ZTNA: Zero Trust Network Access

Solutions Zero Trust : 5 catégories de solutions et comment choisir

Quelles sont les solutions Zero Trust ?

Les solutions Zero Trust sont des boîtes à outils de sécurité qui intègrent des contrôles d’accès au réseau et des mesures de sécurité pour mettre en œuvre le principe de confiance zéro, qui considère tous les utilisateurs et entités comme potentiellement malveillants jusqu’à preuve de leur sécurité. La mise en œuvre de réseaux de confiance zéro exige souvent que les organisations combinent plusieurs outils et processus.

Les solutions de sécurité de confiance zéro offrent une gamme de fonctionnalités de sécurité et de surveillance qui protègent un réseau contre les failles de sécurité. Par exemple, une solution de sécurité de confiance zéro combine plusieurs processus pour authentifier un utilisateur, offrant des mesures de sécurité supplémentaires telles que la gestion multiréseau, la segmentation et la surveillance.

5 catégories de solutions Zero Trust

La confiance zéro n’est pas une technologie – c’est un paradigme de sécurité. Cela veut dire que de nombreuses technologies existantes peuvent être utilisées pour mettre en œuvre une architecture de confiance zéro. En outre, de nouvelles catégories de solutions construites d’emblée pour un modèle de sécurité de confiance zéro sont en train de faire leur apparition.

1. Authentification multifacteur (MFA) et authentification unique (SSO)

Une importante partie d’une implémentation de confiance zéro consiste à s’assurer que la confiance n’est pas basée sur le segment de réseau dans lequel l’utilisateur opère, mais sur une vérification d’identité explicite. En outre, les noms d’utilisateur et les mots de passe peuvent être facilement compromis par des assaillants et ne sont plus appropriés en tant que forme d’authentification unique. Pour activer la confiance zéro, vous pouvez tirer parti de :

  • MFA : combine plusieurs formes d’authentification pour assurer une authentification forte des identités des utilisateurs et réduire l’impact du vol d’identifiants.
  • SSO : permet aux utilisateurs de se connecter avec un ensemble d’informations d’identification et d’accéder à toutes les applications d’entreprise, conformément à l’autorisation de leur compte. Cela élimine le besoin de mots de passe multiples, permet un contrôle centralisé des comptes utilisateurs et est également plus pratique pour les utilisateurs.

2. IAM (Gestion des activités et des accès)

Une exigence clé de la confiance zéro est la sécurité basée sur l’identité. Elle est basée sur les systèmes de gestion des identités et des accès (IAM), qui sont généralement basés sur le cloud. Un système IAM fournit des fonctionnalités telles que :

  • Gestion du cycle de vie pour les utilisateurs internes et externes
  • Gouvernance centrale des identités
  • Gestion des accès privilégiés (PAM)
  • Contrôles d’accès basés sur les rôles et les attributs (RBAC et ABAC)
  • Accès juste-à-temps (JAT) permettant au personnel d’accéder aux systèmes selon les besoins, ce qui permet un accès d’urgence ou basé sur des exceptions

Grâce à ces fonctionnalités, les systèmes IAM modernes peuvent vous aider à appliquer des accès de moindre privilège dans toute l’entreprise. Vous pouvez également appliquer des autorisations en fonction de l’heure et de l’emplacement de l’utilisateur pour réduire la surface d’attaque. Cela garantit que chaque utilisateur — qu’il s’agisse d’un employé interne, d’un entrepreneur tiers ou d’un client — n’a accès qu’aux systèmes et aux opérations dont il a réellement besoin pour son rôle.

3. Accès réseau Zero Trust (ZTNA)

Le ZTNA, précédemment connu sous le nom de SDP (Software-defined Perimeter), est une solution d’accès avancée qui ne permet aux utilisateurs de se connecter à une application que s’ils en ont besoin pour remplir leurs rôles. Les autorisations d’utilisateur sont définies à l’aide de rôles qui correspondent directement au rôle organisationnel de l’employé.

Une solution ZTNA authentifie d’abord un utilisateur, vérifie son identité et le lie aux rôles définis dans l’organisation. Tous les accès aux systèmes sur le réseau interne passent par le système ZTNA. Le ZTNA permet au trafic de passer par un système spécifique, ou bloque l’accès, en fonction du résultat de l’authentification et des rôles prédéterminés de l’utilisateur.

Les solutions ZTNA remplacent les réseaux privés virtuels (VPN). Les VPN offrent un moyen sécurisé de se connecter à un réseau, mais donnent aux utilisateurs un accès à l’ensemble du réseau et à toutes ses ressources, ce qui n’est pas compatible avec la confiance zéro. Le ZTNA crée un périmètre logiciel qui définit de manière granulaire les centres de données, environnements et applications spécifiques auxquels un utilisateur doit avoir accès.

Pour en savoir plus, consultez notre guide du ZTNA

4. Secure Access Service Edge (SASE)

Le service d’accès distant sécurisé (SASE) est un service basé sur le cloud qui fournit la connectivité WAN, l’accès distant et des fonctionnalités de sécurité. Le SASE étend les capacités de mise en réseau partout où l’organisation opère – dans le centre de données local et dans un ou plusieurs clouds publics.

Le SASE est un service qui regroupe en son sein plusieurs solutions technologiques :

  • ZTNA : décrit ci-dessus.
  • SD-WAN : une architecture WAN virtuelle qui améliore l’agilité et réduit les coûts pour les réseaux étendus, tirant parti de tous les services de données disponibles, y compris le MPLS, le haut débit et le sans-fil.
  • Pare-feu en tant que service (FWaaS) : fournit un pare-feu managé partout où l’organisation exécute des services logiciels.
  • Passerelle Web sécurisée (SWG) : gère l’accès à distance pour les utilisateurs.
  • Courtier de sécurité d’accès au cloud (CASB) : exécute l’application de la politique de sécurité pour les ressources locales ou les utilisateurs accédant au cloud.

En savoir plus sur le SASE

Réseaux Zero Trust vs Réseaux privés virtuels (VPN)

Les réseaux privés virtuels (VPN) permettent aux utilisateurs d’accéder à distance à un réseau d’entreprise. Le logiciel client déployé sur l’appareil de l’utilisateur communique avec un serveur VPN ou une appliance du réseau d’entreprise via un canal chiffré.

Alors que le VPN permet la communication sur un canal sécurisé, sa faiblesse est de supposer que l’appareil de l’utilisateur est fiable. Si l’utilisateur fournit des informations d’identification correctes, il est autorisé à accéder partout dans le réseau. Par conséquent, si l’appareil ou le compte de l’utilisateur est compromis, ou si des assaillants exploitent une vulnérabilité du VPN, ils peuvent se déplacer latéralement à travers le réseau d’entreprise.

Les VPN ne sont pas compatibles avec un modèle de sécurité de confiance zéro. Pour atteindre la confiance zéro, le ZTNA remplace le VPN, permettant un accès granulaire aux ressources sur le réseau. L’accès est accordé à chaque utilisateur en fonction de son rôle et du contexte de sécurité courant – par exemple, l’appareil qu’il utilise et l’heure de la journée. Le ZTNA autorise chaque demande d’accès, en vérifiant en permanence que les utilisateurs sont autorisés à accéder aux ressources du réseau.

Comment choisir des solutions Zero Trust ?

Pour déterminer quelle solution de confiance zéro vous convient le mieux, tenez compte des points clés suivants :

  • Prise en charge fournisseurs – Avez-vous besoin d’installer un agent d’extrémité et de prendre en charge tous les systèmes d’exploitation et appareils mobiles ? Surveillez le comportement de l’agent en présence d’autres agents et vérifiez quels appareils et systèmes d’exploitation le fournisseur prend en charge.
  • Le type de technologie de confiance zéro – par exemple, un courtier ZTNA que vous devez installer et gérer ou un accès réseau de confiance zéro en tant que service (ZTNAaaS).
  • Évaluations de la posture de sécurité : le fournisseur vous permet-il d’évaluer la posture de sécurité des appareils managés et non managés ou avez-vous besoin d’utiliser un outil de gestion unifiée des points de terminaison (UEM) ?
  • Analyse du comportement des utilisateurs et des entités (UEBA) : la solution inclut-elle une fonctionnalité UEBA pour identifier une activité suspecte au sein du réseau protégé ?
  • Répartition mondiale : la diversité géographique des points d’entrée et de sortie (p. ex., emplacements edge et POP). Déterminer quels fournisseurs d’infrastructure edge/physique ou quelles installations de colocation le fournisseur utilise.
  • Prise en charge des applications héritées : déterminez s’il existe une prise en charge de la sécurité pour les applications héritées en plus des applications Web.
  • Conformité aux normes de l’industrie : préférez un fournisseur qui répond à des normes de sécurité strictes. Un fournisseur de confiance zéro devrait au moins avoir la certification ISO 27001, et devrait de préférence répondre aux exigences de sécurité SOC2.
  • Le modèle de licence : vérifiez le type de licence (c’est-à-dire par bande passante ou par utilisateur) et vérifiez si le protocole pour le dépassement d’utilisation pendant la durée du contrat (c’est-à-dire s’il existe un délai de grâce, l’obligation de fournir un paiement d’ajustement ou la perte d’accès).

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.