Comment optimiser les performances SASE et améliorer l’expérience numérique des employés

par | Juin 27, 2023 | Article, Expérience numérique, Performances des applications, Performances du réseau

Surmontez les problèmes SASE (Zscaler, Netskope,...) avec une visibilité SaaS et cloud complète pour améliorer la productivité des employés et les performances SSE, ZTN, CASB et SGW

Kadiska

Kadiska

Nombre de nos clients utilisant des applications SaaS et sur le cloud recherchent des moyens d’améliorer l’expérience utilisateur en migrant des VPN et de la connexion privée vers les plates-formes de sécurité SASE. Par rapport à un déploiement de VPN et de pare-feu relativement simple, SASE (Secure Access Service Edge) combine une gamme de fonctions de sécurité hébergées sur le Web complémentaires, notamment Secure Service Edge (SSE), Secure Web Gateways (SWG), Cloud Access Security Brokers (CASB), Zero Trust Network Access (ZTNA) et, dans certains cas, SD-WAN.

Malgré sa complexité, nous assistons à une évaluation et à une adoption généralisées des solutions de sécurité SASE – en totalité ou en partie – par Zscaler, Netskope, Palo Alto (Prisma), Cato Networks, Fortinet, iBoss, Symantec (Broadcom), VMware et Forcepoint, en plus des offres de Cisco et Microsoft. Dans un monde centré sur le SaaS et le cloud, la sécurité du cloud, la sécurité Internet et l’accès zero-trust sont mieux déployés de manière intégrée, d’où la popularité des solutions de sécurité SSE et SASE.

L’origine de SASE, d’Access à Zscaler

Chaque solution SASE a des forces et des faiblesses de différente nature, dépendant en grande partie de la façon dont leurs plates-formes ont été développées à l’origine. Zscaler et Netkope ont commencé dans l’espace de sécurité cloud, tandis que Fortinet et Forcepoint ont fait évoluer leurs solutions de pare-feu vers SSE. Cato et Cisco ont intégré SSE dans leurs plates-formes de mise en réseau SD-WAN.

La seule chose qu’ils ont tous en commun ? Des problèmes de performances intermittents, des scénarios de dépannage difficiles et une nouvelle couche pour les opérations SecOps, informatiques et réseau à déployer, surveiller et optimiser. Le travail d’équipe est nécessaire pour optimiser les solutions SASE, car les problèmes de performances SSE, ZTN, SWG et CASB peuvent avoir un impact sur plusieurs groupes au sein de l’informatique.

Explorons pourquoi SASE est essentiel pour les performances de travail hybrides, ce qui cause des problèmes de performances et comment les détecter, les diagnostiquer et les résoudre.

Performances SASE par Zscaler, Netscope et d’autres fournisseurs par région en Europe

SASE Security, un nouvel essentiel pour l’entreprise numérique

Il devient clair qu’une certaine forme de SASE est essentielle lorsque l’on a affaire à des équipes très éparpillées, à l’hébergement cloud, au SaaS et aux applications privées. En 2021, Gartner a prédit que d’ici 2024, au moins 40 % des entreprises auraient des stratégies explicites pour adopter SASE. Deux ans plus tard, ils s’attendent désormais à ce que 75 % des entreprises aient mis en place le SASE d’ici la fin de l’année prochaine.

L’intérêt pour SASE a été initialement accéléré par la pandémie, puis par la formalisation des initiatives de travail numérique et des politiques de retour au bureau, à temps partiel. Au final, le travail hybride est destiné à rester en vigueur pour plus de 75 % des employés en Amérique du Nord et en Europe, et SASE est un moyen efficace de résoudre les problèmes de performance introduits par le travail hybride.

Avantages de performance SASE par rapport aux nouveaux problèmes

Alors que SASE est censé offrir de meilleures performances utilisateur que les VPN traditionnels et les passerelles Web sécurisées (SWG), les équipes informatiques des entreprises trouvent souvent qu’il est difficile de détecter les problèmes liés à SASE, et que si Zscaler, Netskope, Fortinet ou Palo Alto, le monitoring intégré et les outils traditionnels sont souvent insuffisants pour résoudre les incidentset optimiser l’expérience digitale de l’utilisateur final sousdes délais raisonnables.

Il est également difficile de détecter les utilisateurs et les applications qui contournent SASE avec des connexions Internet directes, que ce soit intentionnellement ou en raison de problèmes de configuration des terminaux, et de s’assurer que les configurations à double tunnel fonctionnent comme prévu. Le résultat est une sécurité compromise et un autre point de vulnérabilité sur les sites des travailleurs sur site et à distance.

Comment SASE peut avoir un impact sur la productivité des employés et l’expérience numérique

Les principales causes des problèmes de performance SASE sont liés à son architecture, et sont communes à toutes les offres des éditeurs sans exception. Nous voyons régulièrement Netscope, iBoss, Fortinet, Zscaler, Microsoft et de nombreuses autres solutions introduire une latence élevée, des retards de redirection et des pertes de paquets.

Ces problèmes sont souvent simples à résoudre, mais seulement si les problèmes peuvent être détectés en premier lieu. Avec de nombreux composants parfois hébergés sur différents emplacements cloud, des problèmes peuvent survenir séparément dans les fonctions SSE, SWG, ZTNA ou CASB, ce qui rend la détection et le dépannage plus complexes.

Trois causes de problèmes de performances SASE

La solution la plus performante dans un contexte donné dépend de trois facteurs principaux :

  1. Connectivité réseau des sites utilisateurs vers le point de présence SASE (proxy)
  2. Traitement de sécurité au sein de la plateforme SASE
  3. Paramétrage SASE (basculement, contournement du trafic, priorisation, méthode de déploiement)

1. Proximité et connectivité aux nœuds SASE

Dans un groupe d’utilisateurs largement distribué (d’un point de vue géographique et de connectivité), la latence entre les utilisateurs et le point d’entrée SASE peut être importante, allant de quelques millisecondes à plusieurs centaines.

Cette latence de bout en bout peut être impactée par des dégradations se produisant aux niveaux suivants :

  • LAN / WiFi
  • dernier kilomètre du FAI (réseau d’accès)
  • dorsale FAI
  • Appairage entre les FAI, les fournisseurs de services et les réseaux cloud (sous réserve des politiques de routage BGP entre les systèmes autonomes (AS)
  • Redirections dirigées par la plateforme SASE elle-même :
  • Résolution DNS contrôlée par le SASE
    • Idéalement, dirige le trafic des utilisateurs vers le PoP SASE « le plus proche »
    • L’itinéraire et la latence peuvent être affectés par les erreurs de géolocalisation des utilisateurs et les politiques d’équilibrage de charge de la plateforme SASE

Du point de vue informatique de l’entreprise, les plus faciles à optimiser sont :

  • votre propre infrastructure WiFi / LAN
  • le dernier kilomètre, la dorsale et les problèmes de peering de votre FAI (vous pouvez changer de fournisseur ou de capacités SD WAN pour donner la priorité à la connexion la plus performante)

2. Performances de traitement de la fonction de sécurité SASE

Le traitement du trafic SASE introduit une latence et peut dégrader la réactivité des applications, ce qui a un impact sur l’expérience numérique des employés. Les délais de traitement de la sécurité peuvent varier en fonction de la plate-forme, de l’emplacement du PoP / proxy, de l’application et du type de transaction entre les navigateurs, les clouds et les applications des utilisateurs.

Certaines fonctionnalités SASE introduisent plus de latence que d’autres. Elles sont listées ici en allant d’un impact élevé à faible :

  • ZTNA / Pare-feu cloud
  • Passerelles Web sécurisées / Proxies cloud
  • DLP (prévention des pertes de données)
  • CASB (courtier de sécurité d’accès au cloud)

Certaines solutions SASE vous donneront un aperçu du « coût de traitement » de vos polices, d’autres non. Comprendre la surcharge de performances de votre stratégie de sécurité (en comparant les flux où différentes stratégies sont appliquées) est une bonne pratique pour s’assurer que l’impact sur les performances est supportable pour les employés.

3. Modèles de configuration et de déploiement SASE

L’impact sur les performances des méthodes de configuration et de déploiement SASE peut varier considérablement en fonction des spécificités de l’implémentation.

  • Paramètres de basculement : Choisir entre la disponibilité ou une faible latence peut avoir un impact sur les performances. Les paramètres axés sur la disponibilité garantissent un accès constant mais peuvent augmenter la latence, laissant les utilisateurs connectés à des points de présence distants pendant de longues périodes, tandis que les paramètres à faible latence favorisent un transfert de données rapide au risque d’une disponibilité réduite.
  • Contournement du trafic pour les applications sensibles à la latence : Cela améliore les performances en permettant un transfert rapide des données à partir d’applications spécifiques, bien que cela puisse introduire des risques de sécurité potentiels car une configuration précise est souvent difficile.
  • Priorisation des applications : L’allocation de plus de bande passante aux applications critiques garantit leurs performances sous de lourdes charges réseau, mais peut réduire les ressources pour d’autres applications.
  • Méthodes de déploiement : Les agents matériels peuvent offrir des performances élevées mais manquent d’évolutivité et d’adaptabilité par rapport aux agents logiciels qui équilibrent performances et flexibilité.
  • Configuration de la stratégie : Les politiques granulaires exigent plus de puissance de traitement, ce qui peut avoir un impact sur les performances.
  • Architecture multi-locataire ou mono-locataire : Les architectures multi-locataires sont rentables mais peuvent être confrontées à des problèmes de « voisins bruyants ». Les architectures à locataire unique offrent de meilleures performances mais à un coût plus élevé.

Facteurs supplémentaires ayant une incidence sur l’expérience numérique

Lorsque les utilisateurs accèdent aux applications via une plate-forme SASE, la plate-forme SASE n’est qu’un composant de l’infrastructure numérique globale qui peut avoir un impact sur les performances des applications numériques SaaS, cloud et Web et de la connectivité.

Il est important de garder une vision large de la performance des utilisateurs et de garder tous les facteurs en vue pour optimiser l’expérience numérique des employés :

  • Performances des terminaux : chaque endpoint peut être saturé à différents moments et niveaux (CPU, RAM, accès disque, processus concurrents, etc…)
  • Réseau local / Wi-Fi : la façon dont les utilisateurs sont connectés à l’infrastructure WAN est un autre goulot d’étranglement courant
  • Performances de connectivité SaaS et cloud : bien que toutes les plateformes SASE n’aient pas la bonne présence dans toutes les régions où se trouvent vos utilisateurs, tous les fournisseurs SaaS ne fournissent pas un service égal dans toutes les régions du monde. La connectivité des points de présence SASE locaux peut être la source d’un service lent pour l’utilisateur.
  • Performances des applications SaaS et cloud : comme toute application, les plateformes SaaS peuvent fournir différents niveaux de réactivité en fonction du moment, de la transaction demandée et des parties de leur plateforme qui sont à l’œuvre (CDN, passerelles API, sécurité TLS, authentification, etc…).

Dans l’ensemble, pour optimiser l’accès à distance au cloud et aux applications internes, la meilleure approche consiste à développer une vue de bout en bout qui permet à votre équipe de piloter l’optimisation en fonction de l’impact sur l’utilisateur, de dépanner, diagnostiquer et résoudre efficacement les problèmes, et valider le résultat..

Détection, dépannage et résolution des problèmes de performances SASE

Les performances du réseau et le monitoring de l’expérience numérique (DEM) sont des outils essentiels pour identifier, diagnostiquer et résoudre les problèmes de performances SASE. Ils offrent une visibilité sur les performances des services et applications réseau, les expériences utilisateur et la santé globale de l’infrastructure réseau.

Ce balayage de l’utilisateur à l’application permet d’identifier rapidement la cause première des problèmes de performances SASE sur les terminaux, le réseau et la capacité SASE (SSE, SWG, CASB, ZTNA, SD-WAN, etc.), permettant à la bonne équipe de se concentrer sur la résolution du problème. Cela nécessite souvent une collaboration avec le fournisseur SASE, qui sera beaucoup plus réactif lorsqu’il recevra des informations détaillées sur l’origine des problèmes, les applications et les utilisateurs qu’ils affectent, et quand et à quelle fréquence ils se produisent.


 

Comment le monitoring de l’expérience numérique aide à résoudre les problèmes de performances SASE

Identification des problèmes : Le monitoring du chemin réseau et des performances peut détecter les problèmes de performances tels que la latence élevée, la perte de paquets et les changements de route en cartographiant le chemin réseau entre les utilisateurs et les applications, et en signalant les performances en temps réel sur tous les segments et services du réseau (WiFi, ISP, SASE, SD-WAN, réseaux privés et cloud).

Le DEM complète ces capacités avec des mesures de l’expérience de l’utilisateur final telles que la disponibilité des applications, les temps de réponse, les temps de chargement des pages et les temps de transaction. Combinés, ils offrent une vue complète des performances du réseau du point de vue de l’infrastructure et des utilisateurs, ce qui facilite l’identification des anomalies et l’étendue de leur impact.

Diagnostiquer les problèmes : Une fois qu’un problème est identifié, le DEM et le monitoring du réseau peuvent aider à diagnostiquer sa cause première. Cela peut être dû à des problèmes tels que la congestion du réseau, des configurations SASE incorrectes, un cryptage/décryptage inefficace ou des problèmes matériels.

En corrélant les mesures du réseau avec les données d’expérience utilisateur, ces outils peuvent identifier avec précision la cause du problème. Les diagnostics automatiques basés sur l’IA peuvent aider à identifier la cause première des problèmes en quelques secondes.

Résolution des problèmes : Après avoir diagnostiqué le problème, ces outils peuvent guider les ingénieurs réseau vers les solutions appropriées. Cela peut impliquer l’ajustement des configurations SASE, le réacheminement du trafic, la mise à niveau du matériel, la résolution des problèmes de point de terminaison ou de WiFi, ou l’optimisation des performances des applications.

Prévenir les problèmes futurs : Le monitoring du réseau et le DEM peuvent également identifier de manière proactive les goulots d’étranglement potentiels des performances avant qu’ils n’aient un impact significatif sur l’expérience utilisateur. Par exemple, ils peuvent détecter des nœuds SASE, des chemins réseau ou des FAI spécifiques qui commencent à se dégrader avant qu’ils n’aient un impact négatif sur les performances des applications.

Optimisez les performances SASE pour vos utilisateurs

Le monitoring du réseau et de l’expérience numérique fournit des informations précieuses sur les performances de SASE, permettant une identification, un diagnostic et une résolution rapides des problèmes, tout en facilitant la gestion proactive du réseau.

La plate-forme d’expérience numérique de Kadiska apporte de la transparence sur les réseaux SD-WAN basés sur Internet, les réseaux de diffusion de contenu (CDN) et les réseaux sécurisés SASE/CASB.

Configurez votre propre compte et essayez-le. Nous vous aiderons à effectuer une évaluation des performances SASE pour vous aider à démarrer.

Partager cette publication

Newsletter

Toutes nos dernières stories et informations sur la surveillance du réseau et l’expérience utilisateur directement dans votre boîte de réception.

Ressources

Kadiska fait maintenant partie de Netskope
This is default text for notification bar