Security Think Tank : SASE – buzz marketing ou avenir de la sécurité ?

SASE doit aller plus loin que le regroupement de différents services

Premièrement, SASE n’est pas une architecture bien définie au sens étroit. Il s’agit plutôt d’une liste de technologies, où les fournisseurs comblent de plus en plus le vide vers une architecture et permettent aux différents composants de fonctionner ensemble efficacement.

Très peu de ces capacités sont prescrites par la définition ou présentes dans toutes les solutions proposées sous la bannière SASE. Dans un sens, pratiquement tous les services de sécurité fournis à partir d’une infrastructure cloud répondent aux critères de base de SASE.

Mais il ne suffira pas de regrouper divers services. Une gestion et une application cohérentes des stratégies sur tous les éléments, des analyses de sécurité couvrant tous les éléments et une capacité d’administration intégrée sont obligatoires pour faire de SASE un concept holistique, au lieu d’être simplement un ensemble de services disparates. Pourtant, aucun d’entre eux n’est inclus dans la définition originale.

Méfiez-vous du verrouillage du fournisseur

Un défi majeur qui accompagne ce besoin d’intégration est le risque de verrouillage du fournisseur. Si SASE est un guichet unique, alors le risque d’être enfermé dans l’approche d’un seul fournisseur – parfois avec peu de partenaires sélectionnés – est grand. SASE doit évoluer pour devenir une architecture ouverte, flexible et basée sur des normes, où différents services de différents fournisseurs peuvent être facilement combinés. Nous en sommes encore loin.

Un autre aspect à considérer est que, même si les solutions SASE incluent souvent ZTNA comme l’une des capacités, il peut être débattu si la dépendance au SD-WAN en tant qu’infrastructure sous-jacente ne contraste pas avec les principes de base de la confiance zéro. Le risque est de supposer que le SD-WAN est toujours sécurisé et fiable.

Mais faire confiance à un seul élément de la pile de sécurité multicouche est exactement ce que la confiance zéro n’est pas. Cependant, avec les autres éléments tels que les CASB et ZTNA pour un contrôle d’accès au réseau basé sur l’identité, il n’y a pas un tel conflit.

Considérez les points de défaillance uniques

Le plus grand risque pourrait provenir d’une superposition sur Internet qui pourrait échouer. Alors qu’Internet a été conçu pour résister à des perturbations majeures, les récents incidents avec des fournisseurs de périphérie tels qu’Akamai ou Cloudflare montrent clairement comment la tendance actuelle à inverser la nature décentralisée d’Internet peut entraîner des pannes massives. Des défis similaires avec les CSP ont finalement conduit à l’émergence du « multicloud » en tant que concept de conception. Devrions-nous également planifier des architectures « multi-bords » ?

SASE s’accompagne de la promesse de combiner l’accès au réseau et les services de cybersécurité en un seul, et met en valeur ses points forts en tant que panneau de verre unique, géré par un seul ensemble de politiques. Si vous vous abonnez à un tel service et que vous avez besoin de fonctionnalités supplémentaires au-delà des cas d’utilisation initiaux, il est fort probable que celle-ci soit également disponible auprès du fournisseur déjà choisi. Ce qui vous amène plus profondément dans la dépendance à un seul fournisseur / fournisseur de services.

Toutefois Quel impact cela aura-t-il sur le risque d’attaques logicielles malveillantes sur ce fournisseur ? Il y a un prix à payer, et les acheteurs doivent être conscients des risques implicites qui accompagnent SASE.

Déterminer si SASE ajoute de la valeur ou de la complexité

Enfin, les acheteurs devraient d’abord examiner leurs cas d’utilisation lorsqu’ils envisagent SASE. Où cette approche ajoute-t-elle de la valeur et où est-elle jpeut-on ajouter de la complexité? Si les employés de bureau accèdent uniquement aux services SaaS, pourquoi ajouter une couche supplémentaire de complexité ?

D’autre part, pour connecter les usines, pour les cas d’utilisation dans le commerce et la logistique, et pour les domaines qui gèrent encore beaucoup d’informatique héritée comme de nombreuses banques, SASE pourrait fournir une valeur. Cependant, il existe toujours des alternatives pour créer une infrastructure sécurisée et fiable.

SASE n’est, comme la plupart des concepts informatiques, ni la solution parfaite pour tout, ni le buzz marketing pur. Les acheteurs doivent regarder attentivement au-delà des étiquettes, analyser leurs propres cas d’utilisation et exigences, et comprendre comment ils peuvent être traités par les capacités d’une offre SASE particulière (n’oubliez pas que les capacités peuvent varier considérablement d’un fournisseur à l’autre). Ils doivent également penser à l’avenir – les exigences d’aujourd’hui changeront inévitablement demain, et une plate-forme SASE doit être suffisamment flexible pour s’y adapter rapidement.

Ce n’est qu’une fois que toutes ces considérations auront été prises en compte que vous serez en mesure de prendre une décision éclairée quant à savoir si SASE convient ou non à vos besoins.