ZTNA: Zero Trust Network Access

ZTNA: Zero Trust Network Access

Qu’est-ce que le ZTNA (Zero Trust Network Access) ?

Zero Trust Network Access, également connu sous le nom de SDP (Software-defined Perimeter – périmètre défini par logiciel), est une approche moderne pour sécuriser l’accès aux applications et aux services à la fois pour les utilisateurs au bureau et en itinérance. Le fonctionnement de ZTNA est simple : refuser à tout le monde et à tout appareil l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

Avec les solutions réseau traditionnelles basées sur VPN, les utilisateurs authentifiés accèdent implicitement à tout sur le même sous-réseau. Seul un mot de passe empêche les utilisateurs non autorisés d’accéder à une ressource. Le ZTNA bouscule ce paradigme. Les utilisateurs ne peuvent « voir » que les applications et ressources spécifiques explicitement autorisées par la politique de sécurité de leur entreprise.

VPN-VS-ZTNA

Cas d’emploi du ZTNA

  • Le ZTNA convient à de nombreux cas d’emploi. En voici quelques-uns parmi les plus courants :
    • Alternative au VPN – Connecte des utilisateurs mobiles et distants de manière plus sécurisée que les VPN existants. Le ZTNA est plus évolutif, il fournit une politique de sécurité en tous lieux, fonctionne dans l’informatique hybride et offre un accès plus granulaire. Gartner prévoit que d’ici 2023, 60 % des entreprises passeront du VPN au ZTNA.
    • Réduction des risques liés aux tiers — Donner aux entrepreneurs, aux fournisseurs et aux autres tiers l’accès à des applications internes spécifiques — et pas plus. Masquer les applications sensibles – Rendre les applications « invisibles » aux utilisateurs et appareils non autorisés. Le ZTNA peut réduire considérablement les risques liés aux menaces internes.
    • Intégration sécurisée des fusions et acquisitions – ZTNA réduit et simplifie le temps et la gestion nécessaires pour assurer une fusion ou une acquisition réussie et apporte une valeur immédiate à l’entreprise.

Comment fonctionne le ZTNA ?

Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les réseaux traditionnels se basaient sur un périmètre de réseau sécurisé contenant en interne des entités de confiance et en externe des entités non fiables. Aujourd’hui, le périmètre a disparu. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de faire face à ces changements.

Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, de la posture de l’appareil, etc. Le ZTNA est un service basé sur le cloud qui accepte les connexions à partir d’appareils gérés et non gérés, vérifie l’identité et autorise l’accès aux actifs de l’entreprise, que ce soit dans un centre de données sur site ou dans le cloud.

ZTNA

Les 4 fonctions du ZTNA

Le ZTNA remplit quatre fonctions essentielles :

  • Identifier – mapper tous les systèmes, applications et ressources auxquels les utilisateurs peuvent avoir besoin d’accéder à distance.
  • Appliquer – définir les politiques de conditions d’accès en vertu desquelles des individus spécifiques peuvent ou ne peuvent pas accéder à des ressources spécifiques.
  • Surveiller – journaliser et analyser toutes les tentatives d’accès des utilisateurs distants aux ressources, en s’assurant que les politiques appliquées sont conformes aux exigences de l’entreprise.
  • Ajuster – modifier les mauvaises configurations. Augmenter les privilèges d’accès ou les réduire pour soutenir une productivité optimale tout en minimisant les risques et l’exposition.

Flux utilisateur du ZTNA

Le flux de travail utilisateur du ZTNA ressemble à ce qui suit :

  1. Sur un canal sécurisé, un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust (ou une fonction de contrôleur). L’authentification multifacteur (MFA) est utilisée pour une sécurité accrue.
  2. Le contrôleur met en œuvre la politique de sécurité nécessaire, qui, en fonction de la mise en œuvre, pourrait vérifier divers attributs d’appareil, tels que le certificat d’appareil et la présence d’antivirus actuels, et des attributs en temps réel tels que l’emplacement de l’utilisateur.
  3. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur.
    Démo de Cato : Comment configurer et surveiller le ZTNA en quelques minutes
WHAT-IS-ZTNA

How to Implement ZTNA?

There are two primary approaches to implementing ZTNA. One is agent-based and the other is service-based.

Agent-Based ZTNA

In agent-based ZTNA, an agent installed on an authorized device sends information about that device’s security context to a controller. This context typically includes factors such as geographic location, date, and time as well as deeper information such as whether the device is compromised with malware or not. The controller prompts the user on the device for authentication.

After both the user and the device are authenticated, the controller provisions connectivity from the device through a gateway. The gateway shields applications from being accessed directly from the internet and from unauthorized users or devices. The user can only access applications that are explicitly allowed.

The illustration below shows a conceptual model of agent-based ZTNA.

WHAT-IS-ZTNA
Source: Gartner (April 2019), ID: 386774

 

Service-Based ZTNA

In service-based ZTNA, a connector installed in the same network as the application establishes and maintains an outbound connection to the provider’s cloud. Users that request access to the application are authenticated by a service in the cloud, which is followed by validation by an identity management product such as a single sign-on tool. Application traffic passes through the provider’s cloud, which provides isolation from direct access and attack via a proxy.

Note that no agent is required on the user’s device, making this a good option to provide connectivity and access to applications from unmanaged devices.

The illustration below shows a conceptual model of service-based ZTNA.

WHAT-IS-ZTNA
Source: Gartner (April 2019), ID: 386774

 

ZTNA et SASE

  • Avec le service d’accès distant sécurisé (SASE), la fonction de contrôleur ZTNA fait partie du PoP SASE et un connecteur SDP n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés, et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par la politique de sécurité dans le pare-feu de nouvelle génération (NGFW) du SASE.

    Mais le ZTNA n’est qu’une petite partie du Service d’accès distant sécurisé (SASE). Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Ils ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.

    Le SASE répond à ces défis en regroupant le ZTNA avec une suite complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et un backbone privé.

    Les entreprises qui tirent parti du SASE bénéficient des avantages du ZTNA ainsi que d’une suite complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.