TechLeague

    Google Cloud

    Architecture Zero Trust: Conception BeyondCorp Enterprise vs. SASE Legacy

    TechLeague Editorial··14 min de lecture

    En 2026, le périmètre traditionnel n'est pas seulement mort, il a été complètement remplacé par un tissu identitaire et contextuel où "le réseau" n'est qu'une couche de transport non fiable. Alors que Zscaler Private Access (ZPA) et Cloudflare Access reposent sur un tunnellisation lourde et des superpositions propriétaires, BeyondCorp Enterprise (BCE) de Google Cloud offre l'implémentation Zero Trust Network Access (ZTNA) la plus chirurgicalement précise en exploitant le navigateur comme point d'application des politiques (PEP) principal. Si vous gérez toujours des concentrateurs VPN complexes ou des tunnels GRE pour l'accès aux applications, vous maintenez une dette technique que Google a résolue il y a une décennie.

    La supériorité structurelle du ZTNA sans proxy

    La plupart des concurrents ZTNA (Zscaler, Palo Alto Networks Prisma Access) sont essentiellement des "VPN-as-a-Service". Ils interceptent le trafic au niveau du réseau (couche 3/4 OSI) et le redirigent vers un Point of Presence (PoP). Cela introduit de la latence et une opacité architecturale. BeyondCorp Enterprise, ancré dans les livres blancs originaux de Google de 2014, déplace le paradigme vers la couche 7. En utilisant Identity-Aware Proxy (IAP), BCE vous permet d'exposer des applications sur site ou liées à un VPC directement sur l'internet public via les nœuds de périphérie mondiaux de Google – sans VPN – tout en garantissant que chaque requête est authentifiée, autorisée et validée en fonction de la posture de l'appareil.

    L'avantage fondamental ici est la suppression du mouvement latéral. Dans un environnement Zscaler, si un attaquant compromet un client connecté à ZPA, il est "sur l'overlay". Dans une conception BeyondCorp, il n'y a pas d'overlay. L'utilisateur interagit avec un endpoint HTTPS ; l'IAP agit comme un gardien. Aucun jeton OIDC (OpenID Connect) valide et aucun contexte d'appareil conforme signifie que le paquet est abandonné à la périphérie de Google, bien avant qu'il n'atteigne votre infrastructure backend.

    Context-Aware Access (CAA) : Moteur de Politique

    Le cœur de BCE est Context-Aware Access. Contrairement au RBAC (Role-Based Access Control) traditionnel qui ne se soucie que de qui vous êtes, CAA se soucie du "comment" et du "où". Dans une conception d'entreprise 2026, nous définissons des niveaux de confiance à l'aide du Common Expression Language (CEL). Une politique de haute sécurité typique dans nos engagements de conseil ressemble à ceci :

    // Exemple de script CEL pour une application financière sensible
device.vendors['google'].is_managed == true &&
device.encryption_status == "ENCRYPTED" &&
device.os_type == "WINDOWS" &&
device.os_version.version_at_least("10.0.22621") &&
levels.select_level("corp_ip_range")

    Cette politique garantit que même si un utilisateur dispose de credentials valides, il ne peut pas accéder à l'application depuis un MacBook personnel ou une machine Windows non patchée. Nous l'intégrons directement avec Chrome Enterprise Premium, qui fournit la télémétrie pour ces signaux sans nécessiter un agent de sécurité séparé et énergivore. Cette approche "sans agent" (exploitant le navigateur que l'utilisateur possède déjà) est la raison pour laquelle BCE s'adapte là où d'autres échouent.

    Chrome Enterprise Premium : Le PEP de 2026

    En 2026, le navigateur est essentiellement le système d'exploitation de l'entreprise. Google a capitalisé sur cela en faisant de Chrome un moteur d'inspection approfondie. Chrome Enterprise Premium (anciennement le composant navigateur de BeyondCorp Enterprise) fournit une prévention de la perte de données (DLP) et une analyse des logiciels malveillants en temps réel. Contrairement au sandboxing de Zscaler qui nécessite le déchiffrement TLS à un middlebox, Chrome le fait nativement au niveau de l'endpoint avant que le chiffrement n'ait lieu.

    • Filtrage d'URL : Bloque les sites malveillants basés sur l'énorme ensemble de données de Google Safe Browsing.
    • Masquage des données : Empêche les utilisateurs de coller des PII sensibles dans des LLM comme Gemini ou ChatGPT.
    • Confiance de l'appareil : Rapporte le statut TPM (Trusted Platform Module) directement au moteur CAA.

    Pour les organisations exécutant des applications client lourd legacy qui ne peuvent pas être tunnellisées via HTTPS, nous utilisons le IAP Desktop ou la fonctionnalité Cloud IAP TCP forwarding. Cela permet l'accès SSH et RDP sur le port 443, éliminant le besoin d'exposer les ports 22 ou 3389 même à un ensemble restreint d'adresses IP source.

    Analyse d'architecture approfondie : Connectivité On-Prem

    Une critique courante de BCE est sa nature "Google-only". C'est une idée fausse. Pour protéger les workloads on-premises (exécutées dans VMware, Nutanix ou bare metal), nous déployons le On-Premises Connector. Il s'agit d'un conteneur Docker léger qui établit un tunnel sortant uniquement vers le VPC de Google via un relais géré par Google. Aucune règle de pare-feu entrante n'est requise sur site.

    Analyse des coûts : BCE vs. La concurrence

    Parlons chiffres concrets. En 2026, un bundle typique Zscaler ZPA/ZIA "Transformation" peut facilement coûter 45 à 60 $ par utilisateur/mois, avec des coûts supplémentaires pour les private service edges. BeyondCorp Enterprise est proposé à 6 $ par utilisateur/mois (dans le cadre de Chrome Enterprise Premium). Même si vous ajoutez les coûts de Identity Platform ou de Titan Security Keys, BCE est près de 70 % moins cher que les concurrents SASE tout en offrant une intégration supérieure avec Google Workspace et les ressources natives GCP.

    Si vous êtes déjà un client Google Workspace, le passage à BCE est un changement de configuration, pas une mise à niveau complète. Vous pouvez voir comment cela s'intègre dans une stratégie cloud plus large dans notre guide sur les VPC Service Controls.

    Intégration avancée de la Threat Intelligence

    Une fonctionnalité que nous implémentons fréquemment pour nos clients TechLeague est l'intégration de Chronicle Security AI avec BCE. Lorsqu'une politique d'accès sensible au contexte refuse une requête, cette télémétrie est instantanément ingérée dans Chronicle. Si l'appareil d'un utilisateur échoue soudainement à un contrôle de posture—par exemple, BitLocker est désactivé—le Security Command Center (SCC) peut déclencher une Cloud Function pour révoquer les sessions actives de l'utilisateur à travers toute l'organisation GCP. C'est de l'"Authentification continue" en pratique, pas seulement une diapositive marketing.

    BCE vs. Cloudflare Access : La Vérification de la Réalité

    Cloudflare Access est un concurrent redoutable, surtout pour les petites et moyennes entreprises. Cependant, à l'échelle de l'entreprise en 2026 (plus de 10 000 sièges), Cloudflare manque de la profondeur de gestion native des appareils que Google offre. Google possède l'identité (Cloud Identity), le navigateur (Chrome), l'OS (ChromeOS/Android) et l'infrastructure (GCP). Cloudflare est toujours un "add-on". Lorsqu'un problème de support survient, Cloudflare blâmera votre IdP (Okta/Azure AD) ; avec Google, il n'y a qu'un seul interlocuteur. Pour une analyse technique approfondie de l'identité multi-cloud, consultez notre article sur Workload Identity Federation.

    Feuille de route de mise en œuvre : Vue d'ensemble

    N'essayez pas de "bouillir l'océan". Un déploiement BeyondCorp réussi suit ces étapes :

    1. Activer Cloud IAP : Commencez par les applications internes non critiques. Mappez les rôles IAM actuels aux ressources sécurisées par IAP.
    2. Déployer Chrome Browser Management : Demandez aux utilisateurs de se connecter aux profils Chrome gérés pour commencer à collecter la télémétrie de l'appareil.
    3. Élaborer des politiques CAA "Monitor-Only" : Créez des politiques qui enregistrent les échecs mais ne bloquent pas encore. Analysez les logs access_context_manager dans Cloud Logging.
    4. Appliquer le MFA : Rendez obligatoire FIDO2/WebAuthn (Titan Keys) pour toutes les applications protégées par IAP.
    5. Désaffecter le VPN : Déplacez une application à la fois jusqu'à ce que le trafic VPN tombe à zéro.

    Le verdict

    La réalité de l'ingénierie est que la sécurité centrée sur le réseau est une expérience ratée. BeyondCorp Enterprise est la seule solution qui reconnaît que le navigateur est le nouveau périmètre. Il est plus rapide, moins cher et objectivement plus sécurisé que toute solution SASE basée sur tunnel sur le marché. Si vous construisez une infrastructure moderne sur GCP ou même un environnement hybride, BCE n'est pas seulement une option, c'est une exigence.

    Chez TechLeague, nous nous spécialisons dans la migration des entreprises legacy vers des architectures Zero Trust qui fonctionnent réellement. Si vous en avez assez de vous battre avec les clients VPN et les tunnels GRE latents, consultez nos parcours de conseil personnalisés sur techleague.io.

    Questions fréquentes

    BeyondCorp Enterprise peut-il gérer le trafic non-HTTP comme SSH ou RDP ?+

    Non. Bien que l'IAP soit conçu pour HTTP/HTTPS, vous pouvez utiliser la fonction de transfert TCP de l'IAP pour tunneler le trafic SSH et RDP via HTTPS. Cela nécessite un petit outil d'aide (gcloud ou IAP Desktop) côté client.

    Comment la tarification de BCE se compare-t-elle à Zscaler ou Palo Alto Prisma ?+

    BeyondCorp Enterprise est proposé à 6 $/utilisateur/mois pour les fonctionnalités Chrome Enterprise Premium. C'est nettement moins cher que les suites ZPA/ZIA de Zscaler qui commencent généralement à 30-50 $/utilisateur pour des fonctionnalités d'entreprise équivalentes.

    BeyondCorp est-il vraiment sans agent ?+

    BCE utilise le navigateur Chrome lui-même comme 'agent' via Chrome Enterprise Premium. Bien que vous n'ayez pas besoin d'un 'agent de sécurité' .exe ou .pkg autonome, les utilisateurs doivent utiliser un profil Chrome géré pour transmettre des signaux de posture d'appareil détaillés.

    BCE fonctionne-t-il avec des applications hébergées sur site ou dans AWS ?+

    Oui. À l'aide du On-Premises Connector (un conteneur Docker), vous pouvez exposer les applications exécutées dans des centres de données non cloud à la périphérie de Google, en appliquant les mêmes politiques Zero Trust que vos applications cloud-native.

    Est-il difficile d'intégrer BCE avec l'identité Azure AD ?+

    Très facile. Google fournit des connecteurs natifs et de la documentation pour synchroniser les utilisateurs et groupes Azure AD/Entra ID avec Cloud Identity, que BCE utilise ensuite pour l'application des politiques.

    Quel est le temps de latence pour qu'un changement de politique prenne effet dans Context-Aware Access ?+

    Les politiques CAA se mettent à jour en quelques secondes, mais la révocation de session peut prendre quelques minutes selon la durée de vie du jeton OIDC. En 2026, l'évaluation continue de l'accès (CAE) a réduit cette fenêtre à un quasi temps réel pour les applications Workspace.