Comment mettre en œuvre le Zero Trust : 5 étapes et check-list de déploiement

Qu’est-ce que la mise en œuvre du Zero Trust ?

Un modèle de sécurité Zero Trust peut aider les entreprises à renforcer la sécurité des données et des ressources informatiques tout en gagnant en visibilité dans leur écosystème. L’implémentation de la confiance zéro comporte généralement au moins cinq étapes, qui comprennent l’ajout de la microsegmentation au réseau, l’ajout d’une authentification multifacteur et la validation des appareils de point de terminaison.

Nous allons décrire ces étapes de mise en œuvre et fournir des recommandations pour choisir vos solutions technologiques de confiance zéro. Enfin, nous présenterons les défis que la plupart des organisations rencontrent lors de la mise en œuvre de la confiance zéro et comment les surmonter.

Cela fait partie de notre série d’articles sur le Zero Trust Network Access (ZTNA).

 

Mise en œuvre du Zero Trust en 5 étapes

Voici plusieurs principes et technologies qui peuvent vous aider à mettre en œuvre la confiance zéro dans votre entreprise :

1. Déployer le SASE

Le SASE (Secure Access Service Edge) permet d’unifier le SD-WAN et des solutions ponctuelles de réseau dans un service cloud natif centralisé. Vous pouvez déployer le SASE dans le cadre de votre stratégie de confiance zéro. Voici quelques aspects à prendre en compte lors de l’examen d’une solution SASE :

  • Intégration : idéalement, la solution SASE que vous choisissez doit s’intégrer parfaitement à votre architecture réseau existante. Par exemple, les entreprises qui exploitent une infrastructure critique sur site devraient opter pour une solution SASE offrant des composants de confiance zéro qui peuvent se connecter en toute sécurité aux ressources cloud et à l’infrastructure traditionnelle.
  • Fonctionnalités : votre solution SASE doit fournir des fonctionnalités qui vous permettent de bloquer les menaces potentielles et de limiter les dommages causés par une violation. Par exemple, la solution devrait vous permettre d’implémenter la microsegmentation, les correctifs, le sandboxing et d’utiliser la gestion des identités et des accès.
  • Confinement : rien ne peut vraiment garantir qu’une violation ne se produira pas. Idéalement, votre solution SASE de prédilection devrait vous aider à vous assurer que toute menace qui a violé le réseau est contenue pour réduire son impact global.

Le SASE facilite considérablement la mise en œuvre des technologies ci-dessous, car il les regroupe toutes dans un seul service managé.

2. Utiliser la microsegmentation

La microsegmentation consiste à fractionner les périmètres de sécurité en zones plus petites. Elle permet de définir un accès séparé à certaines parties de votre réseau. Cette séparation vous permet d’autoriser l’accès à certains utilisateurs, applications ou services à certaines zones pertinentes tout en limitant l’accès à d’autres.

Contenu connexe : lisez notre guide sur le réseau de confiance zéro

3. Utiliser l’authentification multifacteur (MFA)

La MFA exige que les utilisateurs saisissent au moins deux facteurs d’authentification, dont :

  • Un facteur de connaissance — une information que seul l’utilisateur doit connaître, comme un modèle, un mot de passe ou un code PIN.
  • Un facteur de propriété – des informations ou des objets que l’utilisateur est le seul à posséder, tels qu’une carte à puce, un téléphone mobile ou une carte bancaire.
  • Un facteur d’inhérence — ce facteur repose sur les caractéristiques biométriques d’un utilisateur, telles qu’un balayage de la rétine, un balayage du visage ou une empreinte digitale.

Le système n’effectue l’authentification que si tous les facteurs sont validés.

4. Mettre en œuvre le principe du moindre privilège (PoLP)

Le PoLP implique de limiter l’accès et les autorisations des utilisateurs au minimum leur permettant d’effectuer leur travail. Par exemple, vous pouvez accorder aux utilisateurs des autorisations minimum pour exécuter, lire ou écrire uniquement les ressources et les fichiers.

Vous pouvez également appliquer le principe du moindre privilège à la restriction des droits d’accès pour des ressources non humaines, telles que les systèmes, les applications, les appareils et les processus. Vous pouvez le faire en accordant à ces ressources uniquement les autorisations nécessaires pour effectuer les activités pour lesquelles elles sont autorisées.

5. Valider tous les points de terminaison

N’accordez pas de confiance aux appareils qui n’ont pas été vérifiés. La sécurité Zero Trust peut vous aider à valider vos points de terminaison et à étendre les contrôles centrés sur l’identité au niveau des points de terminaison. Il s’agit généralement de s’assurer que les appareils sont enregistrés avant d’accéder à vos ressources. L’enregistrement des appareils facilite leur identification et leur vérification. En mettant en œuvre la vérification des appareils, vous pouvez déterminer si le point de terminaison qui tente d’accéder à vos ressources répond à vos exigences en matière de sécurité.

Check-list du déploiement du Zero Trust

Voici plusieurs aspects à prendre en compte lors de la mise en œuvre d’une solution de confiance zéro :

Facilité de déploiement Pouvez-vous mettre le système en service rapidement ?

Le fournisseur vous demande-t-il de modifier votre environnement pour l’aligner sur la solution ? Par exemple, devez-vous ouvrir des ports dans le pare-feu ?

Prise en charge multicloud La solution prend-elle en charge facilement et simplement l’intégration avec plusieurs fournisseurs de cloud public ?

La solution vous permet-elle de sécuriser efficacement vos charges de travail sur plusieurs clouds ?

Évolutivité L’architecture de confiance zéro est-elle évolutive ?

L’évolutivité offerte répond-elle aux exigences de vos charges de travail ?

Sécurité Quelles sont les mesures de sécurité appliquées par le fournisseur de la solution ?

La solution maintient-elle un cycle de sécurité rationalisé ?

La solution déploie-t-elle un système de détection d’intrusion (IPS) et analyse-t-elle tout le trafic pour détecter des logiciels malveillants ?

Visibilité La solution permet-elle aux administrateurs de visualiser les demandes d’accès actuelles et historiques, depuis n’importe quel utilisateur vers n’importe quelle ressource, dans une interface centrale ?

Un accès facile aux données sur ce qui a été autorisé et ce qui a été bloqué est la clé de la surveillance et de l’audit de conformité.

Service et assistance Le fournisseur de la solution de confiance zéro peut-il aider à résoudre les problèmes ?
Valeur La solution offre-t-elle une valeur ajoutée ?

Comment et où la solution apporte-t-elle de la valeur, des fonctionnalités et des mesures de réduction des risques qui vont au-delà de la valeur de vos outils de sécurité existants ?

Défis de la mise en œuvre du Zero Trust :

Quand vous mettrez en œuvre la confiance zéro dans votre organisation, vous devrez prendre en compte et surmonter les défis suivants.

Infrastructure complexe

Les entreprises modernes possèdent généralement une infrastructure composée de proxys, serveurs, applications métiers, bases de données et solutions SaaS (Software-as-a-Service). Certains composants d’infrastructure peuvent fonctionner sur site tandis que d’autres sont dans le cloud.

Il peut être difficile de sécuriser chaque segment du réseau tout en répondant aux exigences d’un environnement hybride, avec un mélange d’applications et de matériels hérités et nouveaux. Cet environnement complexe empêche les organisations de parvenir facilement à une mise en œuvre complète de la confiance zéro.

Opérationnaliser Zero Trust avec de multiples outils

Pour soutenir un modèle de confiance zéro, les organisations utilisent divers outils, notamment :

  • Accès au réseau de confiance zéro (ZTNA) ou périmètre défini par logiciel (SDP)
  • Solutions SASE (service d’accès distant sécurisé) ou VPN
  • Outils de microsegmentation
  • Authentification multifacteur (MFA)
  • Solutions d’authentification unique (SSO)
  • Solutions d’homologation des appareils
  • Systèmes de prévention des intrusions (IPS)

Cependant, bon nombre de ces outils sont spécifiques aux systèmes d’exploitation, aux appareils et aux fournisseurs de cloud. De nombreuses organisations ne prennent pas en charge un ensemble homogène d’appareils. Elles exécutent certains services dans des centres de données sur site, d’autres dans un ou plusieurs clouds, ont des utilisateurs sous Windows, Mac et d’autres appareils connectés au réseau, et peuvent exécuter des serveurs sur plusieurs distributions Linux et plusieurs versions de Windows Server.

Il est difficile de s’assurer que les outils de confiance zéro fonctionnent uniformément dans tous les outils et environnements, en particulier au sein d’une grande entreprise.

Contenu connexe : lisez notre guide sur l’architecture de confiance zéro

Adaptation des mentalités

La création d’un modèle de confiance zéro dans une grande entreprise exige l’adhésion des parties prenantes pour assurer une formation, une planification et une mise en œuvre efficaces. Un projet de confiance zéro affecte presque tout le monde, de sorte que tous les dirigeants et managers doivent s’entendre sur l’approche. En général, les entreprises tardent à mettre en œuvre le changement. Les politiques relatives au milieu de travail peuvent à elles seules menacer l’efficacité du projet.

Coût et efforts

Les organisations doivent investir du temps, et des ressources humaines et financières pour mettre en œuvre la confiance zéro. Un modèle de confiance zéro nécessite de définir qui peut accéder à quelles zones de leur réseau et de créer une segmentation de réseau appropriée — une planification et une collaboration minutieuses sont requises pour cela.

Les organisations devront embaucher ou affecter du personnel pour mettre en œuvre la segmentation du réseau et la maintenir en permanence. Plus les systèmes de confiance zéro s’intégreront à l’environnement, et plus cela deviendra facile.

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.