des besoins de la main-d’œuvre actuelle et future.
Articles Liés: