Sommaire

Qu’est-ce que le SSE ? | Security Service Edge (SSE)

Sommaire

Security Service Edge (SSE)

Le Security Service Edge (SSE) est un concept de cybersécurité émergent décrit par Gartner dans son rapport « Convergence SASE : feuille de route stratégique 2021 ». Gartner définit le SSE comme un ensemble de fonctionnalités de sécurité intégrées, centrées sur le cloud, qui facilite l’accès sécurisé aux sites web, aux applications SaaS (Software-as-a-Service) et aux applications privées. Le SSE repose sur quatre fonctionnalités essentielles :

Pourquoi le SSE est-il important ?

Une solution SSE complète fournit toutes les technologies de sécurité dont les entreprises ont besoin pour protéger l’accès distant des collaborateurs, des partenaires et des prestataires à leurs ressources : applications, données, outils, etc. Elle leur permet également de surveiller et de suivre à la trace le comportement des utilisateurs sur leur réseau. Avec l’essor des modes de travail hybrides, le SSE aide les équipes à sécuriser les télétravailleurs et les collaborateurs mobiles, ainsi que les données et applications auxquelles ils accèdent.

Quelle est la différence entre SASE et SSE ?

Le SSE assure la partie « services de sécurité » d’une stratégie SASE (prononcez « sassi ») complète. Il réunit le contrôle des accès, la protection contre les menaces, la sécurité des données, la surveillance de la sécurité et le contrôle de l’usage acceptable au sein d’une solution cloud unifiée. Combiné avec le SD-WAN, le SSE devient une véritable plateforme de sécurité SASE. Au menu : surveillance et application des politiques, contrôles réseau intégrés, API d’applications et contrôles basés sur les terminaux.

Le SASE est un concept de cybersécurité inventé par Gartner en 2019. Il désigne la convergence du SD-WAN (Software-Defined Wide Area Networking) et des services de sécurité réseau (CASB, FWaaS, ZTNA, etc.) vers un modèle de service unifié, piloté depuis le cloud.

D’après Gartner : « Les capacités SASE sont fournies sous forme de service selon l'identité de l'entité, le contexte en temps réel, les politiques de sécurité et de conformité de l'entreprise, ainsi que l'évaluation continue du risque et du niveau de confiance durant les sessions. Les identités des entités correspondent aux individus, groupes d'individus (sites distants), équipements, applications, services, systèmes IoT ou encore aux différents points d'Edge Computing. »

L’architecture SASE se fonde sur un cadre commun pour aider les entreprises à simplifier leur gestion, améliorer leur visibilité et renforcer la protection des utilisateurs, des équipements, des applications et des données, en tout lieu et à tout moment.

Fonctionnalités SSE essentielles

Une solution SSE repose sur quatre fonctionnalités de sécurité centrales.

Zero Trust Network Access (ZTNA)

L’accès réseau Zero Trust, ou ZTNA (Zero Trust Network Access), regroupe les technologies qui assurent un accès distant et sécurisé aux applications et aux services à l’aide de politiques de contrôle des accès bien définies. À la différence d’un réseau privé virtuel, ou VPN, qui permet d’accéder directement à un réseau LAN, les solutions ZTNA bloquent les accès par défaut. Résultat, seuls les utilisateurs approuvés peuvent accéder aux services.

Le ZTNA est une composante indispensable d’une stratégie SSE complète. Il fournit une approche de sécurité multicouche des accès distants, avec des capacités d’inspection et d’application redondantes :

  • Visibilité et contrôle centralisés : déterminez qui accède à vos données et où celles-ci sont stockées, évaluez le niveau de sensibilité et journalisez le trafic réseau autant que possible.
  • Authentification basée sur l’identité : les technologies ZTNA fournissent aux utilisateurs un accès clairement défini, basé sur le principe du moindre privilège et sur des méthodes d’authentification entièrement personnalisables. Les équipes de sécurité réseau peuvent surveiller les comportements des utilisateurs pour détecter les activités malveillantes, les vols d’identifiants, la présence de malwares et la perte de données, même après que l’accès a été autorisé.
  • Politiques de sécurité homogènes : appliquez des politiques de sécurité à l’ensemble des applications internes et externes, quel que soit l’endroit où les données sont stockées.
  • Accès granulaire basé sur les rôles : donnez à vos utilisateurs l’accès aux seules données dont ils ont réellement besoin, et limitez les autorisations selon le type d’équipement et l’emplacement de connexion.
  • Surveillance des menaces même après la connexion : les fonctionnalités ZTNA surveillent l’activité réseau en continu afin de détecter la présence éventuelle d’attaquants qui seraient parvenus à s’infiltrer dans l’environnement.
Le SSE utilise les fonctionnalités ZTNA pour sécuriser l’accès distant des utilisateurs aux ressources réseau et surveiller leur activité.

Passerelle web sécurisée (SWG)

Une passerelle web sécurisée (SWG) protège les utilisateurs des menaces web et applique les politiques d’usage acceptable de l’entreprise. Au lieu de se connecter directement à un site web, les utilisateurs accèdent à la SWG, qui les dirige ensuite vers la destination souhaitée. La passerelle exécute entre temps plusieurs fonctions : filtrage d’URL, visibilité web, inspection des contenus malveillants, contrôles des accès web, etc.

Les SWG sont un élément essentiel d’une stratégie SSE complète, en ce qu’elles fournissent aux utilisateurs un accès Internet sécurisé lorsqu’ils sont déconnectés du VPN d’entreprise. Elles aident aussi les organisations à :

  • Bloquer l’accès aux sites et contenus inappropriés en fonction des politiques d’usage acceptable
  • Appliquer leurs politiques de sécurité pour protéger l’accès à Internet
  • Empêcher le transfert non autorisé des données
Le SSE utilise les fonctionnalités SWG pour fournir aux utilisateurs un accès Internet sécurisé lorsqu’ils sont déconnectés du VPN d’entreprise.

Cloud Access Security Broker (CASB)

Les CASB aident les organisations à localiser leurs données réparties à travers les applications SaaS, celles qui transitent dans les environnements cloud et les data centers on-prem, et celles auxquelles accèdent leurs équipes mobiles. Ils appliquent les politiques de sécurité, de gouvernance et de conformité de l’entreprise en permettant aux utilisateurs autorisés d’accéder aux ressources cloud, tout en assurant une protection efficace et homogène des données distribuées. Il existe deux catégories de CASB : les CASB traditionnels et les CASB intégrés.

Une stratégie SSE efficace utilise un CASB intégré pour permettre aux entreprises de tenir le rythme face à l’explosion du SaaS. Ce type de CASB exploite un mécanisme de sécurité inline pour identifier et gérer automatiquement les risques liés aux applis SaaS existantes et aux milliers d’autres qui continuent de voir le jour. Les CASB intégrés utilisent aussi un mécanisme de sécurité basé sur des API pour détecter les données sensibles, les malwares et les violations de politiques dans les applications SaaS. Ils maintiennent la conformité et préviennent les menaces en temps réel sans dépendre d’aucun outil tiers.

Le SSE utilise un CASB intégré pour identifier et gérer tous les risques liés aux milliers d’applications SaaS existantes et émergentes.

Firewall-as-a-Service (FWaaS)

Les pare-feu FWaaS sont intégrés à l’infrastructure cloud des entreprises pour protéger les données et applications qui y résident.

Le SSE utilise les fonctionnalités FWaaS pour permettre aux organisations d’agréger le trafic provenant de sources multiples (data centers on-prem, sites distants, collaborateurs mobiles, infrastructure cloud, etc.). Ces pare-feu assurent aussi l’application homogène des politiques de sécurité à travers tous les sites et tous les utilisateurs, et fournissent une visibilité et un contrôle complets sur le réseau sans déployer d’appliances physiques.

Le SSE utilise les fonctionnalités FWaaS pour agréger le trafic issu de plusieurs sources, qu’il s’agisse d’emplacements sur site ou dans le cloud.

Cas d’usage et avantages

Protection des accès

L’utilisation d’une SWG dans le cadre d’une stratégie SSE renforce le contrôle des politiques d’accès à Internet, peu importe où se trouvent les utilisateurs, et quelles que soient les données et applications auxquelles ils accèdent. Les SWG sont un élément essentiel d’une stratégie SSE complète, en ce qu’elles fournissent aux utilisateurs un accès Internet sécurisé lorsqu’ils sont déconnectés du VPN d’entreprise. Elles aident aussi les organisations à :

  • Bloquer l’accès aux sites et contenus inappropriés en fonction des politiques d’usage acceptable
  • Appliquer leurs politiques de sécurité pour protéger l’accès à Internet
  • Empêcher le transfert non autorisé des données

Sécurité renforcée

Les CASB protègent les utilisateurs et les applications grâce à leurs fonctionnalités d’inspection, de classification et de mise en quarantaine proactive des malwares. Une stratégie SSE efficace utilise un CASB intégré pour permettre aux entreprises de tenir le rythme face à l’explosion du SaaS.

Visibilité et contrôle

Le ZTNA 2.0 renforce la visibilité et le contrôle des accès utilisateurs. Cette technologie limite l’exposition aux risques en appliquant des politiques d’accès au niveau des applications plutôt qu’à celui du réseau. Au menu :

  • Principe du moindre privilège
  • Vérification continue du niveau de confiance
  • Inspection continue de la sécurité
  • Protection de toutes les données
  • Sécurisation de toutes les applications

Déploiement et solutions

Il existe deux façons d’envisager la conception et le déploiement d’une solution SSE efficace.

  1. Les entreprises peuvent souscrire les services de différents fournisseurs de sécurité, puis utiliser des ressources internes ou externes pour consolider ces fonctionnalités au sein d’une seule solution SSE.

    Cette approche à la carte leur permet de sélectionner uniquement les outils dont elles ont besoin, mais elle demande un investissement significatif pour intégrer ces fonctionnalités, au moment du déploiement et sur le long terme. Cette option implique aussi un effort important sur le plan de la gestion et de la surveillance, car il faut s’assurer que tous les produits et services fonctionnent en parfaite synergie, à la manière d’une plateforme unifiée. De plus, l’entreprise devra gérer les relations avec tous ses fournisseurs et leurs différents SLA.

  2. Les organisations peuvent faire appel à un fournisseur de plateforme unifiée, qui intègre de base toutes les fonctionnalités SSE nécessaires (FWaaS, CASB, SWG, et ZTNA). Elles éliminent ainsi les soucis de gestion et d’intégration inhérents à l’approche multifournisseur. Cette option simplifie également la résolution des problèmes et la maintenance pendant tout le cycle de vie du système.

Prisma Access est une plateforme SSE unifiée qui consolide les meilleures fonctionnalités de sécurité autour des principes du ZTNA 2.0, tout en garantissant la meilleure expérience utilisateur qui soit.

Related Articles
Security Service Edge | Prisma Access
Discover how to protect the hybrid workforce with ZTNA 2.0, purpose-built for SASE.
Prisma SASE
AI-powered Prisma SASE is the secure foundation for agile, cloud-enabled organizations.
SASE CIO eBook: Driving the future of work through enterprise-wide SASE
A CIO’S Guide to Planning and Implementation
What Is AI-Powered SASE?
Integrate AI-enhanced SWG, SD-WAN, CASB and ZTNA for efficitent security and networking.

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité