L’impact des performances des CASB sur l’accès au SaaS

par | Mar 8, 2021 | Article, Performances des applications, Performances du réseau

Boris Rogier

Boris Rogier

Co-founder

Cloud Access Security Brokers: what is the impact on SaaS performance? Monitor User performance for SaaS applications through CASB

Les CASB sont là pour protéger ce nouveau périmètre mais, comme toute passerelle de sécurité, ils ont un impact sur les performances des utilisateurs. La surveillance de l’impact des CASB sur les performances d’accès aux SaaS peut vous aider à optimiser un accès sécurisé au SaaS et à mettre en place une infrastructure efficace de travail à distance.

L’objectif de cet article est de résumer ce qu’est le CASB et d’expliquer pourquoi il peut affecter les performances des services numériques à travers deux exemples concrets.

Dès le début de l’ère du cloud computing, la sécurité a été l’une des principales préoccupations des entreprises qui envisagent le cloud public. Pour de nombreuses organisations, l’idée de stocker des données ou d’exécuter des applications sur une infrastructure qu’elles ne gèrent pas et ne contrôlent pas semble intrinsèquement peu sûre.

Dans un environnement informatique sur site, le périmètre de sécurité est assez facile à contrôler. En revanche, le cloud ouvre de nouvelles voies de communication et d’échange de données qui, par nature et par défaut, échappent totalement au contrôle des équipes informatiques.

Classical perimeter security

Qu’est-ce qu’un CASB ?

CASB est l’abréviation de Cloud Access Security Broker, comprenez Passerelle sécurisée d’accès au Cloud. Il fournit aux entreprises un point de contrôle critique pour l’utilisation sécurisée des services en nuage à travers plusieurs fournisseurs cloud.

Il se concentre sur quatre piliers fondamentaux :

  • 1. Visibilité – Détecter tous les services en nuage, attribuer à chacun un classement de risque, identifier tous les utilisateurs et les dépendances avec des applications tierces.
  • 2. Sécurité des données – identifier, classer et contrôler les informations sensibles
  • 3. Protection contre les menaces – Offrir un contrôle d’accès adaptatif (AAC – Adaptive Access Control) ; fournir une analyse du comportement des utilisateurs et des entités (UEBA – User and Entity Behavior Analysis) ; limiter les logiciels malveillants.
  • 4. Conformité – Fournir des rapports et des tableaux de bord pour démontrer la gouvernance du cloud ; aider les efforts de conformité aux exigences de résidence des données et de conformité réglementaire.

Les CASB répondent donc à un besoin essentiel des entreprises en matière de définition de politiques, de surveillance du comportement et de gestion des risques pour l’ensemble des services en nuage consommés par l’entreprise (y compris les applications SaaS, les suites de collaboration et de vidéoconférence et les applications internes hébergées sur place ou dans le cloud).

Les prévisions de Gartner concernant les dépenses de sécurité pour 2020 prévoient un taux de croissance important, mais en ralentissement, pour le CASB : 37,2 % en 2021, 33,2 % en 2022, 32,0 % en 2023 et 30,5 % en 2024. Bien que les prévisions annoncent un ralentissement des dépenses pour tous les marchés de la sécurité, la croissance du CASB reste supérieure à celle de tout autre marché de la sécurité de l’information (voir Forecast : Sécurité de l’information et gestion des risques, dans le monde, 2018-2024)

How CASBs work

L’un des principaux facteurs de décision lors du choix d’une solution CASB, si ce n’est le seul, est la liste des fonctionnalités offertes par chaque fournisseur. Les services peuvent inclure l’authentification, le SSO (Single Sign On) et l’intégration de l’IAM (Identity and Access Management), l’autorisation, le mappage des informations d’identification, le profilage des appareils, le cryptage des données et la gestion des clés, la journalisation, les alertes, la prévention des pertes de données, l’audit de la configuration, la détection et la prévention des logiciels malveillants, pour n’en citer que quelques-uns.

Néanmoins, un aspect souvent sous-estimé, et difficile à appréhender dès le départ, est l’impact sur les performances qu’aura l’accès aux services en nuage via un CASB ! En clair, dans quelle mesure l’accès aux applications SaaS par vos utilisateurs distants sera-t-il plus lent ou plus rapide ? Votre CASB va-t-il améliorer ou détériorer les performances de vos applications SaaS ?

Pour comprendre cet impact, voyons d’abord comment fonctionne un CASB.

Un CASB peut fonctionner de deux manières principales. Il peut être configuré comme un proxy – un proxy direct ou inverse – ou il peut fonctionner en mode API, en utilisant les API des fournisseurs de cloud computing pour contrôler l’accès au cloud et appliquer les politiques de sécurité de l’entreprise. Aujourd’hui, les CASB ont tendance à utiliser à la fois les technologies de proxy et d’API pour bénéficier de leurs avantages respectifs.

Forward Proxy

Dans un modèle de proxy direct (ou “forward proxy”), toutes les données entre les clients et le cloud sont dirigées vers le CASB pour l’application des politiques. Pour que ce modèle fonctionne, les organisations peuvent configurer leurs passerelles de sécurité Web ou leurs proxys Web pour acheminer tout le trafic Web sortant vers le CASB. Les appareils des utilisateurs finaux peuvent également être configurés avec un agent de point de terminaison qui achemine tout le trafic Web vers le CASB.CASB Reverse Proxy Mode

Proxy inversé

Le modèle de déploiement de proxy inversé (“reverse proxy”)e achemine tout le trafic vers et depuis un fournisseur de services en nuage particulier via le CASB. Ce modèle nécessite une plateforme de gestion des identités et des accès (IAM) pour transmettre le trafic des utilisateurs authentifiés au CASB, qui, à son tour, transmet de manière transparente le trafic au fournisseur de services cloud.

Le principal avantage de ce modèle par rapport à son homologue « forward proxy » est qu’il ne nécessite aucune configuration spéciale ni installation d’agent sur les appareils des utilisateurs.

CASB Reverse Proxy Mode

Systèmes basés sur l’API

Le modèle API nécessite une connexion API établie entre le CASB et le fournisseur de services cloud / SaaS. Les capacités offertes par le modèle API varient pour chaque fournisseur de services en nuage et tous ne prennent pas en charge l’intégration API.

CASB API mode

Conclusion

Le CASB utilise généralement une combinaison d’API et de proxy direct pour les dispositifs gérés, et de proxy inverse pour les dispositifs non gérés, afin de contrôler l’accès des utilisateurs au cloud.

Certains des principaux acteurs du marché du CASB sont :

Maintenant que vous en savez plus sur la signification du CASB et les avantages de son utilisation, voyons pourquoi il peut avoir un impact sur les performances de vos services numériques.

Quel est l’impact des performances d’un CASB sur les services SaaS et Cloud ?

D’après les concepts de CASB expliqués ci-dessus, il est clair que le chemin entre les utilisateurs et les services cloud est affecté par l’utilisation d’un CASB. Tous les flux sont d’abord dirigés vers le CASB avant d’atteindre le cloud.

Qu’est-ce que cela signifie du point de vue de la performance SaaS ?

Tout d’abord, le CASB doit garantir la fourniture du service aussi près que possible des utilisateurs distants par le biais de points de présence locaux.

Deuxièmement, le chemin de réseau entre les utilisateurs et le PoP qui leur est attribué doit garantir un niveau de qualité approprié en termes de latence du réseau et de perte de paquets.

Si vous avez l’intention d’utiliser les services du CASB, assurez-vous de pouvoir surveiller ces éléments, car vous seriez surpris de voir à quel point les connexions aux PoP du CASB peuvent être inefficaces et/ou instables.

Pour le démontrer, examinons deux exemples concrets.

Changement dynamique de PoP du CASB

La capture d’écran suivante montre des utilisateurs situés à Mumbai (Inde) qui se connectent à leur PoP CASB.

Ils traversent deux opérateurs (Airtel et Telia) pour atteindre le CASB. Sur le graphique « longueur moyenne du chemin dans le temps », vous pouvez voir que la longueur du chemin du réseau a soudainement augmenté de 5 sauts à environ 9 sauts (cela fait référence au nombre de routeurs sur le chemin entre l’utilisateur et le PoP et affecte largement la latence). Cela correspond à un changement de l’emplacement du PoP CASB de CASB Dest. 1 à CASB Dest. 2.

CASB PoP change over time

Cela montre à quel point la connexion à un CASB peut être dynamique. Ce comportement peut ajouter de la latence au réseau et / ou introduire des pertes de paquets supplémentaires. Au final, cela peut dégrader les performances des services numériques / SaaS. Ici, le routage au sein du système autonome de Telia iest beaucoup plus dynamique pour le CASB Dest. 2 PoP.

Dans ce cas particulier, la capture d’écran suivante montre que le passage d’un chemin à un autre n’a pas eu d’impact significatif sur la latence du réseau. Néanmoins, ce chemin alternatif a connu un pic de perte de paquets, qui peut être clairement identifié.

Packet loss introduced in route change

CASB PoP reachability

L’exemple suivant montre comment les utilisateurs en Allemagne (Berlin et Nuremberg) se connectent à leur PoP CASB local.

Two users connecting to the same CASB PoP

Les utilisateurs situés à Nuremberg traversent beaucoup plus d’opérateurs différents que les utilisateurs de Berlin.

Dans ce cas, on pourrait certainement penser que cela peut augmenter la latence du réseau pour les utilisateurs de Nuremberg. En fait, les mesures montrent que ce n’est pas le cas :

Performance per user

Pour ce cas spécifique, traverser consécutivement les systèmes autonomes de Contabo, Level 3, Cogent et Telia est plus rapide que de traverser uniquement Strato AG et Aloo Telecom.

Néanmoins, nous constatons une perte de paquets à l’intérieur du réseau Telia. Cela n’a affecté que les utilisateurs de Nuremberg :

Packet loss in the network path

À retenir

Le recours aux services des CASB devient courant pour les entreprises désireuses d’adopter une stratégie de services numériques multi-cloud. Néanmoins, l’utilisation de CASB aura un impact sur la performance des services SaaS et numériques.

L’une des principales motivations commerciales pour choisir les bons partenaires doit être les performances qu’ils peuvent garantir. Pour prendre la bonne décision, vous devez donc identifier :

  • Où se trouvent vos utilisateurs
  • Où sont situés les PoP du CASB
  • Comment vos utilisateurs seront dirigés et avec quelle efficacité ils seront connectés à ces PoP.

Une fois votre choix effectué, vous pouvez surveiller les connexions de vos utilisateurs afin d’identifier les défauts courants tels que :

  • Mauvaises configurations potentielles conduisant à des connexions vers le(s) mauvais PoP.
  • Les opérateurs qui ne fournissent pas le bon niveau de qualité de connectivité du réseau ou d’efficacité du routage.
  • Toute dégradation temporaire due à des modifications du chemin d’accès au réseau, à des pannes d’opérateurs de réseau spécifiques ou à une modification du PoP local du CASB.

Si vous souhaitez en savoir plus sur la latence du réseau et la perte de paquets, ainsi que sur leur impact sur les performances du réseau, veuillez consulter l’article suivant.

Partager cette publication

Newsletter

Toutes nos dernières stories et informations sur la surveillance du réseau et l’expérience utilisateur directement dans votre boîte de réception.

Ressources

Kadiska fait maintenant partie de Netskope
This is default text for notification bar