ZTNA: Zero Trust Network Access

L’évolution de la sécurité Zero Trust et ses 5 composants clés

Qu’est-ce que la sécurité Zero Trust ?

Le point de départ de la sécurité de confiance zéro est que tous les systèmes doivent contrôler l’accès et le refuser par défaut. Cela implique de concevoir des contrôles de sécurité sans confiance implicite en supposant que tous les comptes et appareils sont potentiellement compromis.

Par le passé, la plupart des organisations disposaient d’un réseau d’entreprise de confiance, les employés étant connectés via des postes de travail locaux ou à distance via un VPN. Les connexions de l’extérieur étaient considérées comme non fiables, alors que les comptes autorisés à accéder au réseau étaient considérés comme fiables. Cela n’est plus suffisamment efficace dans l’environnement informatique distribué d’aujourd’hui. Selon le concept de confiance zéro, les organisations ne peuvent plus se permettre de faire implicitement confiance à une entité située dans le périmètre du réseau.

Des changements récents dans le paysage de la sécurité, comme la transition vers le télétravail et la multiplication des attaques de la chaîne d’approvisionnement, soulignent la nécessité de la confiance zéro. Les composants auxquels on faisait habituellement confiance, comme les employés d’une entreprise et les composants de gestion informatique, peuvent maintenant être des instruments d’attaque. Il est donc essentiel que les entreprises adoptent des modèles de sécurité de confiance zéro et des solutions technologiques de soutien, principalement Zero Trust Network Access (ZTNA).

Pourquoi la sécurité Zero Trust est-elle apparue ?

Les techniques de sécurité traditionnelles utilisaient la localisation comme indicateur de confiance. Un employé d’un bureau était automatiquement approuvé s’il avait franchi les contrôles d’identité pour entrer dans le bureau et avait fourni les bonnes informations d’identification pour se connecter au réseau. Tout ce qui se trouvait dans le périmètre de l’organisation et de son réseau était digne de confiance, et tout le reste était considéré comme hostile.

Cependant, les menaces peuvent s’infiltrer dans le réseau et se mouvoir latéralement. Les assaillants peuvent compromettre un compte d’utilisateur ou accéder à un système situé à l’intérieur du périmètre. Ils peuvent ensuite accéder progressivement à d’autres comptes et systèmes. L’ingénierie sociale, les logiciels malveillants et les initiés malveillants sont parmi les moyens courants par lesquels les assaillants peuvent enfreindre le périmètre du réseau et violer le modèle de confiance implicite.

Bien que les assaillants aient toujours pu se faufiler dans l’environnement de l’entreprise, cette préoccupation est beaucoup plus sérieuse dans les environnements informatiques modernes. L’introduction des services cloud, des applications mobiles et des télétravailleurs sape davantage les modèles de sécurité traditionnels basés sur les limites.

Contenu connexe : Lisez notre guide sur les principes de la confiance zéro.

Facteurs de sécurité du Zero Trust

Voici quelques tendances de l’environnement informatique moderne qui favorisent l’adoption du modèle de sécurité « confiance zéro ».

Adoption du cloud

Aux premiers jours du cloud, la migration vers le cloud soulevait de graves problèmes de sécurité. Les organisations hésitaient à confier leur infrastructure informatique à une tierce partie, craignant d’en perdre le contrôle.

Cependant, aujourd’hui, le cloud est devenu omniprésent, même pour les charges de travail sensibles et critiques. L’adoption du cloud continue de croître, en particulier suite à la COVID-19. Les recherches dans ce domaine montrent qu’avec la transition vers le télétravail, la plupart des entreprises ont augmenté leur utilisation du cloud.

L’informatique dans le cloud change la dynamique de l’accès et de la sécurité de l’entreprise. Une infrastructure décentralisée rend inefficace toute technologie de sécurité basée sur des périphériques ou des points de terminaison. Un pare-feu ne peut pas protéger une application SaaS parce que celle-ci n’est pas hébergée sur le réseau de l’entreprise et que le serveur se trouve hors de son contrôle. La sécurité et le contrôle d’accès doivent être mis en œuvre là où résident les données, les utilisateurs et les appareils.

Apportez Votre Équipement personnel de Communication

La stratégie de BYOD permet aux employés d’une organisation d’utiliser leurs appareils personnels pour des activités liées au travail. Ces activités comprennent des tâches telles que l’accès au courrier électronique, la connexion à un réseau d’entreprise, l’accès aux applications et aux données de l’entreprise.

Les appareils BYOD peuvent être des ordinateurs portables, des smartphones, d’autres appareils mobiles et des équipements de stockage tels que des clés USB et des disques durs externes. Le BYOD présente de grands avantages à la fois pour les employés (qui bénéficient d’une productivité améliorée avec les appareils de leur choix) et pour les entreprises (qui ne supportent pas le coût d’achat et d’entretien du matériel). Mais cela pose aussi de graves risques de sécurité.

Les entreprises qui mettent en œuvre le BYOD doivent disposer d’une méthode robuste pour authentifier les utilisateurs sur les appareils personnels et effectuer une évaluation contextuelle des demandes d’accès. Par exemple, les utilisateurs qui se connectent à partir d’un appareil personnel à 3 h du matin doivent être traités différemment quand, au bureau, ils se connectent à partir d’un poste de travail à 14 h.

Le Zero Trust est parfaitement adapté aux cas d’utilisation du BYOD et offre une solution pour un accès à distance granulaire et sécurisé aux applications tout en réduisant les charges de gestion. Zero Trust Network Access (ZTNA) est une solution de sécurité qui peut répondre aux défis de sécurité, de gestion et d’expérience utilisateur pour les appareils BYOD.

Mobilité moderne

Dans l’environnement de travail actuel, les employés peuvent travailler de n’importe où et effectuent généralement des tâches en dehors des heures ouvrées. Cela améliore la productivité, mais complique la sécurité et l’accès.

Il est extrêmement fréquent que les employés franchissent les limites du réseau, y compris des réseaux considérés comme hostiles, pour accéder aux systèmes de l’entreprise. Comment les organisations peuvent-elles permettre un accès sécurisé et distant aux ressources de l’entreprise ?

Les services d’accès à distance tels que le réseau privé virtuel (VPN), le service de bureau à distance (RDS), l’infrastructure de bureau virtuel (VDI) et le bureau en tant que service (DaaS) sont couramment utilisés. Mais ces solutions ne sont pas conçues pour un environnement mobile et ne sont pas suffisamment sécurisées.

Des solutions de confiance zéro comme le ZTNA aident les entreprises à réglementer et normaliser l’accès à distance. D’une part, elles donnent aux employés la liberté d’accéder au réseau de n’importe où et à n’importe quel moment sans être limités à des interfaces spécifiques telles que des postes de bureau virtuels compliqués. D’autre part, elles authentifient intelligemment les employés et limitent l’accès aux ressources sensibles dans les scénarios à risque.

Contenu connexe : Lisez notre guide sur l’accès de confiance zéro.

5 composants clés de l’architecture de sécurité Zero Trust

Les partisans de la confiance zéro soulignent qu’il s’agit d’un modèle et non d’une technologie. Chaque entreprise peut mettre en œuvre la confiance zéro de différentes manières. Toutefois, cinq composants technologiques apparaissent comme essentiels à la confiance zéro.

1. Accès réseau Zero Trust (ZTNA)

Une solution ZTNA est conçue pour mettre en œuvre et appliquer une stratégie de confiance zéro à travers le réseau d’entreprise. Les utilisateurs qui tentent de se connecter aux systèmes et applications d’une entreprise ne sont autorisés à le faire que s’ils ont spécifiquement besoin d’un accès pour accomplir leurs tâches.

Le ZTNA peut prendre plusieurs formes :

  • Intégration à une passerelle — La fonctionnalité ZTNA peut être implémentée dans le cadre d’une passerelle de réseau. Le trafic traversant les limites du réseau est filtré par la passerelle conformément aux politiques de contrôle d’accès définies.
  • SD-WAN — Le SD-WAN optimise la mise en réseau sur un réseau étendu (WAN) d’entreprise. Les solutions SD-WAN sécurisées intègrent une pile de sécurité complète dans l’infrastructure réseau, et cela peut inclure la fonctionnalité ZTNA. Un SD-WAN intégrant le ZTNA peut assurer un contrôle d’accès sophistiqué et centralisé.
  • Service d’accès distant sécurisé (SASE) — Le SASE est une solution étendue qui comprend une passerelle Web sécurisée (SWG), un pare-feu en tant que service (FWaaS), un courtier de sécurité d’accès au cloud (CASB) et le ZTNA. Le SASE fournit une solution holistique de connectivité réseau d’entreprise, qui soutient fortement le modèle de confiance zéro.

2. Authentification multifacteurs (MFA)

La MFA est l’utilisation de plusieurs méthodes pour vérifier l’identité de l’utilisateur avant d’accorder l’accès. Ces vérifications peuvent inclure des questions de sécurité, la vérification d’e-mail, des SMS, des jetons de sécurité, des vérifications d’identité biométriques, etc. La mise en œuvre de la FMA à chaque point d’accès — à la fois pour le trafic entrant circulant sur le réseau et pour les connexions au sein du réseau — est un fondement de la confiance zéro.

3. Surveillance en temps réel

La surveillance en temps réel évalue en permanence le réseau pour détecter les intrus et limiter les dommages si des systèmes internes sont touchés. Une surveillance efficace peut réduire le « temps de percée » — le temps qu’il faut à un pirate pour progresser latéralement ou augmenter ses privilèges, après avoir initialement pénétré dans une application ou un appareil.

Les stratégies de surveillance de confiance zéro doivent inclure des composants automatisés, généralement basés sur le profilage comportemental et la détection d’anomalies, ainsi que le tri rapide et la réponse aux incidents par des analystes de sécurité.

4. Microsegmentation

Un autre aspect important de la confiance zéro est la microsegmentation du réseau. C’est la capacité à créer des périmètres isolés à l’intérieur du réseau, permettant d’établir des connexions à l’intérieur de chaque périmètre, mais en bloquant tout accès entre eux. Ainsi, une fois qu’un utilisateur ou une entité est autorisé à accéder au réseau, il est limité à un espace spécifique et isolé, avec une capacité limitée de progression latérale et d’accès à d’autres systèmes.

Un aspect essentiel de la microsegmentation est qu’elle est automatisée et contrôlée de manière centralisée par la solution de confiance zéro. La technologie de confiance zéro doit être capable d’ajuster la microsegmentation de manière dynamique en réponse à l’évolution des politiques de sécurité et des conditions de sécurité en vigueur.

5. Zones de confiance et contrôles d’accès par défaut

Trusted Internet Connection (TIC) 3.0 est la dernière version d’une initiative du gouvernement fédéral des États-Unis visant à normaliser la gestion des connexions réseau externes. TIC donne à une organisation la possibilité de diviser le réseau en zones de confiance, permettant ainsi aux utilisateurs de partager des données à l’intérieur des zones, avec des contrôles d’accès par défaut définis de manière centralisée, mais interdisant l’accès entre les zones.

Les zones de confiance ne peuvent être utilisées que si tout le trafic réseau est chiffré et si l’accès à tous les systèmes est contrôlé de manière centralisée à l’aide d’une solution de confiance zéro.

Sécurité Zero Trust avec Cato SASE Cloud

La solution de confiance zéro de Cato — Cato SDP — fournit un réseau de confiance zéro pour accéder en toute sécurité aux applications sur site et dans le cloud via n’importe quel appareil. Grâce à l’accès par le biais d’un navigateur avec ou sans client Cato, les utilisateurs se connectent en toute sécurité au PoP Cato le plus proche via une puissante authentification multifacteur.

Intégrée à la plateforme SASE de Cato, la solution Cato SDP offre les fonctionnalités clés suivantes :

  • Évolutivité : Cato SDP évolue instantanément pour assurer un accès optimisé et sécurisé à un nombre illimité d’utilisateurs, d’appareils et d’emplacements, sans nécessiter d’infrastructure supplémentaire.
  • Accès et authentification : Cato SDP applique des politiques d’authentification multifacteur et d’accès aux applications granulaires qui limitent l’accès aux applications approuvées, à la fois sur site et dans le cloud. Les utilisateurs ne peuvent pas accéder à la couche réseau, ce qui réduit considérablement les risques.
  • Protection contre les menaces : Cato SDP offre une protection continue contre les menaces, en appliquant une inspection approfondie des paquets (DPI) pour la prévention des menaces sur tout le trafic. La protection contre les menaces est étendue de manière transparente à Internet et à l’accès aux applications, que ce soit sur site ou dans le cloud.
  • Performances : Cato SDP permet aux utilisateurs distants d’accéder aux ressources de l’entreprise via une dorsale privée mondiale, et non via l’Internet public imprévisible. Cela garantit à tous et en tous lieux une expérience homogène et optimisée.

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.