ZTNA: Zero Trust Network Access

Qu’est-ce que l’architecture Zero Trust ?

Zero trust est devenu l’un des termes les plus populaires de la sécurité du réseau. Cependant, avec tout le battage médiatique, il peut devenir difficile de distinguer le marketing sans substance de la valeur réelle. Heureusement, contrairement à beaucoup de mots à la mode, il y a beaucoup de substance autour de la confiance zéro, ou Zero trust.

Au début de cette année, le National Cybersecurity Center of Excellence (qui fait partie du National Institute of Standards and Technology du Gouvernement des États-Unis) a publié son projet d’implémentation d’une architecture Zero Trust, une approche fondée sur des normes pour la mise en œuvre de l’architecture Zero Trust.

Alors, en quoi la confiance zéro est-elle concrète et comment pouvez-vous identifier des solutions qui répondent aux besoins de votre entreprise ? Regardons cela de plus près…

Qu’est-ce que le Zero Trust Network Access ? Un cours accéléré

En termes simples, la confiance zéro est basée sur les principes suivants : appliquer des contrôles d’accès granulaires et ne faire confiance à aucun des points de terminaison à moins qu’ils ne soient explicitement autorisés à accéder à une ressource donnée. La Zero Trust Network Architecture est simplement une conception qui met en œuvre des principes de confiance zéro et produit ce qu’on appelle le Zero Trust Network Access (ZTNA).

L’architecture Zero Trust représente un changement fondamental par rapport aux solutions traditionnelles de type « châteaux et douves » telles que les appliances VPN basées sur Internet pour l’accès réseau à distance. Avec ces solutions traditionnelles, une fois qu’un point de terminaison s’authentifie, il a accès à tout sur le même segment de réseau et n’est potentiellement bloqué que par la sécurité au niveau de l’application.

En d’autres termes, les solutions traditionnelles faisaient par défaut confiance à tout sur le réseau interne. Malheureusement, ce modèle n’est pas assez robuste pour l’entreprise digitale moderne. La confiance zéro est devenue nécessaire parce que les réseaux d’entreprise ont changé radicalement au cours de la dernière décennie, et encore plus au cours des six derniers mois.

Le télétravail est désormais la norme, les données critiques circulent vers et depuis plusieurs clouds publics, le BOYD est une pratique courante, et les périmètres WAN sont plus dynamiques que jamais. Cela veut dire que les réseaux d’entreprise qui ont une surface d’attaque plus étendue sont fortement incités à la fois à prévenir les violations et à limiter les temps d’arrêt et le mouvement latéral en cas de violation. L’architecture Zero Trust permet la micro-segmentation et la création de micro-périmètres autour des appareils pour atteindre ces objectifs. Pour une analyse approfondie de la confiance zéro, consultez le Guide du marché du ZTNA de Gartner.

Fonctionnement de l’architecture Zero Trust

Bien que les outils spécifiques utilisés pour mettre en œuvre l’architecture de confiance zéro puissent varier, le projet Mise en œuvre d’une architecture de confiance zéro du Centre national d’excellence en cybersécurité met en avant quatre fonctions clés :

Identifier. Implique de faire l’inventaire et la catégorisation des systèmes, logiciels et autres ressources. Permet de définir des lignes de base pour la détection des anomalies.
Protéger. Implique le traitement de l’authentification et de l’autorisation. La fonction de protection couvre la vérification et la configuration des identités des ressources sur lesquelles la confiance zéro est basée ainsi que la vérification d’intégrité pour le logiciel, le firmware et le matériel.
Détecter. La fonction de détection vise l’identification d’anomalies et d’autres événements de réseau. Il est essentiel ici d’exercer une surveillance continue en temps réel pour détecter de manière proactive les menaces potentielles.
Réagir. Cette fonction gère le confinement et l’atténuation des menaces une fois qu’elles sont détectées.

L’architecture de confiance zéro couple ces fonctions avec des stratégies d’accès granulaires de niveau applicatif définies sur le refus par défaut.

Il en résulte un flux de travail qui ressemble à quelque chose comme ceci dans la pratique :

Les utilisateurs s’authentifient à l’aide de la MFA (authentification multifacteur) sur un canal sécurisé
L’ accès est accordé à des applications et des ressources réseau spécifiques en fonction de l’identité de l’utilisateur
La session est surveillée en permanence pour détecter des anomalies ou des activités malveillantes
La réponse aux menaces s’effectue en temps réel lorsque des activités potentiellement malveillantes sont détectées
Le même modèle général est appliqué à tous les utilisateurs et ressources au sein de l’entreprise, créant un environnement où une véritable micro-segmentation est possible.

Comment le SDP et le SASE s’appuient sur l’architecture Zero Trust

Le SDP (software-defined perimeter), également appelé ZTNA (Zero Trust Network Access), est une approche logicielle visant à sécuriser l’accès à distance. Le SDP est basé sur une authentification utilisateur forte, des droits d’accès au niveau applicatif et une évaluation continue des risques tout au long des sessions utilisateur. Cette description permet à elle seule de mieux comprendre comment le SDP permet d’implémenter l’architecture Zero Trust.

Lorsque le SDP fait partie d’une plateforme SASE (Secure Access Service Edge) plus large, les entreprises bénéficient d’avantages supplémentaires en matière de sécurité et de performances. Avec le SASE, le SDP élimine la complexité du déploiement des appliances à chaque emplacement et l’imprévisibilité due à la dépendance sur l’Internet public en tant que dorsale de réseau. De plus, avec le SASE, des fonctionnalités de sécurité avancées sont intégrées à l’infrastructure réseau sous-jacente. En bref, lorsqu’il s’inscrit dans le SASE, le SDP permet à l’architecture Zero Trust d’atteindre son plein potentiel. Cela simplifie alors la sécurisation des personnels distants avec la ZTNA.

Par exemple, la plateforme Cato SASE met en œuvre la confiance zéro et offre :

  1. Accès à distance intégré basé sur le client ou sur un navigateur sans client
  2. Authentification via MFA sécurisée
  3. Autorisation basée sur des politiques d’accès au niveau applicatif basées sur des identités d’utilisateurs
  4. DPI (inspection approfondie des paquets) et un moteur anti-malware intelligent pour une protection continue contre les menaces
  5. Fonctionnalités de sécurité avancées telles que NGFW (pare-feu nouvelle génération), IPS (système de prévention des intrusions) et SWG (passerelle Web sécurisée)
  6. Performances optimisées de bout en bout pour les ressources sur site et dans le cloud
  7. Une plateforme cloud distribuée à l’échelle mondiale, accessible à partir de tous les edges du réseau
  8. Une dorsale réseau prise en charge par plus de 50 PoP (points de présence) et un SLA de disponibilité de 99,999 %

Si vous souhaitez en savoir plus sur le SDP, le SASE ou Zero Trust, contactez-nous dès aujourd’hui ou inscrivez-vous pour assister à une démonstration de la plateforme Cato SASE.

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.