La nouvelle génération de sécurité réseau vient du Cloud

Partagez l'article   
< retour au blog
nir-zuk-nuabulle

Traduit de l'article de Nir Zuk, fondateur et CTO de Palo Alto Networks

Les applications migrant vers le Cloud et la mobilité des utilisateurs allant s'accroissant, la façon dont les fonctions réseau et la sécurité réseau doivent être mis en place, change. Le futur de la sécurité réseau réside dans le Cloud, et ce nouveau modèle est connu sous le nom de SASE (prononcer "sassy") pour "Secure Access Service Edge". Fondateur et CTO de Palo Alto Networks, Nir Zuk a conduit ce changement ces dernières années avec la gamme de produits PrismaTM Access, solution SASE la plus complète. Ci-après, Nir explique pourquoi SASE est l'évolution logique de la sécurité réseau. C'est le premier article d'une série qui va explorer les éléments fondamentaux d'une solution SASE intégrée et efficace, et plus largement ses implications et modes d'instauration.

 

Capture d’écran 2019-11-19 à 16.25.34

Dans un monde tiré par le Cloud, la sécurité se doit d'être unifiée, cohérente et mise à disposition à partir du Cloud dont elle assure aussi la protection. Ce principe transcende ma carrière entière dans la sécurité, qui a nécessité une remise en question permanente pour rester en phase avec le progrès des technologies et la sécurité des utilisateurs, des applications et des données. C'est toujours un focus. Cependant, s'agissant du futur de la sécurité réseau et de la convergence qui s'annonce, l'approche traditionnelle par produit n'est plus la plus efficace.

Il y a presque 25 ans, j'étais le principal développeur du premier firewall du type stateful inspection. C'était les premiers moments de l'Internet et, à cette époque, la technologie prédominante pour les firewalls était les listes ACL (Access Control List) stateless. Or les ACLs n'étant pas du tout adaptées à l'émergence des applications Internet stateful comme l'audio ou la vidéo (ni même le bon vieux FTP), une nouvelle approche était clairement nécessaire. Les tentatives visant à utiliser les technologies Proxy se sont révélées futiles car les proxys étaient trop lents et avaient la fâcheuse tendance à provoquer la rupture de nombre de ces applications. La stateful inspection s'est avérée à la fois utile et sécurisée, et c'est pourquoi elle a dominé le marché de la sécurité réseau depuis lors.

Il y a presque 15 ans, il est devenu flagrant que l'explosion du nombre d'applications Internet devenait un défi pour l'inspection stateful et qu'une nouvelle orientation devait à nouveau être prise. Quelques tentatives pour répondre avec les technologies de proxys ont émergé (pour la deuxième fois !). Elles ont échoué, une fois de plus, à cause de la faiblesse de leurs performances et leur incapacité à inspecter tous les types de trafic. J'ai alors ressenti à nouveau le besoin de rétablir la situation, ce qui m'a poussé à créer Palo Alto Networks et à imaginer un remplaçant à l'inspection stateful -le firewall nouvelle génération basé sur App-ID- qui est devenu aujourd'hui, et de loin, le leader sur le marché des pare-feux.

Aujourd'hui, nous assistons encore à un nouveau changement dans les applications qui induit une évolution de la sécurité réseau. Cette fois, les applications se déplacent des data centers des entreprises vers le Cloud -en SaaS ou en Cloud public. L'adoption du Cloud remet encore en question l'architecture du firewall et me met à nouveau au défi. Et oui, de premières tentatives à base de proxy se sont soldées par des échecs pour les mêmes raisons que précédemment.

Il est temps de réparer la sécurité réseau. Encore une fois.

Au fil du temps, les organisations ont fait l'assemblage de bien des infrastructures de sécurité réseau. Il y en a pour sécuriser les sites distants, où le trafic est typiquement redirigé avec un réseau IP-VPN (type MPLS) vers le siège ou le data center d'entreprise et le trafic Internet est routé à partir de là à travers la couche de sécurité réseau de l'organisation. Et puis il y a l'infrastructure de sécurité réseau pour autoriser l'accès distant au data center de l'entreprise.

Comme les applications sont migrées dans le Cloud, l'ancienne méthode consistant à forcer le trafic de tous les sites, tous les utilisateurs et partenaires à passer via un site central n'a plus grand sens. Il devient clairement plus évident de plutôt mettre en place la même couche de sécurité réseau dans le Cloud : le trafic concerné n'a plus à encombrer ni menacer éventuellement les sites centraux.

En proposant la sécurité réseau dans le Cloud, vous pouvez protéger les utilisateurs, les applications et les données, peu importe où ils se trouvent.

SASE : Un "partout" plus sécurisé

Gartner vient de proposer un nouveau modèle pour la mise en réseau et la sécurité réseau dans le Cloud, sous la désignation de "secure access service edge", ou SASE. Selon les mots du Gartner :

"Le SASE est une offre émergente combinant les capacités WAN à toutes les fonctions de sécurité réseau (SWG, CASB, FWaaS et ZTNA) pour répondre aux besoins des accès dynamiques sécurisés des entreprises à l'ère du numérique."

Effectivement, le Gartner avance que le SASE peut répondre aux exigences des environnements Cloud et mobiles, relevant le défi imposé aux architectures réseau et sécurité traditionnelles.

Je suis tout-à-fait d'accord avec ce concept, et dans mon esprit, c'est relativement simple. SASE est la convergence de différentes méthodes d'accès et de sécurité réseau au sein d'une même plateforme. Peut-être plus important encore, cette même plateforme doit assurer un rendu transparent pour l'utilisateur. Elle doit être construite sur un réseau global haute performance, ce qui est hors de portée de la plupart des acteurs de moindre taille. SASE exige un niveau d'intégration sans précédent dans l'industrie de la sécurité. Ce n'est pas comme dans d'autres domaines du marché fragmenté de la sécurité qui ont des barrières-à-l'entrée plus basses.

L'industrie de la cybersécurité s'est efforcé de convaincre les clients qu'ils devaient travailler avec des douzaines de fournisseurs et utiliser des douzaines de technologies et de produits ponctuels. Mais finalement, le futur de la sécurité réseau est dans le Cloud, et les fournisseurs de sécurité doivent maintenant évoluer pour être capable de véritablement sécuriser leurs clients partout où ils se trouvent.

Chez Palo Alto Networks, nous avons vu cela arriver et avons construit une solution SASE adéquate. PRISMA ACCESS fournit ainsi la mise en réseau et la sécurité réseau dont les entreprises ont besoin dans une architecture conçue pour tous les types de trafic, toutes les applications et tous les utilisateurs.

 

Capture d’écran 2019-11-19 à 16.18.47

Visionnez la vidéo (1h30) de Nir Zuk et Lee Klarich, chief product officer, sur scène lors de la conférence à Barcelone le 13 novembre dernier.

 

Inscrivez-vous pour lire le papier du Gartner sur le SASE : The Future Of Network Security Is In The Cloud.

Par C.G, le novembre 19, 2019

Cet article fait partie des topics

Palo Alto Networks