ZTNA: Zero Trust Network Access

Cadre Zero Trust

Expliquer le cadre Zero Trust

Le modèle traditionnel de sécurité du réseau était axé sur le périmètre et fortement basé sur la confiance. L’idée de base était la suivante : toutes les menaces provenaient de l’extérieur du réseau et n’importe qui se trouvait à l’intérieur du périmètre du réseau était un initié de confiance. En déployant des défenses au niveau du périmètre du réseau, les entreprises ont tenté d’identifier les logiciels malveillants et d’autres menaces, et de les empêcher de pénétrer dans le réseau.

Cette approche de la sécurité du réseau pose de multiples problèmes, notamment la dissolution du périmètre réseau, le risque de menaces internes et le fait que les solutions de sécurité réseau offrent une protection imparfaite. Pour résoudre ces problèmes, John Kindervag, alors vice-président et analyste principal de Forrester Research, a élaboré le concept d’une stratégie de sécurité dite de confiance zéro, basée sur le concept que toute confiance accordée à une politique de sécurité est une vulnérabilité potentielle.

Dans le cadre d’une stratégie de sécurité Zero Trust, on va de la confiance accordée implicitement aux initiés et de la méfiance envers les tiers au refus d’accorder automatiquement la confiance à quiconque. Au lieu de cela, l’accès et les autorisations sont accordés au cas par cas en fonction des besoins de l’entreprise et des exigences des rôles. Pour une bonne introduction à la confiance zéro, lisez la suite sur l’architecture de confiance zéro.

Qu’est-ce qu’un réseau Zero Trust ?

La mise en œuvre de principes de confiance zéro dans l’environnement d’une entreprise conduit au développement d’un réseau de confiance zéro. Il s’agit d’un réseau qui met en œuvre et applique des politiques de confiance zéro, telles que l’accès au réseau de confiance zéro (ZTNA) ou le périmètre défini par logiciel (SDP), de manière cohérente dans l’ensemble de l’environnement d’une entreprise.

Ci-dessous, nous décrivons comment passer d’un modèle de sécurité traditionnel basé sur un périmètre à un réseau de confiance zéro capable de répondre et de gérer les cybermenaces modernes.

Étape 1 : Identifier une surface de protection

La gestion de l’accès aux actifs de l’entreprise est un principe central d’une stratégie de sécurité de confiance zéro. Comme mentionné précédemment, les politiques de confiance zéro donnent accès aux ressources au cas par cas en fonction de contrôles d’accès basés sur les rôles. Et pour être en mesure de gérer l’accès aux ressources, les entreprises doivent savoir ce que sont ces ressources.

Une étape critique dans le développement d’un réseau de confiance zéro est de définir la surface de protection, qui est composée des ressources qu’une entreprise souhaite sécuriser. Une surface de protection se compose du « DAAS » d’une entreprise, c’est-à-dire :

  • Données: L’une des raisons les plus courantes de l’adoption d’une stratégie de confiance zéro est d’éviter les violations de données et de respecter les exigences de conformité des réglementations en matière de protection des données. L’identification et la classification des données d’une entreprise sont essentielles pour gérer correctement l’accès à ces ressources.
  • Actifs : L’entreprise moderne dispose d’un large éventail d’actifs, y compris les ordinateurs traditionnels, les appareils mobiles, les ressources basées sur le cloud et les appareils de l’Internet des objets (IdO). En raison de l’essor du télétravail et des appareils mobiles, de nombreuses entreprises peinent à maintenir une visibilité sur l’ensemble de leur catalogue d’actifs. Il est essentiel de combler ces lacunes en matière de visibilité pour déployer efficacement la confiance zéro.
  • Applications : Les applications sont des ressources précieuses pour toute entreprise et une cible commune des cyberattaques. L’exploitation des vulnérabilités des applications peut fournir à un assaillant un accès à des données précieuses ou une base à partir de laquelle il peut exploiter d’autres cibles. Les entreprises ont besoin d’une liste complète de leurs applications d’entreprise pour développer une stratégie afin de les sécuriser.
  • Services : Parce que le cloud ne cesse de croître, de nombreuses entreprises utilisent ou offrent des services cloud. Ces services constituent également des vulnérabilités potentielles et des vecteurs d’attaque pour les cybercriminels, et doivent également être identifiés et protégés.

Étape 2 : Explorer les interdépendances

Les réseaux de confiance zéro fonctionnent sur le principe du moindre privilège. Cela veut dire que les utilisateurs reçoivent uniquement les autorisations dont ils ont besoin pour faire leur travail.

Pour attribuer correctement ces autorisations, les entreprises doivent comprendre l’accès et les autorisations dont leurs employés et leurs ressources informatiques ont besoin pour remplir leurs rôles. La meilleure manière d’y parvenir est de surveiller les tâches réalisées dans le cadre des activités quotidiennes de l’organisation.

En surveillant leur réseau, les entreprises peuvent dresser un plan des communications et des interdépendances entre leur « DAAS », leur infrastructure, leurs services et leurs utilisateurs. En visualisant ces flux de réseau, il est possible de déterminer quelles communications devraient être autorisées dans le cadre d’une politique de confiance zéro et lesquelles devraient être bloquées comme étant inappropriées ou inutiles.

Cet examen des dépendances et des modèles de communication au sein du réseau d’une entreprise aide à préparer le terrain pour le déploiement d’une stratégie de confiance zéro, mais ce n’est pas le seul avantage. Si des flux anormaux ou suspects sont détectés, cela peut déclencher des activités de réponse aux incidents qui aident les entreprises à éradiquer les infections au sein de leurs réseaux.

Étape 3 : Mettre en place une micro-segmentation

Les contrôles d’accès sont généralement appliqués aux limites du réseau où le trafic est acheminé via une appliance de sécurité réseau. Pour mettre en œuvre une stratégie de confiance zéro, les entreprises doivent avoir un bon nombre de ces limites pour fournir une protection granulaire et un contrôle d’accès aux ressources de l’entreprise.

La création de limites de réseau à travers le réseau d’entreprise requiert la mise en œuvre de la micro-segmentation. La micro-segmentation place chaque actif de l’entreprise dans son propre périmètre et effectue la surveillance et le filtrage du trafic au niveau de la Couche 7.

Cette surveillance de la Couche 7 est essentielle pour obtenir la visibilité requise pour une confiance zéro. En raison de l’essor de l’informatique cloud et des modèles de prestation de services, l’analyse du trafic de Couche 3/4 ne fournit plus la granularité et la visibilité nécessaires pour déterminer l’objectif du trafic réseau. Avec l’analyse de la Couche 7, les entreprises peuvent visualiser les données de la couche application et les inclure dans leurs décisions de contrôle d’accès.

Lors de l’élaboration d’une politique de micro-segmentation, la méthode de Kipling peut s’avérer une ressource utile. Elle définit une politique de confiance zéro basée sur la réponse à six questions, notamment :

  1. Qui fait la demande?
  2. Qu’est-il exigé de la ressource ?
  3. D’où provient la demande?
  4. Quand la demande a-t-elle été faite ?
  5. Pourquoi l’utilisateur a-t-il besoin d’accéder à cette ressource ?
  6. Comment l’utilisateur demande-t-il l’accès ?

En répondant à ces questions, les entreprises peuvent déterminer si une demande particulière est conforme ou non à ses politiques de sécurité. Par exemple, l’accès à une ressource particulière peut être autorisé uniquement à partir de certains ordinateurs, mais une demande d’accès peut être effectuée à partir de l’appareil d’un télétravailleur. Même si le télétravailleur dispose d’un accès légitime à la ressource, la demande ne doit pas être accordée si elle provient du mauvais appareil. Savoir non seulement Qui, mais Ce qui, est essentiel pour prendre la bonne décision en matière de contrôle d’accès.

Préparation à votre parcours Zero Trust

Les événements récents ont démontré que les stratégies de sécurité traditionnelles ne fonctionnent tout simplement pas. Les violations de données sont quotidiennes, les attaques par ransomware se multiplient et les autres cybermenaces n’ont pas disparu. Les entreprises ont plus que jamais besoin de sécuriser leurs personnels distants.

La mise en œuvre d’un réseau de confiance zéro est un processus en plusieurs étapes, mais l’étape la plus importante est la sélection des solutions de sécurité appropriées pour mettre en œuvre les politiques de confiance zéro de l’entreprise. Les solutions de sécurité existantes n’ont pas la portée ou la granularité de sécurité suffisantes pour appliquer des politiques de confiance zéro. Le ZTNA fait partie intégrante du cadre SASE (Secure Access Service Edge) de Gartner et constitue une alternative idéale aux solutions traditionnelles.

Le SASE rend la mise en œuvre du Zero Trust simple et sans souci. Avec le SASE, tout le trafic passe par un point de présence (PoP) SASE, ce qui permet l’analyse du trafic de Couche 7 et l’application de la politique de sécurité. Le SASE a également la capacité d’appliquer des politiques de confiance zéro pour un personnel distant avec le ZTNA, ce qui est de plus en plus vital pour l’entreprise moderne. Pour en savoir plus, consultez le lien suivant sur les fonctionnalités ZTNA du SASE.

Cato Networks est un leader de l’espace du SASE et a été reconnu à plusieurs reprises dans le Guide du marché ZTNA de Gartner comme fournisseur des solutions de réseau et de sécurité dont les entreprises auront besoin à l’avenir. Pour en savoir plus sur la façon d’utiliser le SASE pour mettre en œuvre le Zero Trust, contactez-nous. Vous pouvez également demander une démo pour découvrir par vous-même les fonctionnalités de Cato SASE Cloud.

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.