Guide ultime du SASE et des meilleurs outils SASE
SIXsignifie ' Bord du service d'accès sécurisé ». Il s'agit d'une méthode permettant de créer des connexions sécurisées entre des sites sur Internet. C'est comme transformer l'espace entre les réseaux d'entreprise en un seul système privé , permettant au gestionnaire de réseau de traiter un réseau fragmenté comme un tout sécurisé.
Plusieurs technologies connexes aident à composer un système SASE. Comprendre les concepts qui se chevauchent et émergent en matière de sécurité WAN permet de mieux définir la signification du SASE et son objectif.
Si vous êtes ici uniquement pour les outils, voici notre liste des quatre meilleurs outils SASE :
- Périmètre 81 CHOIX DE LA RÉDACTIONUne plateforme flexible avec des combinaisons de services adaptables qui vous permettent d'assembler votre stratégie SASE.
- Cloudflare Un Un ensemble de produits Cloudflare préexistants qui créent des réseaux et des services virtualisés sécurisés.
- Zscaler SASE Une plateforme complète de services qui fonctionne en centralisant des applications ou des données.
- Systèmes ouverts SASE Un fournisseur concurrent attrayant avec la possibilité de déploiement sur site.
Nous fournissons également des critiques complètes à la fin de l’article.
SD-WAN et SASE
Un SASE est un raffinement du SD-WAN concept. SD-WAN signifie « réseau étendu défini par logiciel ». Dans cette technologie, le logiciel de gestion de réseau superpose une structure d'adresses IP sur des liaisons réseau privées qui ne sont pas fixes mais fournies par des connexions intermittentes sur Internet.
En poussant un peu plus loin le concept SD-WAN, il est possible de supprimer complètement le réseau interne. Cette idée intéresserait particulièrement les entreprises qui gèrent bureaux virtuels . Avec la stratégie de bureau virtuel, personne ne reste assis dans le bureau de l'entreprise. Au lieu de cela, ils travaillent à domicile ou sont en permanence sur le terrain.
Le numéro de téléphone d'entreprise peut être hébergé sur un échange basé sur le cloud et mapper l'extension interne aux téléphones réels, éventuellement aux appareils mobiles, appartenant à chaque travailleur. De même, le réseau d'entreprise est une série de connexions ponctuelles forgés sur Internet en fonction des besoins.
Tout comme le central téléphonique Cloud donne l'impression au monde extérieur qu'ils ont affaire à un groupe de personnes hébergées au même endroit, le SD-WAN donne à ces travailleurs l'impression qu'ils sont connecté à un réseau d'entreprise et peuvent communiquer entre eux aussi facilement que s'ils se trouvaient tous dans le même bâtiment.
En attendant, le logiciel SD-WAN présente un aperçu de une structure de réseau , qui n'est qu'une série de pointeurs vers des personnes. Par exemple, considérons les points de terminaison sur un réseau. Considérez qu'un appareil doté d'une adresse IP peut être une tablette plutôt qu'un ordinateur de bureau. À mesure que le commercial qui utilise cet appareil se déplace à travers le pays, son emplacement au sein du réseau semble rester au même endroit.
La médiation du Logiciel SD-WAN signifie que le gestionnaire de réseau n’a pas besoin de savoir où se trouve chaque nœud ; le système peut être géré depuis une structure imaginaire plutôt que de se préoccuper de l’infrastructure physique sous-jacente réelle.
Avec un système SASE, le logiciel SD-WAN est hébergé dans le cloud et proposé sous forme de plateforme SaaS ; l'administrateur réseau n'a pas besoin d'être au même endroit pour accéder au tableau de bord du système, disponible via un navigateur Web.
Étant en état d'expansion, l'entreprise peut changer régulièrement d'emplacement de bureaux et même ajouter des emplacements temporaires et opérer surgir prises électriques. De plus, l'administrateur réseau peut intégrer des consultants sous contrat à court terme dans l'équipe sans remapper aucun des réseaux. En bref, peu importe où se trouve réellement quelqu’un ou quel matériel physique réel le connecte au réseau.
CASB et SASE
CASB signifie « courtier en sécurité d'accès au cloud .» L’abréviation se prononce « cass-être ». Il impose politiques de sécurité entre les utilisateurs des services cloud et les ressources cloud. Pour fonctionner, le CASB doit examiner tout le trafic du réseau virtuel. Par conséquent, tout le trafic passe par le serveur CASB. Pendant son passage, le CASB met en œuvre des procédures de sécurité et extrait des informations pour rapports de sécurité .
Comme SASE combine la technologie SD-WAN avec des processus de sécurité, il a besoin d'un nœud CASB pour remplir son objectif. Par conséquent, CASB est le moteur qui implémente SASE sur un SD-WAN.
Le CASB est un serveur d'authentification. C'est comme le Active Directory pour votre réseau imaginaire créé par le SD-WAN. Pendant qu'il effectue son processus d'authentification, le système CASB peut également enregistrer quel utilisateur a accédé à quelle ressource et pendant combien de temps. Il s'agit d'informations cruciales sur la piste d'audit pour conformité aux normes de confidentialité des données .
SWG, FWaaS et SASE
SWG signifie « passerelle Web sécurisée ». C'est, à toutes fins utiles, un pare-feu . Le SWG vérifiera le trafic sortant ainsi que le trafic entrant. La fonction de pare-feu standard empêche les acteurs malveillants d'accéder et filtre les logiciels malveillants. Le pare-feu inversé inspecte toutes les transmissions sortantes, ce qui lui permet d’empêcher le vol de données.
Le SWG peut être implémenté sur site sur une appliance réseau ou en tant que un service de pointe sur un serveur distant. Le SWG est appelé « pare-feu en tant que service » (FWaaS) dans le scénario de service Edge.
Étant donné que le SASE met en œuvre la sécurité du réseau ainsi que la virtualisation du réseau, il doit exécuter des fonctions FWaaS. Ce service peut être implémenté en tant que SWG sur chaque site ou en tant que FWaaS fonctionnant comme un proxy . Si le pare-feu de chacun de vos sites est un proxy de pré-filtrage basé quelque part dans le cloud, il n'est pas très compliqué de comprendre que la fonction de pare-feu de tous les sites peut être exécutée à partir de le même service et contrôlé à partir d’un seul tableau de bord.
VPN et SASE
Si le pare-feu du réseau n'est pas sur place mais est fourni par un serveur SaaS ailleurs, il existe une faille de sécurité entre ce pare-feu et la limite physique du réseau. Un VPN sécurise l’écart.
Le VPN est un « réseau privé virtuel ». Cela signifie que les processus logiciels créent le même niveau de confidentialité pour les transmissions Internet lorsque les paquets transitent un réseau privé expérience. Non seulement personne de l’extérieur ne peut entrer dans le trafic, mais ils ne peuvent pas non plus lire les en-têtes des paquets pour identifier la source et la destination réelles du paquet. Le chiffrement du corps d'un paquet crée sécurité , le chiffrement que l'en-tête d'un paquet crée confidentialité .
Le SASE crée un centre , lequel est un service de pointe . C'est comme un commutateur réseau très occupé, reliant tous les sous-réseaux du réseau. Par exemple, un câble virtuel sortant du commutateur peut aller à un seul appareil cela pourrait être sur le bureau d'un télétravailleur dans une maison quelque part. Un autre câble virtuel a conduit à un appareil mobile à New York hier et à Tulsa aujourd'hui. Un autre câble virtuel mène à tout un réseau de bureaux desservant une centaine d'ordinateurs de bureau et d'imprimantes.
Lorsque l'administrateur réseau regarde le carte de topologie du réseau , chaque câble mène à un appareil avec une adresse IP, et toutes les connexions sont à la fois sécurisées et privées.
Converger virtualisation et sécurité
Après avoir examiné tous ces éléments des services Edge : virtualisation du réseau, gestion des droits d'accès, sécurité du système, prévention des pertes de données, protection des connexions, surveillance des performances du réseau, surveillance de la sécurité et conformité aux normes, vous pouvez voir que toutes ces fonctions peuvent être centralisé . C'est le SASE.
Un FWaaS doit acheminer tout le trafic entrant et sortant d’un site via lui. Comme cela a déjà été expliqué, les pare-feu de tous les sites peuvent être fusionnés en un seul, ce qui crée un point central pour tout le trafic de l'entreprise, aussi bien pour le trafic qui circule en interne que pour le trafic qui communique avec des sites externes.
Comme tout le trafic passe par le pare-feu du service Edge fusionné, Fonctions CASB peuvent tous être effectués à cet endroit précis. Les logiciels de surveillance peuvent également enregistrer des mesures simultanément et les VPN protègent toutes les connexions vers tous les emplacements.
Implémentation du SASE
Comme SASE est un service de pointe , vous pouvez vous attendre à obtenir l’intégralité du package de virtualisation du réseau et de sécurité du système d’un seul fournisseur. Par conséquent, les grandes organisations pourraient préférer configurer leur SASE en louant un espace sur un serveur cloud et en y installant tous les éléments logiciels nécessaires. Toutefois, il est plus courant de souscrire un abonnement à un abonnement existant. Plateforme SaaS qui fournit un package SASE.
Notre méthodologie de sélection d'une plateforme SASE
Nous avons examiné le marché des systèmes SASE et analysé les options en fonction des critères suivants :
- Un package sécurisé avec un cryptage solide pour les connexions
- Sécurité du compte pour empêcher l'intrusion du hub central et du magasin de données
- Espace de stockage cloud inclus pour les journaux d'activité
- Un service conforme aux normes de sécurité des données
- Un système de gestion de réseau rapide et facile à utiliser
- Une période d’évaluation gratuite ou un système de démonstration
- Un package complet sans frais d’installation ni période de blocage
À l’aide de cet ensemble de critères, nous avons recherché une gamme de systèmes SASE évolutifs adaptés aux entreprises de toutes tailles et offrant une flexibilité aux startups à croissance rapide.
Les meilleurs outils SASE
1. Périmètre 81 CHOIX DE LA RÉDACTION
Le Périmètre 81 SASE La plateforme offre tous les éléments d'un SASE, tels que le Firewall as a Service, les services Edge pour l'accès aux applications ou l'accès au réseau, centré sur l'utilisateur architecture réseau et VPN afin que vous puissiez créer un SASE en souscrivant à des abonnements à tous les services ou simplement en choisissant les parties qui vous conviennent.
C'est l'ultime la flexibilité parce que vous n’êtes pas limité à une architecture imposée : vous pouvez choisir et mélanger pour créer votre système. Par exemple, placez les clients de passerelle au périmètre de votre réseau domestique ou placez-les sur chaque point de terminaison dans un bureau virtuel pour mettre en œuvre une virtualisation complète avec sécurité intégrée pour une équipe distribuée.
Principales caractéristiques:
- Accès aux applications Zero Trust
- Réseautage Zero Trust
- Implémentations VPN flexibles, telles que le tunneling fractionné
- Intégrer les appareils appartenant aux utilisateurs
- Conformité aux normes
Toutes les opérations de cette plateforme SASE sont basées dans le cloud, mais vous devez installer un client VPN sur chaque passerelle Internet, ce qui peut signifier sur chaque point de terminaison. Cet agent agit également comme SD-WAN interprète d'adressage pour intégrer pleinement tous vos sites dans un seul réseau. Le prix est calculé avec une combinaison de frais par utilisateur et de passerelle. Il peut être payé au mois ou à l'année, rendant le service accessible à petites entreprises , start-ups et grandes organisations. Vous pouvez demander une démo pour évaluer le périmètre 81 SASE.
Avantages:
- Choisissez de protéger les réseaux avec une approche SD-WAN ou de mettre en œuvre une fourniture d'applications sécurisée à partir d'un serveur cloud central.
- Segmentez les utilisateurs en groupes quel que soit leur emplacement
- Modifiez la disposition de votre réseau avec des sous-réseaux et des DMZ sans tenir compte de l'emplacement réel des points de terminaison
- Utilisez cette fonctionnalité pour créer une banque de données principale centrale, sécurisée et étroitement surveillée.
- Intégrez les appareils appartenant aux utilisateurs permettant une utilisation privée en parallèle avec l'activité de l'entreprise sans compromettre la sécurité du réseau.
- Service VPN sécurisé de nouvelle génération
Les inconvénients:
- Nécessite une planification approfondie pour créer une simplification de votre prestation de services avec garantie car la plateforme est très flexible
LE CHOIX DES ÉDITEURS
Périmètre 81 est notre premier choix pour un outil SASE car il est très flexible. Vous ne disposez pas d’une solution universelle, mais avez plutôt la possibilité de décider jusqu’où vous souhaitez aller avec la virtualisation de votre réseau, en choisissant de remapper la fourniture de données, d’applications ou l’ensemble du réseau. De plus, la tarification évolutive par utilisateur est très attrayante pour les petites entreprises.
Demander une démo : https://www.perimeter81.com/demo
Système opérateur : Basé sur le cloud
deux. Cloudflare Un
Cloudflare Un est un produit SASE d'un fournisseur de sécurité bien connu qui a récemment élargi son menu de services Edge. La plateforme Cloudflare One regroupe parfaitement tous les services de pointe proposés par l'entreprise dans un hors de l'étagère emballer. Comme tout technologies contributives sont disponibles individuellement, vous n’êtes pas obligé de parcourir tout le parcours si seules certaines parties du concept vous intéressent.
Les éléments de cette plateforme sont CHAÎNE , qui propose une optimisation du réseau grâce à un réseau centré sur l'utilisateur ; la magie Transit , une solution SD-WAN, et Interconnexion réseau Cloudflare (CNI), une structure de centre de données, utilise le Argo service de routage.
Le package Cloudflare One vous offre un Accès réseau Zero Trust (ZTNA) et PPP pour la mise en œuvre du trafic FWaaS et prévention contre la perte de données . Vous pouvez utiliser le CDN Cloudflare pour protéger l'accès aux données ou délivrer toutes vos applications depuis un serveur cloud, en y contrôlant l'accès, filtrant ainsi l'accès aux données via le logiciel associé. Intégrez le réseau au service avec un passerelle Web sécurisée (SWG) et bénéficiez du standard Cloudflare Protection contre les attaques DDoS .
Principales caractéristiques:
- Un package complet ou une carte de services
- Protéger le réseau, les applications ou les données
- Un leader reconnu des services Edge
Cloudflare est très doué pour proposer des versions gratuites ou des essais gratuits à ses services mais, comme Cloudflare Un est un nouveau service et si flexible qu'il ne fournit même pas de compte de démonstration automatisé pour ce package. Alors à la place, tu dois demander une consultation pour commencer votre parcours d’acheteur.
Avantages:
- Des services flexibles qui vous permettent de choisir comment virtualiser
- Une marque bien établie et fiable
- Se connecte aux services Cloudflare établis, tels que la protection CDN ou DDoS
Les inconvénients:
- Pas d'essai gratuit ni de compte démo
3. Zscaler SASE
ZScaler propose une gamme de services qui vous permettent de mettre en œuvre SIX en différentes manières. Par exemple, choisissez d'héberger tous vos applications sur le serveur Zscaler et laissez-le mettre en œuvre des contrôles d'accès ou installez un programme de passerelle sur votre réseau et laissez Zscaler rassembler le trafic sur Internet en fournissant un Superposition IP . Vous pouvez également choisir de centraliser le stockage des données et protégez l’accès à cela ou mettez en œuvre toutes les combinaisons ci-dessus.
Protégez les points de terminaison individuels, y compris appareils mobiles, en les intégrant à votre réseau domestique ou en virtualisant tout et tout le monde. Le système Zsacaler met en œuvre la détection des menaces, les contrôles d'accès et journalisation des activités pour l'audit de conformité, que chaque stratégie de sécurité que vous mettez en œuvre.
Principales caractéristiques:
- Virtualisez l'ensemble du réseau ou intégrez des travailleurs à distance
- Centraliser les contrôles sur les applications ou les données
- Offre 150 emplacements de centres de données
Zscaler ne publie pas de liste de prix. Cependant, vous pouvez demander une démo pour avoir un aperçu de ses services.
Avantages:
- Offre un choix de modèles de sécurité et d'accès
- Tous les services basés sur le cloud
- Intégrez l’intégralité d’un réseau avec le déploiement d’un agent comme passerelle
Les inconvénients:
- Pas d'essai gratuit
Quatre. Systèmes ouverts SASE
Systèmes ouverts vous offre une solution hybride qui masque la plate-forme sous-jacente de vos ressources, afin que vous puissiez combiner les services cloud et les serveurs sur site dans un système unifié pour vos utilisateurs. Ce Solution SASE rassemble le SD-WAN, la surveillance du réseau et la sécurité de la livraison pour former un SASE.
Contrairement aux autres outils de cette liste, Open System propose un déploiement sur site option pour ce SASE, vous pouvez donc choisir de l'exécuter vous-même au lieu d'utiliser une plate-forme SaaS. Cependant, la voie SaaS est également disponible.
Principales caractéristiques:
- Inclut SWG, SD-WAN, NGFW, CASB et IPS
- Intègre l’audit et la surveillance
- Offre une détection des menaces et une protection des données
Offres Systèmes Ouverts trois niveaux de forfait , ce qui signifie que vous n'avez pas à payer pour tous les éléments de service si vous choisissez une stratégie de virtualisation qui ne nécessite que des services spécifiques. Le service est évolutif et conviendrait à petites entreprises et des start-ups, ainsi que de grandes multinationales. L’entreprise ne publie pas de liste de prix et ne propose pas de démo. Au lieu de cela, vous devez demander un devis pour trouver un point d'entrée dans le processus d'achat.
Avantages:
- Options flexibles fournies par trois plans de service pour s'adapter à différentes stratégies de virtualisation
- Un service compétent offert par une marque de confiance
- Option de déploiement sur site
Les inconvénients:
- ZTNA et CASB sont des services complémentaires
- Pas d'essai gratuit ni de démo