Fondamentalement, le Security Service Edge (SSE) fournit les éléments de service de sécurité d'une stratégie globale Secure Access Service Edge (SASE). Pour être clair, le SSE est un sous-ensemble ou un composant d'une solution ou d'une stratégie SASE.
Le SSE offre des fonctionnalités de contrôle d'accès, de protection contre les menaces, de sécurité des données, de surveillance de la sécurité et de contrôle de l'utilisation acceptable dans une solution unique fournie dans le nuage. En outre, lorsque l'ESS est associé à un réseau étendu défini par logiciel (SD-WAN), il forme une plateforme SASE complète, fournissant une surveillance et une application des politiques avec des contrôles de réseau intégrés et des API d'application augmentées par des contrôles basés sur les points d'extrémité.
Prenons maintenant un peu de recul et discutons de l'origine de l'ESS et des composants qui constituent souvent une solution ESS.
Security Services Edge (SSE) est un concept de cybersécurité introduit par Gartner dans son rapport 2021 Roadmap for SASE Convergence. Selon Gartner, "le SSE est un ensemble de capacités de sécurité intégrées, centrées sur le cloud, qui facilite l'accès sécurisé aux sites web, aux applications SaaS (Software-as-a-Service) et aux applications privées". Plus précisément, les capacités de sécurité liées à l'ESS sont les suivantes :
Une solution ESS complète offre aux entreprises l'ensemble des technologies de sécurité dont elles ont besoin pour fournir aux employés, aux partenaires de confiance et aux sous-traitants un accès à distance sécurisé aux applications, aux données, aux outils et aux autres ressources de l'entreprise, sans qu'ils aient à se connecter directement au réseau de l'entreprise.
En outre, une solution ESS complète permet aux équipes de sécurité de surveiller et de suivre plus efficacement le comportement des utilisateurs une fois qu'ils ont accédé au réseau. Avec l'augmentation de la main-d'œuvre à distance pendant la pandémie, la sécurisation des utilisateurs distants et mobiles, ainsi que des données et des applications auxquelles ils accèdent, est devenue essentielle.
Dans la dernière section, nous avons cité Gartner à propos de la définition de l'ESS. Voyons pourquoi il s'agit d'un concept et non d'une "solution" bien définie. Pour ce faire, nous allons prendre un peu de recul et parler de SASE.
Secure Access Service Edge (SASE) - est un modèle d'architecture en nuage qui regroupe les fonctions de réseau et de sécurité en tant que service et les fournit en tant que service en nuage unique. Le SASE permet aux organisations d'unifier leurs outils de réseau et de sécurité dans une console de gestion unique.
Gartner a introduit et défini le SASE comme un concept en 2019. Il définit le SASE comme "la convergence des réseaux étendus définis par logiciel ou SD-WAN, et des services de sécurité réseau tels que CASB, FwaaS et ZTNA dans un modèle de service unique fourni dans le cloud".
En clair, les solutions d'ESS fournissent une connectivité sécurisée aux utilisateurs par le biais de services basés sur le cloud, ce qui évite aux employés de se connecter directement au réseau de l'entreprise pour les services et les applications basés sur le cloud.
L'un des grands avantages de l'ESS est qu'il n'est plus nécessaire d'exposer inutilement l'infrastructure ou les applications informatiques d'une entreprise. Au contraire, une solution SSE permet aux utilisateurs de se connecter en toute sécurité aux applications sur Internet.
Prenons quelques instants pour comparer les deux concepts de Gartner. Dans le cadre du SASE, les services de réseau et de sécurité doivent être consommés par le biais d'une approche unifiée et fournie dans le nuage. Les aspects réseau et sécurité des solutions SASE se concentreront sur l'amélioration de l'expérience de l'utilisateur avec les applications dans le nuage, tout en réduisant intrinsèquement les coûts et la complexité.
Une plateforme SASE peut être envisagée en deux parties. La partie SSE se concentre sur l'unification de tous les services de sécurité, y compris SWG, CASB et ZTNA. La seconde partie, le WAN, se concentre sur les services de mise en réseau, y compris le réseau étendu défini par logiciel (SD-WAN), l'optimisation du WAN, la qualité de service (QoS) et d'autres moyens d'améliorer l'acheminement vers les applications en nuage.
Les entreprises adoptent de plus en plus de logiciels et d'infrastructures en tant que services (SaaS, IaaS) et d'autres applications en nuage. Du fait de cette migration vers le nuage, les informations et les données critiques de l'entreprise sont davantage distribuées en dehors des centres de données traditionnels sur site. En outre, et c'est le point le plus important pour l'ESS, le fait que les utilisateurs se connectent à des applications en nuage, telles que Microsoft 365 et Google Docs, à partir de divers endroits via des appareils mobiles et distants, a fait naître le besoin d'une solution d'ESS.
Problèmes traditionnels de sécurité des réseaux avec les utilisateurs distants
Il est difficile de sécuriser les applications en nuage et les utilisateurs mobiles avec les approches traditionnelles de la sécurité des réseaux, pour les raisons suivantes : la technologie des réseaux fait partie d'un système d'information en ligne :
Enfin, les concepts ou solutions typiques de défense de sécurité en couches sont excessivement complexes pour les équipes de sécurité. Si les pare-feu, les IDS/IPS, les terminaux, les antivirus et d'autres technologies jouent un rôle essentiel dans la défense d'une organisation contre les attaques, ils présentent également des lacunes qui sont souvent facilement exploitées par les logiciels malveillants les plus sophistiqués d'aujourd'hui.
Fournie à partir d'une plateforme unifiée centrée sur le cloud, l'ESS permet aux organisations de s'affranchir des défis de la sécurité réseau traditionnelle. L'ESS offre quatre avantages principaux :
L'ESS améliore la visibilité sur les utilisateurs et les données à distance, quels que soient l'emplacement, la connexion ou les canaux utilisés. De plus, l'ESS patche automatiquement les mises à jour logicielles à travers les applications et, surtout, sans le délai typique de l'administration informatique manuelle.
La sécurité étant désormais assurée par le cloud, le comportement des utilisateurs est visible quels que soient la connexion, l'emplacement ou l'activité. Ce sera un énorme avantage pour les équipes de sécurité qui doivent faire face à un trafic anormal sur leurs réseaux, qui sont souvent des signes révélateurs d'une activité malveillante.
Selon Gartner, entre autres, "l'ESS peut fournir de nombreux services de sécurité clés - SWG, CASB, ZTNA, pare-feu en nuage (FWaaS), bac à sable en nuage, prévention de la perte de données en nuage (DLP), gestion de la posture de sécurité en nuage (CSPM) et isolation du navigateur en nuage (CBI) - le tout sur une seule plateforme". En outre, il ne s'agit pas d'une proposition "tout ou rien". Avec l'ESS, les organisations peuvent ajouter des technologies à la plateforme à leur propre rythme. Une technologie n'est pas dépendante d'une autre comme c'est le cas pour de nombreuses solutions de sécurité en couches sur site.
Le modèle de confiance zéro est la réponse à la prise de conscience que l'approche de sécurité périmétrique n'a pas été pratique parce que de nombreuses violations de données se sont produites. Après tout, les attaquants pouvaient se déplacer dans les systèmes internes sans risquer d'être découverts et arrêtés une fois qu'ils avaient franchi les pare-feux de l'entreprise.
Les plateformes d'ESS (ainsi que SASE) devraient permettre aux utilisateurs d'accéder au nuage ou aux applications privées avec le moins de privilèges possible, grâce à une politique fondamentale de confiance zéro basée sur quatre facteurs : l'utilisateur, l'appareil, l'application et le contenu. Les applications ne sont pas exposées à l'internet et ne peuvent donc pas être découvertes, ce qui réduit la surface d'attaque, améliore la posture de sécurité et minimise encore les risques pour l'entreprise.
Pour continuer à exploiter l'idée de Gartner sur le concept d'ESS, "l'ESS doit être entièrement distribué à travers une empreinte mondiale de centres de données. Les meilleures architectures d'ESS sont conçues pour être inspectées dans chaque centre de données, au lieu que les fournisseurs hébergent leurs plates-formes d'ESS dans des infrastructures IaaS."
L'architecture distribuée améliore les performances et réduit la latence car l'inspection du contenu - y compris le décryptage et l'inspection TLS/SSL - a lieu là où l'utilisateur final se connecte au nuage SSE. Combinée au peering sur la plateforme SSE, cette architecture offre à vos utilisateurs mobiles la meilleure expérience possible. Ils n'ont plus besoin d'utiliser des VPN lents, et l'accès aux applications dans les nuages publics et privés est rapide et transparent.
Le contrôle des politiques de l'ESS permet de réduire les risques lorsque les utilisateurs finaux accèdent au contenu sur le réseau et hors réseau. L'application des politiques de contrôle d'accès et d'Internet de l'entreprise à des fins de conformité est également un facteur clé de ce cas d'utilisation pour les services IaaS, PaaS et SaaS.
Une autre capacité clé est la gestion de la posture de sécurité dans le nuage (CSPM), qui protège votre organisation contre les erreurs de configuration risquées qui peuvent conduire à des violations.
La détection des menaces et la prévention des attaques réussies sur l'internet, le web et les services en nuage sont des facteurs essentiels pour l'adoption de l'ESS. Avec le passage au travail à distance et l'accès mobile au réseau de l'entreprise, les utilisateurs finaux accèdent au contenu via n'importe quelle connexion ou n'importe quel appareil.
Une plateforme d'ESS doit disposer de capacités avancées de protection contre les menaces, notamment un pare-feu en nuage (FWaaS), un bac à sable en nuage, la détection des logiciels malveillants et l'isolation du navigateur en nuage. Les CASB permettent l'inspection des données dans les applications SaaS et peuvent identifier et mettre en quarantaine les logiciels malveillants existants avant qu'ils n'infligent des dommages. Le contrôle d'accès adaptatif, qui permet de déterminer la position de l'appareil de l'utilisateur final et d'adapter l'accès en conséquence, est également un élément clé.
Le personnel moderne a besoin d'un accès à distance aux services en nuage et aux applications privées sans les risques inhérents et les vitesses lentes du VPN. Ainsi, permettre l'accès aux applications, aux données et au contenu sans permettre l'accès au réseau est un élément essentiel de l'accès Zero Trust, car il élimine les risques de sécurité liés à l'accès direct des utilisateurs au réseau de l'entreprise.
Il est essentiel de fournir un accès sécurisé aux applications privées et en nuage sans avoir à ouvrir les ACL des pare-feu ou à exposer les applications à l'internet. Les plateformes d'ESS devraient permettre une connectivité native des applications à l'intérieur et à l'extérieur de l'entreprise, de sorte que les applications ne soient pas exposées à l'internet. Une approche ZTNA devrait également offrir une évolutivité à travers un réseau mondial de points d'accès, offrant à tous vos utilisateurs l'expérience la plus rapide, quelles que soient les demandes de connectivité.
L'ESS vous permet de trouver et de contrôler les données sensibles, où qu'elles se trouvent. En unifiant les principales technologies de protection des données, une plateforme SSE offre une meilleure visibilité et une plus grande simplicité sur tous les canaux de données. La DLP dans le nuage permet de trouver, de classer et de sécuriser facilement les données sensibles ou les IIP afin de respecter les normes PCI (Payment Card Industry) et d'autres politiques de conformité. SSE simplifie également la protection des données, car vous pouvez créer des politiques DLP en une seule fois et les appliquer au trafic en ligne et aux données au repos dans les applications en nuage via les CASB.
Les solutions d'ESS fournissent une connectivité sécurisée aux utilisateurs par le biais de services basés sur le cloud, ce qui évite aux employés de se connecter directement au réseau de l'entreprise pour les services et applications basés sur le cloud. L'un des grands avantages de l'ESS est qu'il n'est plus nécessaire d'exposer inutilement l'infrastructure ou les applications informatiques d'une entreprise. Au contraire, une solution d'ESS permet aux utilisateurs de se connecter en toute sécurité aux applications sur Internet.
Il s'agit d'une stratégie essentielle pour protéger votre réseau et votre environnement cloud contre les menaces modernes. Explorez cette capacité et tirez-en parti pour protéger vos données.