SASE vs Zero Trust : comprendre les différences essentielles

L’importance du SASE et du Zero Trust

Le SASE et le Zero Trust existent en raison des lacunes des méthodes traditionnelles de sécurité et de connectivité. Ces anciennes stratégies n’ont notamment pas été conçues pour fournir une connectivité sécurisée entre les applications basées sur le cloud et les utilisateurs distants.

Il s’agit principalement d’un problème d’évolution et d’échelle. Les employés travaillaient pour la plupart au bureau et accédaient aux applications et aux données dans le data center de l’entreprise. Il était logique dans ce cas que la connectivité et la sécurité soient fournies dans le data center, et que les quelques travailleurs en déplacement ou travaillant ailleurs utilisent un VPN pour acheminer leur trafic vers le data center.

Cependant, à l’heure du cloud et du télétravail, les activités se déroulent généralement davantage à l’extérieur du bureau. Les utilisateurs, les données, les appareils et les applications peuvent être n’importe où. Essayer d’adapter de force les méthodes traditionnelles de sécurité et de connectivité au data center revient à acheminer le trafic du monde entier vers des sites centralisés. Adhérer ainsi à une architecture centrée sur le réseau accroît le cyber-risque et ajoute de la latence, ce qui nuit à l’expérience utilisateur.

À mesure que le télétravail et l’adoption du cloud se généralisent, le SASE et le Zero Trust transforment la manière dont les entreprises assurent la sécurité et la connectivité dans des environnements décentralisés.

Qu’est-ce que le Zero Trust ?

Zero Trust est une architecture basée sur un principe fondamental : « Ne jamais faire confiance, toujours vérifier ». Elle n’accorde une confiance par défaut à aucune entité (c’est-à-dire un utilisateur, un workload ou un appareil connecté), au lieu de cela, elle achemine le trafic via un proxy et vérifie en permanence toute entité sur la base du contexte et du risque avant d’en autoriser l’accès.

Plutôt que de connecter les entités à un réseau de confiance pour accéder aux ressources informatiques, l’architecture Zero Trust connecte directement les entités aux ressources, sans étendre l’accès au réseau à quiconque ni à quoi que ce soit. Autrement dit, elle applique une microsegmentation hautement granulaire. Cette communication est fournie sous forme de service, en périphérie, depuis un cloud mondial dédié.

Une architecture Zero Trust permet aux entreprises de surmonter les risques des architectures centrées sur le réseau afin de :

• Minimiser la surface d’attaque en éliminant les adresses IP publiques et les connexions entrantes
• Stopper les compromissions en inspectant tout le trafic (même TLS/SSL) et appliquer une politique en temps réel
• Empêcher le déplacement latéral des menaces sur le réseau grâce à une connectivité directe à l’application
• Bloquer la perte de données via n’importe quel canal de fuite, y compris le Web, le SaaS, les terminaux, etc.

Qu’est-ce que le SASE ?

Secure Access Service Edge (SASE) est un paradigme de mise en réseau et de sécurité qui combine la fonctionnalité de réseau étendu défini par logiciel (SD-WAN) avec le Security Service Edge (SSE) pour créer une plateforme unifiée de solutions :

• SD-WAN pour connecter des sites mondiaux et acheminer dynamiquement le trafic réseau
• Passerelle Web sécurisée (SWG) pour filtrer et sécuriser le trafic Web
• Accès réseau Zero Trust (ZTNA) pour sécuriser l’accès aux applications privées
• Cloud Access Security Broker (CASB) pour surveiller et contrôler l’utilisation du SaaS
• Prévention de la perte de données (DLP) pour sécuriser l’accès aux données sensibles
• Pare-feu en tant que service (FWaaS) pour inspecter le trafic et appliquer la prévention des menaces

Zero Trust et SASE : similitudes et différences

Zero Trust et SASE partagent des objectifs tels que renforcer la sécurité, améliorer l’expérience utilisateur et réduire la complexité. Leur différence réside dans la manière dont ils assurent la connectivité et atténuent les risques. En déconnectant la sécurité et la connectivité de l’accès au réseau, Zero Trust surmonte les défis liés aux architectures centrées sur le réseau et basées sur le périmètre, sur lesquelles la plupart des solutions SASE s’appuient encore.

Ce tableau détaille quelques-unes des principales différences entre le Zero Trust et le SASE :

SASE vs. Zero Trust : deux questions cruciales

Nous avons vu comment le SASE et le Zero Trust se superposent. Les deux visent à aider les entreprises à adopter de manière plus efficace les aspects du travail moderne, tels que le télétravail et les applications cloud. Ils regroupent tous deux la sécurité et la connectivité fournies à la périphérie. La principale distinction entre le SASE et le Zero Trust repose toutefois sur deux questions :

1. Une connectivité sécurisée pour quoi ?
2. Une connectivité sécurisée à quoi ?

Une connectivité sécurisée pour quoi ?
Le SASE se concentre principalement sur la sécurisation de l’accès du personnel car il a été initialement construit sur trois solutions principales axées sur la sécurisation des utilisateurs : SWG, CASB et ZTNA. Ces solutions étant au cœur du SASE, les développements du cadre sont restés centrés sur l’utilisateur.

L’architecture Zero Trust, quant à elle, vise à sécuriser l’accès à l’ensemble de l’écosystème informatique d’une entreprise. Elle peut sécuriser n’importe quelle entité au sein des effectifs (utilisateurs, sous-traitants et partenaires B2B), des clouds (workload sur différents clouds publics) et des sites distants (y compris les dispositifs IoT/OT qui s’y trouvent) lorsqu’ils accèdent à n’importe quelle destination. Ainsi, si Zero Trust peut satisfaire aux exigences de la SASE, l’inverse n’est pas forcément vrai.

Une connectivité sécurisée à quoi ?
Le SASE connecte généralement les utilisateurs au réseau pour qu’ils accèdent aux applications également connectées à ce réseau. Bien que cette connectivité puisse être assurée via un SD-WAN, il s’agit toujours d’une architecture centrée sur le réseau fonctionnant sur la base d’emplacements de confiance, ce qui est contraire aux principes de Zero Trust.

En outre, la plupart des solutions SD-WAN des offres SASE s’appuient sur des pare-feu sur chaque site pour la sécurité, ce qui ne correspond pas non plus aux principes de Zero Trust. Même ZTNA, solution « Zero Trust » par définition, fonctionne souvent en connectant les utilisateurs à un réseau routable afin d’étendre l’accès aux applications privées.

La plupart des offres SASE, malgré leur positionnement en tant que cadres modernes, héritent des défauts des architectures traditionnelles centrées sur le réseau :

• Elles étendent la surface d’attaque en exposant les adresses IP publiques, qui peuvent être découvertes par les cybercriminels et permettent les connexions réseau entrantes.
• Elles ne parviennent pas à empêcher les compromissions, s’appuyant sur des pare-feu (sous forme d’appliances virtuelles ou matérielles) qui peinent à inspecter et à sécuriser le trafic chiffré en raison de limitations d’évolutivité.
• Elles permettent le déplacement latéral des menaces en accordant aux utilisateurs un large accès au réseau au lieu de limiter l’accès à des applications spécifiques.
• Elles nécessitent un routage inter-sites complexe à mesure que les réseaux se développent entre les effectifs, les sites distants et les clouds, ce qui pose des problèmes d’administration et de gestion

En bref, s’appuyer sur le SD-WAN traditionnel et d’autres outils orientés réseau dans le cadre d’une implémentation du SASE entre en conflit avec le principe Zero Trust de l’accès any-to-any sur base du moindre privilège. Les organisations qui souhaitent mettre en œuvre SASE qui répond aux exigences du Zero Trust ont besoin d’une forme différente de SD-WAN : le SD-WAN Zero Trust.

SD-WAN Zero Trust et SASE Zero Trust

Le SD-WAN Zero Trust est le tissu conjonctif critique qui permet d’aligner complètement un déploiement SASE sur une architecture Zero Trust. Il surmonte les faiblesses orientées réseau du SD-WAN et du SASE traditionnels en étendant l’accès sur la base du moindre privilège aux utilisateurs, appareils et workloads à travers les sites distants, les data centers et les clouds. Et il fournit une connectivité directe à la ressource demandée, plutôt qu’au réseau sur lequel réside la ressource.

Avantages de l’association du SASE et du Zero Trust

L’intégration du SD-WAN Zero Trust dans un cadre SASE complet réalise un véritable SASE Zero Trust, qui offre les avantages suivants :

• Sécurité renforcée : la vérification continue et l’élimination de la confiance implicite réduisent le cyber-risque sur les effectifs, les sites distants et les clouds.
• Augmentation de la productivité : la connectivité Zero Trust directe vers le cloud offre un accès rapide et sécurisé et des expériences transparentes aux utilisateurs disséminés.
• Économies de coûts : le regroupement des outils de sécurité et de mise en réseau dans une plateforme Zero Trust cloud native réduit la complexité, les coûts technologiques et les frais généraux.

Construire un avenir sécurisé avec Zscaler Zero Trust SASE

Le SASE de Zscaler optimisé par l’IA est conçu dès le départ pour la sécurité, les performances et l’évolutivité. Avec plus de 160 data centers mondiaux qui traitent plus de 500 milliards de transactions par jour, et grâce au peering avec des centaines de partenaires à travers les principaux échanges Internet dans le monde, Zscaler assure un Zero Trust inégalé partout.

• Architecture cloud-first : regroupez et simplifiez l’informatique pour accélérer l’adoption du cloud, améliorer l’expérience utilisateur et normaliser tous les sites.
• Inspection TLS/SSL inline complète : offrez une protection complète contre les menaces et une prévention de la perte de données pour l’ensemble du trafic grâce à une architecture proxy optimisée par l’IA.
• Optimisation des performances : optimisez le routage du trafic via un peering mondial avec les principaux fournisseurs d’applications et de services afin garantir des expériences utilisateur supérieures.
• Communications Zero Trust : connectez en toute sécurité vos effectifs, vos sites distants et vos clouds sans confiance implicite et sans jamais amener d’entités sur votre réseau.
• Zéro surface d’attaque : rendez les adresses IP et votre réseau invisibles sur Internet et pour les utilisateurs non autorisés. Les hackers ne peuvent attaquer ce qu’ils ne peuvent voir.