Prendre en charge une main-d’œuvre distribuée de manière agile et rentable n’est pas nouveau. Mais jamais cette tâche n’a eu autant d'importance qu’aujourd'hui. Non seulement le nombre de télétravailleurs a augmenté, ce qui promet d'être la nouvelle norme, mais les entreprises réfléchissent aussi à un nouveau mode de travail sûr en délaissant les grands bureaux d'entreprise à forte densité au profit de sites plus décentrés en région.
Si une connectivité réseau fiable est le prérequis de l’efficacité opérationnelle, elle doit être associée à de solides politiques de sécurité de l’information en vue de protéger les dispositifs et les données. L’augmentation du nombre de télétravailleurs complique la situation en plaçant les employés en dehors du modèle traditionnel d'accès sécurisé sur site et hors de portée physique du personnel informatique pour le dépannage et la gestion.
Dans le même temps, les entreprises poursuivent leur quête d'un meilleur moyen de fournir en toute sécurité un accès rapide et fiable aux applications hébergées dans le cloud. La transition des datacenters centralisés vers les solutions SaaS dans le cloud progresse rapidement. Cela implique de changer également la manière dont le trafic est acheminé, inspecté et sécurisé.
En 2019, Gartner a introduit un nouveau concept, le Secure Access Service Edge (SASE) devant servir de cadre pour aborder cette nouvelle dynamique. Celui-ci repose sur les principes fondamentaux suivants:
- Architectures hébergées dans le cloud, afin que les services puissent être facilement déployés à la demande et de manière évolutive;
- Politiques axées sur l’identité, permettant de personnaliser l'accès au réseau et la sécurité en fonction des besoins individuels des utilisateurs;
- Inspection/application localisée des politiques pour fournir des applications et services aussi près que possible des utilisateurs afin de minimiser la latence.
Alors que le SASE ne va bientôt plus être une simple tendance émergente mais une réalité, des fournisseurs comme Juniper jettent aujourd'hui les bases de cet important changement d’architecture. Voici ci-dessous les moyens mis en œuvre pour y parvenir et les avantages qui vont permettre à Juniper de se positionner dans l’espace SASE émergent et de s’y imposer en tant que leader.
La mentalité « cloud-first »
Juniper a depuis longtemps compris la nécessité de disposer de solutions évolutives, résilientes et agiles hébergées dans le cloud, le tout associé à des API ouvertes pour une programmation facile. Cette approche facilite le fonctionnement des solutions SASE, n’importe où et à tout moment, depuis le provisionnement automatisé (ZTP) des dispositifs CPE comme le pare-feu Juniper SRX Series jusqu’à la configuration et la surveillance à distance des politiques en matière de sécurité, de réseaux et d'applications. Ceci revêt une importance particulière à l'heure où le secteur passe des environnements SD-WAN traditionnels, qui reposent sur des politiques statiques, à une nouvelle ère de solutions axées sur l'intelligence artificielle, qui tirent parti de l'automatisation et de la connaissance en temps réel pour optimiser l'expérience utilisateur, depuis le poste client jusqu’au cloud. Les puissantes capacités de Juniper en termes de réseau LAN, WAN et de sécurité, combinées à un moteur d'intelligence artificielle unifié, leur permettent de tenir cette promesse.
Dans le cloud, les charges de travail peuvent être très dynamiques et élastiques, avec des ajouts, des déplacements et des changements fréquents. Cela peut rendre plus difficile la possibilité d'associer des politiques SASE à l'instanciation de la charge de travail et de suivre les politiques en fonction du déplacement de la charge de travail afin de garantir des performances réseau optimales et une conformité continue en matière de sécurité. Juniper relève ces défis avec des versions virtuelles et conteneurisées de son SRX (respectivement le vSRX et le cSRX), qui peuvent être facilement déployées selon les besoins et configurées à l’aide de règles de politique d’accès au réseau et de sécurité dynamiques s’adaptant aux variations de la charge de travail.
Une approche centrée sur l’expérience utilisateur
En matière d’accès réseau dans un environnement SASE, trois éléments principaux peuvent avoir un impact sur l’expérience utilisateur.
- Disponibilité: Le lien WAN est-il opérationnel?
- Qualité: La perte de paquets, l’encombrement ou d’autres paramètres du réseau et des applications ont-ils un effet négatif sur l’acheminement du trafic?
- Capacité: La bande passante est-elle suffisante (soit par un seul lien, soit par plusieurs liens) pour répondre aux besoins de trafic?
Alors que les solutions SD-WAN traditionnelles examinent les conditions du réseau et des applications dans le but d’optimiser les éléments susmentionnés, il leur manque un élément clé : la visibilité de l’expérience réelle de l’utilisateur. Malheureusement, « fonctionnel » ne veut pas dire « satisfaisant ». En d’autres termes, ce n’est pas parce qu’un lien WAN fait effectivement passer le trafic que les utilisateurs de ce lien ont une bonne expérience sur Zoom. En outre, comment un administrateur informatique peut-il savoir si un changement de réseau étendu (c’est-à-dire le passage d’une connexion active à une autre) a amélioré ou détérioré l’expérience utilisateur ? Cela a toujours été le point faible de tout réseau. Il n’existe pas de boucle de rétroaction permettant aux administrateurs informatiques de définir et de surveiller les expériences de niveau de service WAN personnalisables et de prendre des mesures automatisées pour garantir une expérience utilisateur optimale.
Juniper utilise l’intelligence artificielle pour les remontées d’informations, l’automatisation et la prise de décision au travers du LAN, du WLAN et du WAN pour optimiser l’expérience utilisateur de bout en bout. Cela comprend des attentes de niveau de service (SLE) personnalisées, la corrélation des événements sur le réseau local et le réseau étendu pour une isolation et une résolution rapide des pannes, une assistance basée sur l’IA avec des notifications proactives et un assistant réseau virtuel (VNA) interactif appelé Marvis pour fournir des recommandations d’actions et/ou maintenir le réseau de manière autonome.
Comme son nom l’indique, la sécurité est également un élément essentiel de l’expérience utilisateur SASE. En intégrant les éléments de réseau et de sécurité dans une plateforme unique, les clients de Juniper peuvent profiter de manière transparente et rentable de services de sécurité avancés tels que Application Security pour une visibilité et un contrôle plus larges, ou Advanced Threat Prevention, Intrusion Detection and Prevention associée à Data Loss Prevention. Le tout sans aucun matériel ou logiciel supplémentaire. Juniper Advanced Threat Prevention (ATP), par exemple, est un service cloud qui offre une protection avancée complète contre les logiciels malveillants. Les clients SASE peuvent identifier les vulnérabilités zero-day et les attaques ciblées et s’en prémunir, atténuer les risques en mettant à jour les contrôles de sécurité existants pour se défendre contre les menaces identifiées et celles qui sont inconnues, réduire le temps et le coût de la remédiation des menaces et, globalement, réduire l’exposition aux menaces avancées.
Juniper Connected Security
En faisant converger la sécurité et le réseau au sein d’une solution unifiée, Juniper rend possible la visualisation, l’automatisation et la protection de chaque point d’une connexion SASE. Ce concept, appelé Juniper Connected Security, permet au réseau d’être conscient des menaces, avec la capacité de détecter et d’appliquer des politiques de sécurité à chaque point de connexion du réseau, depuis le poste client jusqu’au cloud. Parallèlement, l’analyse et les renseignements sur les menaces permettent de mieux comprendre et prévenir les comportements à risque des utilisateurs ou des dispositifs. L’orchestration des pare-feux permet aux équipes informatiques de mettre en œuvre automatiquement des mesures correctives. Celles-ci peuvent prendre la forme d’une politique de pare-feu, s’appliquer à un port de commutateur, à l’adresse MAC d’un point d’accès ou encore à un endpoint (via des systèmes de commande de contrôle ou la mise en quarantaine de tous les hôtes infectés).
En association avec l’ATP, Juniper peut orchestrer les changements de règles pour toutes les combinaisons possibles de dispositifs pris en charge, et proposer en temps réel des réponses automatisées aux menaces au point de connexion de l’utilisateur (quel que soit l’endroit où il se trouve sur le réseau). Cette fonctionnalité, appelée SecIntel (Security Intelligence), est un élément essentiel de la stratégie Connected Security de Juniper. SecIntel fournit des informations ciblées, consolidées et exploitables aux pare-feux SRX Series, aux routeurs MX Series, aux commutateur EX et QFX Series et aux points d’accès Mist AP de Juniper, ainsi qu’aux périphériques réseau tiers, afin de protéger les utilisateurs là où c’est essentiel, en réduisant l’impact partout ailleurs.
« Quand l'ossature est bonne, le reste n’a pas d'importance. »
Dans le cas de SASE, il me semble que cette citation (que l’on doit à la chanteuse Maren Morris) s’applique parfaitement à Juniper. Ils ont les bons éléments en place pour fournir une solution SASE convaincante, notamment des offres cloud robustes, une approche centrée sur l’expérience utilisateur et un ensemble d’outils adaptés à l’inspection du trafic de bout en bout et l’application des politiques réseau et sécurité en temps réel. Alors que l’espace SASE continue d’évoluer, comptez sur Juniper pour enrichir ces éléments avec de nouvelles fonctionnalités, des partenariats et des cas d'utilisation qui se démarquent de la concurrence et apportent une réelle valeur ajoutée à ses clients.