Architecture Zero Trust expliquée

L’infrastructure réseau actuelle est devenue très fluide et s’étend jusqu’au cloud : SaaS, IaaS et PaaS. En outre, un nombre croissant d'appareils et d'utilisateurs dispersés entrent dans des catégories telles que appareils gérés par l'utilisateur (BYOD) , IoT et travailleurs à distance. L’approche traditionnelle de la sécurité a moins de sens dans des environnements aussi diversifiés et distribués. L’une des principales faiblesses de l’approche conventionnelle de la sécurité est qu’elle suppose que tout ce qui se trouve à l’intérieur du réseau d’une organisation est fiable.

L’une des implications de cette hypothèse est qu’elle nous maintient aveugles aux menaces qui pénètrent à l’intérieur du réseau, qui sont ensuite laissées errer et attaquer le réseau partout où elles le souhaitent. Pour surmonter cette lacune, les organisations doivent adopter une nouvelle approche pour protéger l’infrastructure réseau moderne. Cette nouvelle approche s'appelleArchitecture de confiance zéro (ZTA).

Qu’est-ce que l’architecture Zero Trust (ZTA) ?

L'architecture Zero Trust (ZTA), également connue sous le nom de modèle de sécurité Zero Trust ou Zero Trust Network Access (ZTNA), est un changement d'approche de la sécurité par lequell'accès est refusé à moins qu'il ne soit explicitement accordé et que le droit d'accès soit vérifié en permanence. L'idée derrière ZTA est que les périphériques réseau ne doivent pas être fiables par défaut, même s'ils sont connectés à un réseau d'entreprise ou ont été préalablement vérifiés. L'approche zéro confiance préconise de vérifier l'identité et l'intégrité des appareils, quel que soit leur emplacement, et de fournir un accès aux applications et aux services sur la base de la confiance dans l'identité et la santé de l'appareil, combinée à l'authentification des utilisateurs.

ZTA réduit les risques de menaces internes en vérifiant systématiquement les utilisateurs et en validant les appareils avant d'accorder l'accès aux ressources sensibles. Pour les utilisateurs externes, les services sont cachés sur l’Internet public, les protégeant ainsi des attaquants, et l’accès ne sera fourni qu’après approbation de leur courtier de confiance. Selon Gartner , d'ici 2022, 80 % des nouvelles applications commerciales numériques seront accessibles via ZTNA. Publication spéciale du National Institute of Standards and Technology (NIST) des États-Unis NIST SP 800-207 fournit des directives et des recommandations détaillées, indépendantes du fournisseur, pour les organisations publiques et privées cherchant à mettre en œuvre les principes ZTA.

Comment fonctionne l’architecture Zero Trust ?

ZTA fonctionne en réunissant diverses technologies modernes qui contribuent d’une manière ou d’une autre à mettre en œuvre la philosophie du Zero Trust : « ne jamais faire confiance, toujours vérifier ». Les technologies comprennent gestion des identités et des accès (IAM) , authentification multifacteur basée sur le risque, sécurité des points finaux de nouvelle génération , pare-feu de nouvelle génération (NGFW) , le chiffrement de bout en bout et les technologies qui vérifient l'état des actifs et des points de terminaison avant qu'ils ne se connectent aux applications, entre autres.

ZTA suppose que tout utilisateur, actif ou ressource n'est pas digne de confiance et doit être vérifié et évalué en permanence pour chaque session et activité avant que l'accès ne soit accordé. Il s’agit d’une rupture totale avec le modèle traditionnel de sécurité des réseaux, qui reposait sur le principe « faire confiance mais vérifier ». L’approche conventionnelle faisait automatiquement confiance aux utilisateurs et aux points finaux au sein du périmètre de l’organisation, exposant l’organisation au risque des acteurs de menace internes, permettant aux comptes non autorisés et compromis d’accéder sans restriction au sein du réseau de l’entreprise. Ce modèle est devenu obsolète avec l’avènement du cloud computing et l’accélération d’un environnement de travail distribué.

Dans ZTA, chaque tentative d'un utilisateur ou d'un appareil pour accéder aux ressources du réseau doit faire l'objet d'une vérification d'identité stricte. Et cela va au-delà de l’utilisation du nom d’utilisateur, du mot de passe et du jeton d’identification pour l’authentification. Il doit également inclure les paramètres qui, quoi, où, quand, pourquoi et comment. Cela implique que l'utilisateur, l'appareil utilisé, l'emplacement, l'heure de la journée, le but de l'accès et les privilèges d'accès doivent être validés. L'accès peut être refusé s'il est déterminé que l'un de ces attributs se situe en dehors des limites d'utilisation acceptables.

Vous pouvez considérer la ZTA comme similaire à la mise en œuvre d’un contrôle d’accès physique pour protéger l’accès aux zones et emplacements critiques d’un complexe immobilier. Ainsi, au lieu d'avoir un seul dispositif de contrôle d'accès qui authentifie les utilisateurs à la porte principale ou dans la zone de réception, partez du principe que personne n'est digne de confiance et installez-le à l'entrée d'un bureau, d'une salle de réunion, d'une salle de serveurs, d'une bibliothèque et d'autres endroits critiques du bâtiment. pour imposer un contrôle d’accès strict. Ceci, en un mot, explique le fonctionnement d’un ZTA.

Quels sont les principes fondamentaux de la ZTA ?

ZTA adopte certains principes fondamentaux pour empêcher un attaquant de se déplacer à travers ou au sein d'un réseau après avoir accédé à ce réseau. Un ZTA qui met en œuvre ces techniques peut facilement contenir les mouvements latéraux d’acteurs malveillants. De plus, l’appareil ou le compte utilisateur compromis peut être mis en quarantaine et interdit d’accès une fois la présence de l’attaquant détectée.

Principes fondamentaux de la ZTA

• Authentification multifacteur (MFA) : MFA est une technique de sécurité dans laquelle un utilisateur n'a accès à un système ou à un réseau qu'après avoir présenté avec succès deux ou plusieurs éléments de preuve (facteur d'authentification) à un mécanisme d'authentification. ZTA utilise cette technique pour réduire l'incidence du vol d'identité.
• Accès avec moindre privilège : Il s'agit d'un concept de sécurité dans lequel un utilisateur ne bénéficie que du minimum d'accès ou des autorisations nécessaires pour exécuter ses fonctions professionnelles. ZTA utilise cette technique pour limiter le « rayon d'explosion de l'utilisateur » et l'exposition aux parties sensibles d'un réseau.
• Contrôle d'accès aux appareils : ZTA exige également des règles strictes sur l’accès aux appareils. Pour ce faire, il surveille le nombre d'appareils tentant d'accéder au réseau, garantissant que chaque appareil est autorisé et répond aux conditions de santé requises. De plus, ZTA utilise cette technique pour limiter le « rayon d’explosion de l’appareil » et l’exposition aux parties sensibles d’un réseau. Cela minimise encore davantage la surface d’attaque du réseau.
• Microsegmentation : Cette technique de sécurité permet de diviser les périmètres de sécurité en segments de sécurité distincts jusqu'au niveau de charge de travail individuel, puis de définir des contrôles de sécurité et de fournir des services pour chaque segment unique. ZTA utilise cette technique pour garantir qu'une personne ou un programme ayant accès à l'un de ces segments n'accédera à aucun des autres segments sans autorisation distincte.
• Surveillance et vérification continues : Cela implique qu’aucun utilisateur ou appareil (à l’intérieur ou à l’extérieur) ne doit être automatiquement approuvé. ZTA vérifie l'identité et les privilèges des appareils et des utilisateurs et garantit que les sessions établies expirent périodiquement, obligeant ainsi les appareils et les utilisateurs à être revérifiés en permanence. Pour que cela fonctionne efficacement, l'accès conditionnel basé sur les risques garantit que le flux de travail n'est interrompu que lorsque des changements de niveaux de risque doivent être mis en place. Cela permet une vérification continue, sans sacrifier l'expérience utilisateur.

Quand devriez-vous envisager ZTA pour votre entreprise ?

Vous savez que votre entreprise est mûre pour un modèle de confiance zéro si les scénarios suivants s'appliquent à votre organisation :

• Votre organisation dispose d'un siège central et de plusieurs bureaux et employés distants qui ne sont pas reliés par une connexion réseau physique appartenant à l'entreprise. Et comme ces bureaux et employés sont distants, vos organisations utilisent des ressources et des applications cloud pour connecter les équipes.
• Votre organisation fait appel à une aide extérieure ou accorde à des sous-traitants, partenaires et clients tiers un certain niveau d'accès aux ressources de l'entreprise, aux applications internes, aux bases de données sensibles, aux services ou à d'autres actifs protégés.
• Votre organisation dispose de systèmes basés sur l'IoT avec d'énormes quantités de données collectées en permanence à partir de sources de données telles que des voitures, des véhicules, des navires, des usines, des routes, des terres agricoles, des chemins de fer connectés, etc., et transmises à votre réseau cloud.
• Votre organisation utilise plusieurs fournisseurs de cloud. Il dispose d’un réseau local mais utilise au moins deux fournisseurs de services cloud pour héberger les applications/services et les données. Et vous devez protéger une infrastructure réseau qui comprend des connexions multi-cloud et cloud à cloud, des appareils hybrides, multi-identités, non gérés, des systèmes existants et des applications SaaS.
• Votre organisation doit faire face à un paysage de menaces croissant qui inclut des menaces provenant d'initiés malveillants, rançongiciel , attaques de la chaîne d'approvisionnement , entre autres.

Si votre organisation se trouve à ce carrefour, cela peut être le moment idéal pour envisager ZTA dans votre réseau. La capacité de ZTA à accélérer la sensibilisation, à prévenir, détecter et répondre aux événements de sécurité avec une latence minimale en fait la stratégie de sécurité idéale pour faire face à ces scénarios.

Comment mettre en œuvre ZTA pour votre entreprise ?

Alors, comment les organisations devraient-elles appliquer les concepts ZTA pour répondre à la réalité de leur réseau moderne ? LeCadre NIST SP 800-207 sur ZTArecommande aux organisations de chercher à mettre en œuvre progressivement des principes de confiance zéro et des solutions technologiques qui protègent leurs actifs de données les plus précieux au lieu de remplacer carrément l'infrastructure ou les processus d'un seul coup. La migration vers un ZTA peut ne pas se produire en un seul cycle d’actualisation technologique. Il faut plutôt le voir comme un voyage. « La plupart des entreprises continueront à fonctionner dans un mode hybride zéro confiance/basé sur un périmètre pendant un certain temps tout en continuant à investir dans des initiatives de modernisation informatique en cours ».

Selon le cadre NIST ZTA, « avant d'entreprendre un effort pour introduire ZTA dans votre organisation, il convient de procéder à une étude des actifs, des sujets, des flux de données et des flux de travail. Cette prise de conscience constitue l’état fondamental qui doit être atteint avant qu’un déploiement de ZTA ne soit possible ». Ce qui suit est une méthodologie en cinq étapes pour mettre en œuvre ZTA dans votre organisation. Cela vous aidera à comprendre où vous en êtes dans votre processus de mise en œuvre et où aller ensuite d'une manière rentable et sans perturbation.

Méthodologie en cinq étapes pour mettre en œuvre ZTA dans votre organisation

1. Définir la surface protégée : La première étape consiste à définir votre surface protégée en déterminant quelles données ont de la valeur. Avec le Zero Trust, vous ne vous concentrez pas sur votre surface d’attaque mais uniquement sur les données, applications, actifs et services critiques les plus précieux pour votre organisation (surface protégée). Une fois défini, vous pouvez déplacer vos commandes le plus près possible de cette surface protégée pour créer un micro périmètre.
2. Cartographier les flux de transactions : La manière dont le trafic circule sur un réseau détermine la manière dont il doit être protégé. Une entreprise ne peut pas déterminer quels nouveaux processus ou systèmes doivent être mis en place si elle ne connaît pas l’état actuel de ses opérations. L’étape suivante consiste donc à déterminer où vont les données, à quoi elles servent et à quoi elles servent. Pour ce faire, vous cartographiez les flux de trafic de vos données sur vos réseaux via vos applications métiers. Une fois terminé, vous pouvez appliquer ZTA pour empêcher tout le reste d'entrer.
3. Concevez votre ZTA : Une fois que vous avez défini la surface protégée et cartographié le flux de données pour savoir ce qui doit être autorisé, vous pouvez alors concevoir un ZTA qui applique les micro-périmètres de votre réseau. Il n’existe pas de conception unique et universelle pour ZTA. Votre ZTA est unique à votre entreprise et est construite autour de la surface protégée. Parmi les exemples de technologies à considérer à ce stade figurent la virtualisation, pare-feu de nouvelle génération (NGFW) , Périmètre défini par logiciel (SDP) , entre autres.
4. Créez votre politique ZTA : Une fois le ZTA conçu, l'étape suivante consiste à créer vos politiques ZTA pour déterminer l'accès. Par exemple, vous pouvez adopter le concept qui, quoi, où, quand, pourquoi et comment pour déterminer qui sont vos utilisateurs, à quelles applications ils doivent accéder, pourquoi ils ont besoin d'accéder et comment ils ont tendance à se connecter à vos applications. Avec ce niveau d’application granulaire des politiques, vous pouvez être sûr que seul le trafic légitime sera autorisé.
5. Surveillez et entretenez votre ZTA : Une fois votre réseau et vos politiques Zero Trust en place, vous devez tout surveiller dans un souci d’amélioration continue. La seule façon de savoir s’il y a un problème est de surveiller le trafic sur l’ensemble de l’infrastructure. Cela nécessite une visibilité sur le réseau. L'inspection et la journalisation de tout le trafic fourniront des informations précieuses sur la manière d'améliorer le réseau au fil du temps.

Choisir la bonne solution ZTA pour votre entreprise

ZTA n’est pas un produit prêt à l’emploi, et ce n’est certainement pas un service. Comme vous pouvez le déduire de cet article, cela signifie exactement ce qu’il dit, zéro confiance : « ne jamais faire confiance, toujours vérifier ». Mais il existe une variété de vendeurs et de fournisseurs de solutions ZTA, il peut donc être difficile de choisir celui qui convient le mieux à votre entreprise et à votre budget.

Vous devez prendre en compte plusieurs facteurs : la solution ZTA nécessite-t-elle l'installation d'un agent de point final ? Le courtier de confiance s'intègre-t-il à votre fournisseur d'identité existant ? Le fournisseur est-il conforme à la norme NIST 800-207 ? L’assistance du fournisseur est-elle disponible dans votre région et dans quelle mesure ? Quelle est la diversité géographique des emplacements périphériques du fournisseur dans le monde ? Quel est le coût total de possession ? Pour vous aider à traverser le bruit, consultez notre article sur le sept meilleures solutions ZTA pour votre entreprise . Espérons que cela vous guidera dans le processus de choix de celui qui convient à votre entreprise.