Architecture WAN traditionnelle
Dans les réseaux traditionnels, le centre de données de l’entreprise ou le site principal de l’entreprise représente le point de jonction de l’ensemble du trafic de données. La connectivité à Internet ou au cloud passe par la propre zone démilitarisée (DMZ), une zone tampon qui sépare le réseau externe (Internet) du réseau interne à l’aide de règles de communication strictes et de pare-feu. Toutes les filiales sont connectées au centre de données du siège principal par le biais des connexions WAN (MPLS/VPN) et accèdent ainsi à des services Internet et cloud. Cela présente plusieurs inconvénients: tout le trafic réseau doit passer par le centre de données (backhauling), ce qui entraîne des goulets d’étranglement du trafic de données. La solution serait d’augmenter la bande passante, mais cela engendrerait des coûts et un travail supplémentaires.
Transition vers une interconnexion décentralisée et une sécurité basée sur le cloud
La grande complexité des réseaux actuels (p. ex. la microsegmentation), l’augmentation du trafic de données ainsi que la répartition des sources de données et des utilisateurs nécessitent une architecture de sécurité basée sur le cloud pour faire face aux cybermenaces croissantes. La sécurité locale traditionnelle est de plus en plus dépassée par ces exigences.
À l’ère du cloud et du travail décentralisé, les entreprises misent de plus en plus sur les architectures SD-WAN: l’accès à Internet ne passe plus obligatoirement par le centre de données du siège principal de l’entreprise, mais directement par le routeur du site concerné (Direct Internet Access, en abrégé DIA). Cela permet de réduire significativement les temps de latence et d’améliorer la convivialité. L’Overlay du réseau basé sur le logiciel permet de gérer et de configurer de manière centralisée les propriétés du réseau pour tous les sites de l’entreprise, et d’avoir à tout moment une vue d’ensemble de l’état du réseau de l’entreprise. Dans ce modèle, la sécurité est encore implémentée localement, généralement au siège principal ou en partie dans les appareils des sites extérieurs. De plus, le trafic de données pour les accès à distance est toujours acheminé par le centre de données.
Le Secure Service Edge (SSE) est un concept de sécurité basé sur le cloud qui se concentre sur la protection des données, des applications et des utilisateurs en apportant des fonctionnalités de sécurité directement au point d’accès au réseau (Edge). En tant que solution de sécurité complète, le SSE offre des fonctions de protection centralisées, notamment:
Zero Trust Network Access (ZTNA): accès spécifique à l’application aux apps privées avec attribution minimale des droits.
Cloud Access Security Broker (CASB): contrôle d’accès pour les applications cloud, y compris Data Loss Prevention (DLP).
VPN as a Service (VPNaaS): service VPN basé sur le cloud pour le travail à distance sécurisé.
Firewall as a Service (FWaaS): protection complète contre les menaces à partir du cloud.
Secure Web Gateway (SWG): filtrage de contenu, analyse des logiciels malveillants et contrôle des applications pour le trafic web.
Grâce au SASE, tous les accès au réseau et au cloud sont sécurisés, que l’utilisateur se trouve à l’intérieur ou à l’extérieur du réseau de l’entreprise.