ZTNA: Zero Trust Network Access

Réseau Zero Trust : Pourquoi vous en avez besoin et les 5 étapes pour commencer

Qu’est-ce qu’un ZTN (Zero Trust Network) ?

Le modèle de sécurité Zero Trust impose qu’aucun utilisateur ou aucune entité ne soit digne de confiance, que ce soit à l’intérieur ou à l’extérieur de l’entreprise. Il n’y a pas de périmètre réseau. À la place, des micropérimètres entourent des systèmes spécifiques, chacun avec ses propres politiques de sécurité. Chaque utilisateur ou entité ne bénéficie que de l’accès minimal qui lui est nécessaire pour remplir son rôle.

Dans le passé, la sécurité du réseau était principalement basée sur la défense du périmètre. Des systèmes tels que les pare-feu et les systèmes de détection/prévention des intrusions (IDS/IPS) étaient déployés à la périphérie du réseau et étaient chargés d’empêcher les intrus de pénétrer le réseau. Dans un réseau Zero Trust, ces outils sont toujours utilisés, mais sont complétés par des mesures avancées pour stopper les assaillants alors qu’ils se trouvent déjà dans le réseau d’entreprise.

Les réseaux de confiance zéro se basent sur le concept de microsegmentation pour diviser le réseau d’entreprise plus étendu en plusieurs réseaux plus petits, avec un chevauchement minimal entre eux. Ainsi, en cas de violation d’une partie spécifique du réseau, les assaillants ne peuvent pas progresser latéralement vers d’autres systèmes. La surveillance doit être établie pour obtenir une visibilité sur le trafic circulant dans le réseau et entre les segments du réseau, pour permettre l’audit et l’identification des activités anormales.

Défis de l’ancien modèle de sécurité réseau

L’ancien modèle de sécurité réseau, qui accordait sa confiance aux entités situées à l’intérieur du périmètre du réseau, a toujours été problématique, mais les récentes évolutions de l’environnement informatique l’ont mis à genoux. Nous assistons à une énorme croissance du télétravail, à l’utilisation croissante des ressources cloud, des appareils de l’Internet des Objets (IdT) et d’autres éléments se connectant à distance au système de l’entreprise.

L’accès distant à un réseau d’entreprise est devenu la règle, et non l’exception. Il expose les adresses IP internes et crée de nouveaux vecteurs d’attaque. Les assaillants peuvent facilement compromettre les appareils des utilisateurs finaux via l’ingénierie sociale, et accéder ensuite à l’ensemble du réseau. Les ressources cloud et les appareils IdO sont sujets à des erreurs de configuration que les assaillants peuvent également exploiter pour compromettre ces entités et pénétrer dans le réseau.

En particulier, le réseau privé virtuel (VPN) est une technologie vieillissante qui est difficile à sécuriser et à gérer. Beaucoup d’entreprises réalisent que le VPN n’est plus un moyen viable d’accorder un accès distant aux systèmes de l’entreprise.

Ces développements entraînent la disparition de l’ancien périmètre de réseau et donnent naissance au concept de confiance zéro — « ne jamais faire confiance à un compte d’utilisateur ou à une connexion, qu’il provienne de l’intérieur ou de l’extérieur du réseau d’entreprise ».

Principes de la sécurité réseau Zero Trust

Voici quelques techniques et bonnes pratiques qui peuvent vous aider à faire évoluer votre réseau vers un modèle de confiance zéro :

  • Accès de moindre privilège — tous les utilisateurs du réseau ne doivent avoir accès qu’aux applications et fonctionnalités dont ils ont réellement besoin. Cela limite la capacité d’un assaillant à progresser latéralement d’un système à un autre, et réduit ainsi les dommages causés par une violation.
  • Microsegmentation — divise le réseau en différents segments aux identifiants d’accès différents. Cela offre une protection supplémentaire, empêchant les assaillants de progresser vers d’autres segments après qu’un segment de réseau est compromis.
  • Contrôles de l’utilisation des données — limitent l’usage que les utilisateurs autorisés peuvent faire des données. Ces contrôles doivent être effectués de manière dynamique, par exemple en révoquant le droit d’accéder aux ensembles de données financières lorsqu’un employé quitte le service financier.
  • Surveillance continue — détermine la façon dont les utilisateurs et les entités interagissent avec les données et les autres systèmes. Cela peut alerter les équipes de sécurité des violations. Mais outre les alertes et des réponses manuelles, la surveillance peut également être connectée à des contrôles de sécurité adaptatifs, capables de réagir automatiquement aux comportements suspects.

Types de solutions réseau Zero Trust

La principale solution technologique utilisée pour déployer un réseau de confiance zéro est le Zero Trust Network Access (ZTNA). Gartner a identifié deux approches que les fournisseurs utilisent lors du développement des solutions ZTNA : ZTNA initié par le point de terminaison et ZTNA initié par le service.

ZTNA initié par le point de terminaison

Ce type de solution suit la spécification SDP (Software Defined Perimeter) de la Cloud Security Alliance (CSA), une première norme pour les réseaux de confiance zéro. Elle suit en général le processus suivant :

  1. Un agent est installé sur l’appareil de l’utilisateur final authentifié, lequel envoie des informations sur le contexte de sécurité à un contrôleur.
  2. Le contrôleur demande l’authentification de l’utilisateur de l’appareil et renvoie une liste d’applications autorisées.
  3. Le contrôleur fournit une connexion à partir de l’appareil par l’intermédiaire d’une passerelle, protégeant le service d’un accès Internet direct, d’attaques de déni de service (DoS) et d’autres menaces provenant des réseaux publics.
  4. Lorsque le contrôleur établit une connexion, certains produits restent dans le chemin des données. D’autres se retirent et permettent à l’appareil et au service d’interagir directement.

Avantages et inconvénients
L’avantage de ce type de ZTNA est qu’il fournit des informations détaillées sur le contexte de l’appareil qui se connecte. Il est également possible d’effectuer des contrôles d’état sur l’appareil et de s’assurer qu’il est à jour et a été analysé pour détecter des logiciels malveillants.

L’inconvénient de ce type de ZTNA est de n’être pertinent que pour les appareils managés. Ils sont très difficiles à déployer sur des appareils personnels. Ceux-ci peuvent être utilisés exclusivement lorsque l’entreprise utilise une politique « Apportez vos appareils personnels » (BYOD), ou occasionnellement lorsque les employés se connectent à des services depuis leur domicile ou depuis des appareils mobiles.

Dans certains cas, ce problème peut être résolu en utilisant l’UES (Unified Endpoint Security – Sécurité unifiée des points de terminaison), que les utilisateurs pourraient être plus disposés à déployer sur des appareils personnels, et qui peut servir d’agent dans le processus ZTNA.

ZTNA initié par le service

Ce type de solution s’inscrit dans l’infrastructure Google BeyondCorp — un modèle créé par Google pour mettre en œuvre la confiance zéro dans les organisations. Elle fonctionne ainsi :

  1. Un connecteur installé sur le même réseau que l’application établit et maintient une connexion sortante avec un fournisseur de services cloud.
  2. Les utilisateurs se connectent au service cloud, et celui-ci authentifie les utilisateurs via une technologie de gestion d’identité d’entreprise.
  3. Le fournisseur cloud vérifie l’autorisation de l’utilisateur pour accéder aux applications protégées.
  4. Ce n’est qu’après une authentification et une autorisation réussies que le trafic passe du service cloud à l’application, située derrière le pare-feu.

Cette architecture isole les applications de l’accès direct via un proxy. Il n’est pas nécessaire d’ouvrir des pare-feu d’entreprise pour le trafic entrant. Toutefois, l’organisation devient dépendante du réseau du fournisseur de services et doit s’assurer que ce dernier offre un niveau de sécurité suffisant.

Avantages et inconvénients
L’avantage du ZTNA initié par le service est qu’il s’agit d’une méthode attrayante pour les appareils non managés, car aucun agent n’est nécessaire sur chaque appareil d’utilisateur final.

L’inconvénient est que dans certaines solutions ZTNA, le protocole de l’application doit être basé sur HTTP/HTTPS, ce qui limite la solution aux applications Web. Les applications utilisant des protocoles tels que Secure Shell (SSH) ou Remote Desktop Protocol (RDP) peuvent ne pas être prises en charge.

5 étapes pour créer un réseau Zero Trust

Les réseaux de confiance zéro ne s’appuient pas sur du matériel spécifique, mais sur de nouvelles méthodes de sécurité. Vous pouvez utiliser le processus suivant pour transformer votre infrastructure existante en un réseau de confiance zéro :

  1. Créer un inventaire des actifs — évaluer la valeur et la vulnérabilité des actifs de l’entreprise, tels que les applications critiques, les données sensibles ou la propriété intellectuelle, en créant un inventaire des actifs.
  2. Vérifier les comptes, les utilisateurs et les appareils — dans de nombreux cas, les violations résultent d’appareils usurpés ou de comptes compromis. Pour maintenir la confiance zéro, les appareils et les utilisateurs doivent prouver leur identité et leurs propriétés (par exemple, un appareil inconnu doit être vérifié comme étant inoffensif). La vérification peut être effectuée via une authentification multifacteur (MFA), une analyse comportementale, des agents de point de terminaison et une analyse des critères de l’appareil.
  3. Définir les flux de travail autorisés – déterminez qui peut avoir accès à vos actifs, quand, comment et pourquoi l’accès est accordé dans le cadre des processus métiers normaux.
  4. Définir des politiques et les automatiser : définissez une politique d’authentification basée sur les métadonnées disponibles, telles que l’appareil, l’emplacement, la source, l’heure, et le contexte comme l’activité récente et les résultats de la MFA. Le ZTNA peut vous aider à automatiser ces processus.
  5. Tester, surveiller et maintenir — utilisez la modélisation des menaces afin de déterminer où l’accès devrait être limité afin d’éliminer les menaces les plus pertinentes et de minimiser l’impact sur la productivité. Les équipes de sécurité doivent surveiller en permanence l’activité de l’appareil pour détecter les anomalies et ajuster activement les politiques pour prévenir les nouvelles menaces.

Zero Trust Network avec Cato SASE Cloud

La solution de confiance zéro de Cato — Cato SDP — fournit un réseau de confiance zéro pour accéder en toute sécurité aux applications sur site et dans le cloud via n’importe quel appareil. Avec un accès par le biais d’un navigateur avec ou sans client Cato, les utilisateurs se connectent en toute sécurité au PoP Cato le plus proche via une puissante authentification multifacteur.

Intégrée à la plateforme SASE de Cato, Cato SDP offre les fonctionnalités clés suivantes :

  • Évolutivité : Cato SDP évolue instantanément pour prendre en charge un accès optimisé et sécurisé à un nombre illimité d’utilisateurs, d’appareils et d’emplacements, sans nécessiter d’infrastructure supplémentaire.
  • Accès et authentification : Cato SDP applique des politiques d’authentification multifacteur et d’accès aux applications granulaires qui limitent l’accès aux applications approuvées, à la fois sur site et dans le cloud. Les utilisateurs n’ont pas accès à la couche réseau, ce qui réduit considérablement les risques.
  • Protection contre les menaces : Cato SDP offre une protection continue contre les menaces en effectuant une inspection approfondie des paquets (DPI) pour la prévention des menaces sur la totalité du trafic. La protection contre les menaces est étendue de manière transparente à Internet et à l’accès aux applications, que ce soit sur site ou dans le cloud.
  • Performances : Cato SDP permet aux utilisateurs distants d’accéder aux ressources de l’entreprise via une dorsale privée mondiale, et non l’Internet public imprévisible. Cela offre une expérience cohérente et optimisée à tous et en tous lieux.

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.