Quelle est la place de la segmentation Zero Trust dans le nouveau modèle de maturité Zero Trust de la CISA ?

La semaine dernière, la CISA a publié son très attendu Modèle de maturité Zero Trust 2.0 — une version actualisée du modèle Zero Trust Maturity Model (ZTMM), reconnu par l'industrie et publié pour la première fois en 2021.

À un niveau élevé, le ZTMM de la CISA décrit comment les organisations modernes peuvent renforcer la cyberrésilience « dans un environnement et un paysage technologique en évolution rapide ». Il s'agit également d'une extension essentielle de l'année 2021 de l'administration Biden. Décret exécutif visant à améliorer la cybersécurité du pays qui a obligé les agences fédérales à développer et à mettre en œuvre une architecture Zero Trust (ZTA).

Bien que dépourvus de détails et, dans l'ensemble, d'un aperçu plus général des objectifs fédéraux en matière de résilience à long terme (comme le sont souvent les guides d'architecture de ce type), il est toujours prometteur de voir la dynamique fédérale Zero Trust se poursuivre ! Et avec segmentation des conseils éparpillés sur tous les piliers et les niveaux de maturité, des tactiques actualisées comme celles-ci aideront les agences fédérales à atteindre plus efficacement leurs objectifs de cyber-résilience.

Voici où s'insère la segmentation

Souvent, lorsque les responsables informatiques fédéraux pensent à la segmentation, la première chose à laquelle ils pensent est le réseau. Le ZTMM mis à jour n'est pas différent. La segmentation du réseau est incluse en tant que capacité technique complète dans la section 5.3, relative au pilier réseau de la ZTA de la CISA. La CISA écrit qu'au stade initial, la segmentation du réseau ressemble à ceci : « L'agence commence à déployer une architecture réseau en isolant les charges de travail critiques, en limitant la connectivité aux principes de moindre fonctionnalité et en effectuant une transition vers des interconnexions spécifiques aux services. »

Concrètement, cela signifie qu'il faut commencer à pratiquer le principe du moindre privilège (c'est-à-dire limiter la confiance implicite) et commencer à segmenter les charges de travail critiques en dehors du serveur. Cela semble assez simple, non ?

La CISA développe ensuite ce à quoi ressemble la fonctionnalité de segmentation du réseau à tous les niveaux de maturité, de la mise en œuvre de la macrosegmentation à des niveaux plus traditionnels à l'application d'une microsegmentation plus grossière à des étapes avancées et optimales.

Pour les agences fédérales avancées, l'application de segmentation du réseau peut ressembler à ceci : « L'agence étend le déploiement de mécanismes d'isolation des terminaux et des profils d'applications à une plus grande partie de leur architecture réseau avec des micropérimètres d'entrée/sortie et des interconnexions spécifiques aux services. »

Avec des solutions telles que Point de terminaison Illumio, Illumio permet aux organisations, quel que soit leur niveau de maturité, d'appliquer la segmentation Zero Trust (ZTS) de manière simple et fluide jusqu'au terminal.

Les principes ZTS ne se limitent pas au compartiment réseau. Dans la section 5.4, qui traite de l'application et sécurité des charges de travail, la CISA écrit qu'au stade initial : « L'agence commence à mettre en œuvre des fonctionnalités d'autorisation d'accès aux applications qui intègrent des informations contextuelles (par exemple, l'identité, la conformité des appareils et/ou d'autres attributs) par demande avec expiration. »

Au stade avancé, « l'agence automatise les décisions d'accès aux applications grâce à des informations contextuelles étendues et à des conditions d'expiration appliquées qui respectent les principes du moindre privilège ».

Ce sont également des domaines où la visibilité et la segmentation peuvent être utiles, en créant des limites d'application autour des identités et des appareils, en appliquant les principes du moindre privilège et en automatisant les politiques en fonction du contexte vérifié.

Autres points clés à retenir d'un directeur technique fédéral

Bien qu'elle ne soit pas nécessairement au cœur de la nouvelle ZTMM, la réalité est que la segmentation s'applique à tous les domaines, et elle est essentielle (et faisable) pour les organisations, quel que soit leur niveau de confiance zéro. Franchement, il est prometteur de voir la technologie enfin recevoir les éloges qu'elle mérite, mais il reste encore du travail et de la formation à faire.

Alors que les agences fédérales cherchent à atteindre les étapes les plus avancées de la maturité Zero Trust, la visibilité et la segmentation sont essentielles. La visibilité sur l'ensemble de l'environnement hybride (cloud, sur site, terminaux, IT/OT) est essentielle pour comprendre ce dont vous disposez et savoir ce qu'il faut protéger. Et une politique sensée peut être mise en place pour autoriser l'accès, en fonction de la conformité des appareils ou d'autres exigences, afin de garantir une application cohérente sans cloisonnement.

Le ZTS n'est pas simplement un contrôle proactif pour les agences fédérales qui cherchent à augmenter leur ZTA. Il s'agit également d'une stratégie proactive essentielle, qui permet de garantir que lorsque les agences fédérales faire en cas de violation, les missions peuvent se poursuivre sans entrave. En fait, les organisations utilisant Illumio ZTS ont constaté une 66 % réduction de l'impact (ou rayon d'explosion) d'une brèche et sauvegarde 3,8 millions de dollars grâce à la réduction des pannes et des temps d'arrêt. En fin de compte, une véritable ZTA tient compte à la fois des organisations en pleine maturité mais également des menaces avancées et persistantes.

Vous pouvez en savoir plus sur la façon dont Le ZTS d'Illumio peut aider votre agence fédérale réalisez vos objectifs Zero Trust.

‍