ZTNA : Zero Trust Network Access

Qu’est-ce que le ZTNA (Zero Trust Network Access) ?

Zero Trust Network Access, également connu sous le nom de SDP (Software-defined Perimeter – périmètre défini par logiciel), est une approche moderne pour sécuriser l’accès aux applications et aux services à la fois pour les utilisateurs au bureau et en itinérance. Le fonctionnement de ZTNA est simple : refuser à tout le monde et à tout appareil l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

Avec les solutions réseau traditionnelles basées sur VPN, les utilisateurs authentifiés accèdent implicitement à tout sur le même sous-réseau. Seul un mot de passe empêche les utilisateurs non autorisés d’accéder à une ressource. Le ZTNA bouscule ce paradigme. Les utilisateurs ne peuvent « voir » que les applications et ressources spécifiques explicitement autorisées par la politique de sécurité de leur entreprise.

 

Cas d’emploi du ZTNA

Le ZTNA convient à de nombreux cas d’emploi. En voici quelques-uns parmi les plus courants :

  • Alternative au VPN – Connecte des utilisateurs mobiles et distants de manière plus sécurisée que les VPN existants. Le ZTNA est plus évolutif, il fournit une politique de sécurité en tous lieux, fonctionne dans l’informatique hybride et offre un accès plus granulaire. Gartner prévoit que d’ici 2023, 60 % des entreprises passeront du VPN au ZTNA.
  • Réduction des risques liés aux tiers — Donner aux entrepreneurs, aux fournisseurs et aux autres tiers l’accès à des applications internes spécifiques — et pas plus. Masquer les applications sensibles – Rendre les applications « invisibles » aux utilisateurs et appareils non autorisés. Le ZTNA peut réduire considérablement les risques liés aux menaces internes.
  • Intégration sécurisée des fusions et acquisitions – ZTNA réduit et simplifie le temps et la gestion nécessaires pour assurer une fusion ou une acquisition réussie et apporte une valeur immédiate à l’entreprise.

Comment fonctionne le ZTNA ?

Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les réseaux traditionnels se basaient sur un périmètre de réseau sécurisé contenant en interne des entités de confiance et en externe des entités non fiables. Aujourd’hui, le périmètre a disparu. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de faire face à ces changements.

Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, de la posture de l’appareil, etc. Le ZTNA est un service basé sur le cloud qui accepte les connexions à partir d’appareils gérés et non gérés, vérifie l’identité et autorise l’accès aux actifs de l’entreprise, que ce soit dans un centre de données sur site ou dans le cloud.
ZTNA Architecture

Les 4 fonctions du ZTNA

Le ZTNA remplit quatre fonctions essentielles :

  • Identifier – mapper tous les systèmes, applications et ressources auxquels les utilisateurs peuvent avoir besoin d’accéder à distance.
  • Appliquer – définir les politiques de conditions d’accès en vertu desquelles des individus spécifiques peuvent ou ne peuvent pas accéder à des ressources spécifiques.
  • Surveiller – journaliser et analyser toutes les tentatives d’accès des utilisateurs distants aux ressources, en s’assurant que les politiques appliquées sont conformes aux exigences de l’entreprise.
  • Ajuster – modifier les mauvaises configurations. Augmenter les privilèges d’accès ou les réduire pour soutenir une productivité optimale tout en minimisant les risques et l’exposition.

Flux utilisateur du ZTNA

Le flux de travail utilisateur du ZTNA ressemble à ce qui suit :

  1. Sur un canal sécurisé, un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust (ou une fonction de contrôleur). L’authentification multifacteur (MFA) est utilisée pour une sécurité accrue.
  2. Le contrôleur met en œuvre la politique de sécurité nécessaire, qui, en fonction de la mise en œuvre, pourrait vérifier divers attributs d’appareil, tels que le certificat d’appareil et la présence d’antivirus actuels, et des attributs en temps réel tels que l’emplacement de l’utilisateur.
  3. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur.
    Démo de Cato : Comment configurer et surveiller le ZTNA en quelques minutes

How ZTNA works

Comment mettre en œuvre le ZTNA ?

Il existe deux approches principales pour la mise en œuvre du ZTNA. L’une est basée sur l’agent et l’autre sur le service.

ZTNA basé sur l’agent

Dans le ZTNA basé sur l’agent, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de ce même appareil à un contrôleur. Ce contexte comprend généralement des facteurs tels que l’emplacement géographique, la date et l’heure ainsi que des informations plus approfondies telles que si l’appareil est compromis ou non par des logiciels malveillants. Le contrôleur invite l’utilisateur à s’authentifier sur l’appareil.

Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil par l’intermédiaire d’une passerelle. La passerelle protège les applications d’un accès direct à partir d’Internet et d’utilisateurs ou d’appareils non autorisés. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.

L’illustration ci-dessous présente un modèle conceptuel de ZTNA basé sur l’agent.

Source: Gartner (April 2019), ID: 386774

ZTNA basé sur le service

Dans le ZTNA basé sur le service, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. Les utilisateurs qui demandent l’accès à l’application sont authentifiés par un service dans le cloud, qui est suivi de la validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui assure une isolation contre l’accès direct et les attaques via un proxy.

Notez qu’aucun agent n’est requis sur l’appareil de l’utilisateur, ce qui en fait une bonne option pour fournir la connectivité et l’accès aux applications à partir d’appareils non gérés.

L’illustration ci-dessous présente un modèle conceptuel de ZTNA basé sur le service.

Source: Gartner (April 2019), ID: 386774

ZTNA et SASE

Avec le service d’accès distant sécurisé (SASE), la fonction de contrôleur ZTNA fait partie du PoP SASE et un connecteur SDP n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés, et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par la politique de sécurité dans le pare-feu de nouvelle génération (NGFW) du SASE.

Mais le ZTNA n’est qu’une petite partie du Service d’accès distant sécurisé (SASE). Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Ils ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.

Le SASE répond à ces défis en regroupant le ZTNA avec une suite complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et un backbone privé.

Les entreprises qui tirent parti du SASE bénéficient des avantages du ZTNA ainsi que d’une suite complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.

Solutions Zero Trust : 5 catégories de solutions et comment choisir

Les solutions Zero Trust sont des boîtes à outils de sécurité qui intègrent des contrôles d’accès au réseau et des mesures de sécurité pour mettre en œuvre le principe de confiance-zéro, qui considère tous les utilisateurs et entités comme potentiellement malveillants jusqu’à preuve de leur sécurité. La mise en œuvre de réseaux de confiance-zéro exige souvent que les organisations combinent plusieurs outils et processus.

En savoir plus sur les solutions Zero Trust

Comment mettre en œuvre le Zero Trust : 5 étapes et check-list de déploiement

Un modèle de sécurité Zero Trust peut aider les entreprises à améliorer la sécurité des données et des ressources informatiques tout en gagnant en visibilité dans leur écosystème. L’implémentation de confiance-zéro comporte généralement au moins cinq étapes, qui comprennent l’ajout de microsegmentation au réseau, l’ajout d’une authentification multifacteurs et la validation des appareils d’extrémité.

En savoir plus sur la manière de mettre en œuvre la Zero Trust

Sécuriser le personnel distant : déploiement de l’accès Zero Trust

Global Workplace Analytics estime que 25 à 30 % du personnel de l’entreprise travaillera à domicile plusieurs jours par semaine d’ici la fin de 2021. Qu’est-ce que cela signifie pour le télétravailleur ? Les organisations doivent s’adapter pour qu’il soit très rapide et facile d’accorder un accès hautement sécurisé à tous les travailleurs à distance.

En savoir plus sur la sécurisation du personnel à distance

Réseau Zero Trust : Pourquoi vous en avez besoin et les 5 étapes pour commencer

Dans le passé, la sécurité du réseau était principalement basée sur la défense du périmètre. Des systèmes tels que les pare-feu et la détection/prévention des intrusions (IDS/IPS) étaient déployés à la périphérie du réseau et étaient chargés d’empêcher les intrus de pénétrer le réseau. Dans un réseau Zero Trust, ces outils sont toujours utilisés, mais sont complétés par des mesures avancées pour bloquer les assaillants alors qu’ils se trouvent déjà dans le réseau d’entreprise.

En savoir plus sur le réseau Zero Trust

L’évolution de la sécurité Zero Trust et ses 5 composants clés

Des changements récents dans le paysage de la sécurité, comme la transition vers le télétravail et la croissance des attaques de la chaîne d’approvisionnement, soulignent la nécessité d’une confiance-zéro. Comprendre les principaux moteurs de la sécurité de confiance-zéro et les principales technologies qui composent la pile de sécurité de confiance-zéro.

En savoir plus sur la sécurité Zero Trust

Principes de Zero Trust : Qu’est-ce que le Zero Trust ?

« Zero trust » est devenu un terme à la mode en raison de sa capacité à améliorer la cybersécurité de l’entreprise et la visibilité du réseau. Le Zero Trust repose sur le principe selon lequel l’accès aux actifs de l’entreprise ne devrait être accordé qu’aux utilisateurs légitimes au cas par cas. Nous examinons les principes fondamentaux de la confiance-zéro et la façon de mettre en œuvre une stratégie de confiance-zéro au sein de votre organisation.

En savoir plus sur les principes de Zero Trust

Expliquer le cadre Zero Trust

Un réseau Zero Trust applique un modèle de sécurité confiance-zéro, dans lequel l’accès aux ressources de l’entreprise est accordé ou refusé au cas par cas en fonction de contrôles d’accès basés sur des rôles. Nous expliquons en quoi le développement d’un réseau confiance-zéro est un processus en plusieurs étapes, y compris l’identification d’une « surface de protection », la détermination du fonctionnement du réseau et le déploiement de la microsegmentation pour appliquer les politiques de confiance-zéro.

En savoir plus sur le cadre Zero Trust

Qu’est-ce que l’architecture Zero Trust ?

L’architecture Zero Trust est une conception qui met en œuvre des principes de confiance-zéro, à savoir l’application de contrôles d’accès granulaires, et qui ne fait confiance qu’aux endpoints qui sont explicitement autorisés à accéder à une ressource donnée. L’architecture Zero Trust représente un changement fondamental par rapport aux solutions traditionnelles de type « château et douves » telles que les appliances VPN basées sur Internet pour l’accès réseau à distance. Avec ces solutions traditionnelles, une fois qu’un point de terminaison s’authentifie, il a accès à tout sur le même segment de réseau et n’est potentiellement bloqué que par la sécurité au niveau de l’application. En savoir plus sur l’architecture Zero Trust et son fonctionnement actuel.

En savoir plus sur l’architecture Zero Trust

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.