SASE (Secure Access Service Edge)

Définition

Le SASE (Secure Access Service Edge) est une architecture cloud-native qui combine la sécurité réseau et les fonctionnalités WAN en un seul service unifié délivré depuis le cloud. Il a été inventé par Gartner (2019) pour décrire la convergence de SD-WAN et des services de sécurité.

Le SASE délivre les fonctions de sécurité et de réseau depuis le cloud, éliminant le besoin d’appliances matérielles traditionnelles dans les agences.

Composants SASE

Le SASE converge les capacités suivantes en un seul service cloud :

|| Composant | Description | ||———–|————-| || SD-WAN | Software-defined wide area network | || FWaaS (Firewall as a Service) | Pare-feu dans le cloud | || CWPP (Cloud Workload Protection) | Protection des charges de travail cloud | || CASB (Cloud Access Security Broker) | Surveillance et sécurisation de l’utilisation des applications cloud | || ZTNA (Zero Trust Network Access) | Contrôle d’accès au niveau application | || SWG (Secure Web Gateway) | Filtrage web, catégorisation d’URL | || DLP (Data Loss Prevention) | Prévention de l’exfiltration de données | || Sécurité DNS | Filtrage et protection DNS |

Architecture SASE

Utilisateur distant/Agence ───▶ Bord SASE (Cloud) ───▶ Internet/Internet
                              │
                              ├── SD-WAN
                              ├── ZTNA
                              ├── SWG
                              ├── CASB
                              ├── FWaaS
                              └── DLP
                              │
                              ▼
                        Applications cloud (SaaS, IaaS)

SASE vs réseau traditionnel

|| Aspect | Traditionnel | SASE | ||——–|————–|——| || Architecture | Hub-and-spoke (agence au data center) | Cloud-native (direct vers le cloud) | || Sécurité | Appliances matérielles en agence | Sécurité délivrée depuis le cloud | || Performance | Trafic redirigé vers le data center | Breakout internet local | || Gestion | Par appareil, par emplacement | Politique cloud centralisée | || Évolutivité | Acquisition matérielle | Auto-scaling cloud | || Coût | CapEx (matériel) | OpEx (abonnement) |

Fournisseurs SASE

|| Fournisseur | Produit SASE | Notes | ||————-|————-|——-| || Cisco | Viptela + Umbrella | Forte présence entreprise | || Palo Alto | Prisma Access | Intégré avec CNAPP | || Zscaler | Zscaler Internet Access | Pionnier en SASE | || Fortinet | FortiSASE | Intégré avec FortiGate | || Cloudflare | Cloudflare One | Développeur-friendly, abordable | || Netskope | Netskope SASE | Héritage CASB | || VMware | Tanzu + Velo | Stack SASE VMware |

SASE vs SSE

|| Aspect | SASE | SSE | ||——–|——|—–| || Portée | Réseau + Sécurité | Sécurité uniquement | || Inclut SD-WAN | Oui | Non | || Origine | Gartner (2019) | Gartner (2020) | || Cas d’utilisation | Transformation complète agence-to-cloud | Approche sécurité-first | || Exemple | Cisco SASE, Zscaler SASE | Zscaler SSE, Netskope SSE |

Avantages SASE

  • Architecture simplifiée : Une seule plateforme pour le réseau et la sécurité
  • Meilleure performance : Breakout internet local, pas de redirigement
  • Zero Trust : ZTNA intégré et accès basé sur l’identité
  • Évolutivité : Cloud-native, auto-scaling
  • Réduction des coûts : Remplacer le matériel par un abonnement
  • Politique cohérente : Même sécurité partout

Défis SASE

  • Complexité : Intégration de multiples fonctions de sécurité
  • Vendor lock-in : La plupart des plateformes SASE sont propriétaires
  • Latence : Dépendance au cloud pour tout le trafic
  • Conformité : Résidence des données et exigences réglementaires
  • Migration : Difficile de migrer depuis l’infrastructure existante

Termes associés

  • Zero Trust — composant réseau du SASE
  • ZTNA — composant de contrôle d’accès du SASE
  • Cloud — le SASE est une architecture cloud-native
  • VPN — le SASE remplace le VPN traditionnel
  • Waf