SSE (Security Service Edge)

Qu’est-ce que le SSE (Security Service Edge) ?

Une solution SSE sécurise l’accès à distance au web, aux services cloud et aux applications privées.

Traditionnellement, les entreprises hébergeaient leurs applications de manière centralisée dans des datacenters, ce qui facilitait la mise en œuvre de dispositifs d’inspection de sécurité tels que les pare-feu et les systèmes de détection et de prévention des intrusions (IDS/IPS). Avec la migration des applications vers le cloud et les initiatives de travail à distance, les entreprises ont désormais du mal à protéger leurs applications contre les menaces externes, dans la mesure où elles opèrent dans des environnements distribués qui sortent du périmètre de sécurité traditionnel. Les infrastructures réseau existantes ne permettent pas au département informatique de surveiller toutes les connexions entre les utilisateurs et les applications SaaS. En outre, le fait de diriger le trafic destiné au cloud vers le datacenter pour une inspection de sécurité détériore considérablement les performances et l’expérience utilisateur des applications.

Les solutions SSE (Security Service Edge) sont des services déployés dans le cloud qui permettent aux entreprises d’effectuer des inspections de sécurité avancées au plus près des points de terminaison, et en particulier des utilisateurs et des appareils. Elles créent un périmètre de sécurité dynamique conjuguant protection contre les menaces, sécurité des données, surveillance de sécurité et contrôle d’accès quel que soit le lieu de connexion des utilisateurs.

Le SSE (Security Service Edge) réunit quatre composantes de sécurité essentielles :

• Le ZTNA part du principe que, par défaut, aucun utilisateur n’est suffisamment digne de confiance pour accéder à quoi que ce soit, et ce, jusqu’à preuve du contraire. Contrairement à un VPN, qui octroie aux utilisateurs connectés un large accès au réseau de l’entreprise, le ZTNA met en œuvre un courtier de confiance pour limiter cet accès aux seules applications ou microsegments spécifiques explicitement approuvés pour l’utilisateur donné.
• Le CASB identifie et détecte les données sensibles présentes dans les applications cloud, y compris l’accès de cloud à cloud, et applique des politiques de sécurité telles que l’authentification et la connexion unique (SSO, Single Sign On). Il empêche les utilisateurs de créer un compte sur une application cloud et d’utiliser cette dernière si elle n’est pas autorisée par les politiques du département informatique et les règles de sécurité de l’entreprise. Cela permet aux entreprises de réduire les problèmes de sécurité et de conformité liés au shadow IT.
• La SWG met en œuvre différentes techniques de défense afin de protéger l’entreprise des menaces basées sur le web. Elle s’interpose entre un utilisateur et un site Web, de sorte que l’utilisateur doit se connecter à cette solution SWG, qui effectue plusieurs inspections de sécurité – dont le filtrage des URL, la détection de code malveillant et le contrôle d’accès web – avant de rediriger le trafic vers le site web.
• Le pare-feu as-a-service (FWaaS) est un pare-feu basé sur le cloud qui analyse le trafic provenant de sources multiples. Il consolide le trafic provenant des différents sites exploités par l’entreprise, tels que le siège social et les succursales distantes, ainsi que des utilisateurs mobiles. Le FWaaS prend souvent en charge les contrôles d’accès critiques tels que la détection et la prévention des intrusions (IDS/IPS), la prévention avancée des menaces, le filtrage des URL et la sécurité DNS.
• D’autres services de sécurité peuvent être proposés en plus de ces fonctionnalités de base, comme la prévention de la perte de données (DLP), l’isolation du navigateur à distance (RBI) et le sandboxing.

• Le SSE fournit un accès à distance sécurisé. Le travail hybride étant la nouvelle norme, les entreprises doivent sécuriser leurs travailleurs à distance pour leur permettre de se connecter de n’importe où. Le SSE offre des capacités zero trust, qui partent du principe qu’aucun utilisateur n’est digne de confiance par défaut. Selon leur identification, les utilisateurs peuvent accéder à certaines parties du réseau et voir les Seules applications cloud pertinentes pour leur rôle dans l’entreprise, ce qui leur interdit l’accès et l’exploitation des données sensibles de l’entreprise.
• Le SSE protège les entreprises axées sur le cloud des menaces extérieures. L’accélération de la numérisation a entraîné une croissance parallèle de la cybercriminalité. La plupart des applications ayant migré vers le cloud, les entreprises doivent désormais en quête de solutions efficaces pour protéger leurs actifs numériques. Le SSE offre des fonctionnalités de pare-feu et protège les entreprises contre les menaces basées sur le web, au moyen de plusieurs techniques telles que le filtrage des URL et la détection de code malveillant. Grâce à ses fonctions CASB, il protège les données sensibles hébergées dans le cloud en appliquant des politiques de sécurité. D’autres fonctions de sécurité, telles que la technologie Remote Browser Isolation (RBI), isolent les utilisateurs d’Internet en reconstruisant des pages Web exemptes de code malveillant.
• Le SSE et le SD-WAN permettent de construire une architecture SASE sans compromis. Les entreprises ne pouvant se permettre aucun compromis en matière de sécurité, il importe qu’elles aient la liberté de choisir entre les deux options suivantes pour se protéger. Première option : une plateforme SASE unifiée émanant d’un fournisseur unique. Cette solution combine des capacités SD-WAN avancées et des fonctionnalités SSE. Elle offre une approche intégrée unifiée qui permet un déploiement rapide et une gestion simplifiée. La seconde option est une solution multifournisseur permettant à l’entreprise de sélectionner une plateforme SD-WAN avancée qui s’intègre étroitement avec plusieurs fournisseurs de sécurité cloud et simplifie la connectivité à partir de la plateforme SD-WAN. Cette solution flexible offre la possibilité de faire appel à des fournisseurs de sécurité cloud distincts selon les besoins.

• Une sécurité renforcée. Le SSE rapproche les services de sécurité de l’utilisateur et permet une approche plus souple de la connectivité en dehors des murs de l’entreprise. Hébergé dans le cloud, le SSE se met facilement à jour pour contrer les dernières menaces de sécurité, et les changements de politiques peuvent être immédiatement et automatiquement transmis aux utilisateurs distants, ce qui garantit une approche cohérente de la sécurité.
• Des opérations simplifiées. Le SSE unifie plusieurs services de sécurité sur une seule et même plateforme, ce qui a pour avantages d’éliminer les chevauchements ainsi que de dédupliquer et d’harmoniser les politiques de sécurité. Le SSE offre ainsi une meilleure visibilité sur les incidents de sécurité à partir d’un point central, tout en contribuant à rationaliser les opérations et à réduire les coûts.
• Un accès sécurisé. Le SSE favorise le travail hybride en fournissant un accès sécurisé aux applications depuis n’importe quel endroit et n’importe quel appareil selon le principe du moindre privilège. En outre, le SSE protège le personnel du trafic web malveillant et garantit la sécurité des données sensibles de l’entreprise. Associé au SD-WAN, il permet une connexion transparente et sécurisée du personnel des succursales au réseau de l’entreprise ou au cloud.