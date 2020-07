Il faut plus que du marketing pour mettre en œuvre une solution SASE

juillet 2020 par Samantha Madrid, VP Security Business and Strategy, Juniper Networks

Soutenir les équipes distantes de manière souple tout en contrôlant les coûts n’est pas nouveau. Mais jamais cette tâche n’a eu autant d’importance qu’aujourd’hui. Non seulement le nombre de travailleurs distants a augmenté, ce qui promet d’être la nouvelle (et meilleure ?) norme, mais les entreprises réfléchissent en parallèle à la manière de faire revenir les collaborateurs au sein des entreprises, en toute sécurité, en délaissant les grands bureaux d’entreprise à forte densité pour des sites plus décentrés en région.

Si une connectivité réseau fiable est le prérequis de l’efficacité opérationnelle, elle doit être associée à de solides politiques de sécurité de l’information en vue de protéger les appareils et les données. L’augmentation du nombre de travailleurs distants complique la situation en plaçant les employés en dehors du modèle traditionnel d’accès sécurisé sur site et hors de portée physique du personnel informatique pour le support et l’administration.

Dans le même temps, les entreprises poursuivent leur quête d’un meilleur moyen de fournir un accès rapide, sécurisé et fiable aux applications hébergées dans le cloud. Le passage des datacenters centralisés au SaaS hébergé dans le cloud se fait rapidement, ce qui signifie que la manière dont le trafic est acheminé, inspecté et sécurisé doit également changer.

En 2019, Gartner a introduit un nouveau concept, le Secure Access Service Edge (SASE), devant servir de cadre pour la réponse à cette nouvelle dynamique.

Il repose sur les principes fondamentaux suivants :

• Des architectures hébergées dans le cloud, afin que les services puissent être facilement déployés à la demande et mis à l’échelle.

• Des politiques de sécurité axées sur l’identité, qui permettent de personnaliser l’accès au réseau et le niveau de sécurité en fonction des besoins individuels des utilisateurs.

• L’inspection/application localisée des politiques, afin de fournir des applications et des services aussi près que possible des utilisateurs pour minimiser la latence.

Alors que le SASE ne va bientôt plus être une simple tendance émergente mais une réalité, des fournisseurs comme Juniper construisent aujourd’hui les fondations de cet important changement d’architecture. Vous trouverez ci-dessous les moyens mis en œuvre pour y parvenir et les avantages qui vont permettre à Juniper de se positionner dans l’espace SASE émergent et de s’y imposer en tant que leader.

La mentalité “cloud first”

Juniper a depuis longtemps compris la nécessité de disposer de solutions évolutives, résilientes et agiles hébergées dans un cloud moderne, le tout associé à des API ouvertes pour une programmation facile. Ces spécificités font aujourd’hui la renommée de Juniper Networks. Cette approche facilite le fonctionnement des solutions SASE, où qu’elles soient et à tout moment, depuis le provisionnement automatisé (ZTP) des dispositifs CPE comme le pare-feu Juniper SRX Series, jusqu’à la configuration et la surveillance à distance des politiques sécurité, réseau et applicatives. Cela devient particulièrement important à mesure que le secteur passe des environnements SD-WAN traditionnels, qui reposent sur des politiques statiques, à une nouvelle ère de solutions axées sur l’intelligence artificielle, qui tire parti de l’automatisation et des informations recueillies en temps réel pour optimiser l’expérience des utilisateurs, depuis le poste client jusqu’au cloud. Les capacités de Juniper en matière de réseaux LAN, WAN et de sécurité, associées à un moteur d’intelligence artificielle unifié, permettent de tenir cette promesse.

Dans le cloud, les charges de travail peuvent être très dynamiques et élastiques, avec des ajouts, des déplacements et des changements fréquents. Cela peut compliquer l’association des politiques SASE à l’instanciation de la charge de travail ainsi que le suivi du respect des politiques (performances réseau / conformité aux règles sécurité) tandis que la charge de travail transite. Juniper relève ces défis avec des versions virtuelles et conteneurisées de son SRX (respectivement le vSRX et le cSRX), qui peuvent être aisément déployées selon les besoins et configurées avec des politiques d’accès au réseau et de sécurité dynamiques qui s’adaptent aux changements des charges de travail.

Un focus sur l’expérience utilisateur

En ce qui concerne l’accès au réseau dans un environnement SASE, trois éléments principaux peuvent avoir un impact sur l’expérience de l’utilisateur :

La disponibilité : Le lien WAN est-il opérationnel ?

La qualité : La perte de paquets, l’encombrement ou d’autres paramètres du réseau et des applications ont-ils un effet négatif sur l’acheminement du trafic ?

La capacité : La bande passante est-elle suffisante (soit par un seul lien, soit par plusieurs liens) pour répondre aux besoins de trafic ?

Alors que les solutions SD-WAN traditionnelles examinent les conditions du réseau et des applications dans le but d’optimiser les éléments évoqués précédemment, il leur manque un élément clé : la visibilité de l’expérience réelle de l’utilisateur. Malheureusement, "fonctionnel" n’est pas synonyme de "satisfaisant".

En d’autres termes, ce n’est pas parce qu’un lien WAN fait effectivement passer le trafic que les utilisateurs de ce lien ont une bonne expérience sur Zoom. En outre, comment un administrateur informatique peut-il savoir si un changement de réseau étendu (c’est-à-dire le passage d’une connexion active à une autre) a amélioré ou détérioré l’expérience de l’utilisateur ? Il n’existe pas de boucle de rétroaction permettant aux administrateurs informatiques de définir et de surveiller les expériences de niveau de service (SLE) WAN personnalisables et de prendre des mesures automatisées pour garantir une expérience optimale aux utilisateurs.

Juniper utilise l’intelligence artificielle pour les remontées d’informations, l’automatisation et la prise de décision au travers du LAN, du WLAN et du WAN pour optimiser l’expérience utilisateur de bout en bout. Cela comprend des attentes de niveau de service (SLE) personnalisées, la corrélation des événements sur le réseau local et le réseau étendu pour une isolation et une résolution rapide des pannes, une assistance basée sur l’IA avec des notifications proactives et un assistant réseau virtuel (VNA) interactif appelé Marvis pour fournir des recommandations d’actions et/ou maintenir le réseau de manière autonome.

Comme son nom l’indique, la sécurité est également un élément essentiel de l’expérience utilisateur SASE. En intégrant les éléments de réseau et de sécurité dans une plateforme unique, les clients de Juniper peuvent profiter de manière transparente et rentable de services de sécurité avancés tels que Application Security pour une visibilité et un contrôle plus larges, ou Advanced Threat Prevention, Intrusion Detection and Prevention associée à Data Loss Prevention. Le tout sans aucun matériel ou logiciel supplémentaire. Juniper Advanced Threat Prevention (ATP), par exemple, est un service cloud qui offre une protection avancée complète contre les malwares. Les clients SASE peuvent identifier les nouveaux logiciels malveillants et les attaques ciblées et s’en prémunir, atténuer les risques en mettant à jour les contrôles de sécurité existants pour se défendre non seulement contre les menaces identifiées mais aussi celles qui sont inconnues, réduire le temps et le coût de la remédiation des menaces et, globalement, réduire l’exposition aux menaces avancées.

Juniper Connected Security

En faisant converger la sécurité et le réseau au sein d’une solution unifiée, Juniper rend possible la visualisation, l’automatisation et la protection de chaque point d’une connexion SASE. Ce concept, connu sous le nom de Juniper Connected Security, permet au réseau d’être conscient des menaces, et permet de détecter et d’appliquer des politiques de sécurité à chaque point de connexion du réseau, depuis le poste client jusqu’au cloud. Parallèlement, l’analyse et l’intelligence concernant les menaces permettent de mieux comprendre et prévenir les comportements à risque des utilisateurs ou des appareils. L’orchestration des pare-feux permet aux équipes informatiques de mettre en œuvre automatiquement des mesures de blocage. Ces mesures peuvent prendre la forme d’une politique de pare-feu, s’appliquer au port d’un switch, à l’adresse MAC d’un point d’accès ou encore à un terminal (via des systèmes de commande de contrôle ou la mise en quarantaine de tous les hôtes infectés).

En association avec ATP, Juniper peut orchestrer les changements de règles pour toutes les combinaisons possibles d’équipements pourvu qu’ils soient pris en charge, et proposer en temps réel des réponses automatisées aux menaces au point de connexion de l’utilisateur (quel que soit l’endroit où il se trouve sur le réseau). Cette fonctionnalité, appelée SecIntel (Security Intelligence), est un élément essentiel de la stratégie Connected Security de Juniper. SecIntel fournit des informations ciblées, consolidées et exploitables aux pare-feu SRX Series, aux routeurs MX Series, aux switches EX et QFX Series et aux points d’accès Mist AP de Juniper, ainsi qu’aux périphériques réseau tiers, afin de protéger les utilisateurs là où c’est essentiel, en réduisant l’impact partout ailleurs.

"A partir du moment où les os sont bons, le reste compte peu."

Dans le cas de SASE, il me semble que cette citation (que l’on doit à la chanteuse Maren Morris) s’applique à merveille à Juniper. Nous avons les bons éléments en place pour fournir une solution SASE convaincante, notamment des offres cloud robustes, une attention portée à l’expérience utilisateurs et un ensemble d’outils adaptés à l’inspection du trafic de bout en bout et l’application des politiques réseau et sécurité en temps réel. Alors que l’espace SASE continue d’évoluer, Juniper entend s’y renforcer avec de nouvelles fonctionnalités, des partenariats et des cas d’usage qui nous démarqueront de la concurrence et apporteront une réelle valeur ajoutée à nos clients en matière d’accès au réseau et de sécurité.