.png)
Pourquoi ZTNA laisse des failles de sécurité et comment ZTS les comble
Autant que Fournisseurs Zero Trust J'aimerais vous faire croire que Zero Trust n'est pas un produit ou une technologie unique, mais plutôt une stratégie globale pour l'ensemble de l'environnement informatique.
Zero Trust, comme son nom l'indique, est un modèle qui refuse l'accès aux ressources numériques d'une entreprise par défaut et accorde des autorisations uniquement selon les besoins, en fonction de l'identité et du type de ressource.
Pour protéger les charges de travail critiques d'une organisation, les trois critères essentiels de Zero Trust sont les suivants :
- Gouvernance des identités
- Segmentation Zero Trust (ZTS)
- Accès réseau Zero Trust (ZTNA)
Alors que la plupart des organisations ont déjà adopté la gouvernance des identités, les deux dernières composantes de Confiance zéro vont de pair et jouent un rôle majeur dans la sécurisation de l'infrastructure d'une organisation.
Qu'est-ce que le ZTNA et pourquoi est-ce important ?
La ZTNA a été largement adoptée au cours des deux dernières années, pour sécuriser le périmètre d'une organisation et le trafic nord-sud. ZTNA fournit un mécanisme simple mais robuste permettant aux utilisateurs d'accéder aux applications dans le cloud ou le centre de données en authentifiant les utilisateurs en fonction de leur identité et de leurs rôles.
De plus, lorsque l'accès est accordé aux utilisateurs, contrairement à un VPN traditionnel, les utilisateurs n'ont accès qu'à l'application dont ils ont besoin et l'accès au réseau d'entreprise lui-même leur est refusé. Cela réduit la surface d'attaque réseau exposée au niveau du périmètre.
Les 3 principaux domaines où la ZTNA tombe
Bien que le ZTNA présente de nombreux avantages, il ne s'agit pas d'une solution infaillible pour votre réseau.
En réalité, des violations continuent de se produire.
À mesure que la complexité des attaques augmente, il devient imminent d'adopter une »supposer une violation« état d'esprit dans lequel l'objectif de l'organisation devrait être de réduire la surface d'attaque interne et de contenir les violations avec le moins de ressources possible.
ZTNA fait un excellent travail en sécurisant l'accès externe aux applications auprès d'utilisateurs distants, mais il existe de nombreux scénarios dans lesquels ZTNA ne peut pas apporter d'avantages. C'est pourquoi une approche de défense en profondeur est essentielle.
La ZTNA n'offre aucune protection dans trois domaines principaux :
- Mouvement latéral entre les points de terminaison: Les solutions ZTNA permettent aux utilisateurs distants d'accéder aux ressources aux applications. Cependant, lorsqu'un utilisateur est au bureau, cela n'empêche ni ne régule l'accès depuis les différents appareils de l'utilisateur final. Un terminal infecté au sein de l'environnement de l'entreprise peut se déplacer latéralement sur de nombreux terminaux et serveurs, accéder aux données sensibles des utilisateurs, tout en étant exposé à des attaques de rançongiciels à grande échelle.
- Mouvement latéral entre les serveurs: ZTNA n'est pas en mesure de protéger contre les vecteurs d'attaque provenant du centre de données. Un bon exemple serait Vents solaires attaque de la chaîne d'approvisionnement de 2020 au cours de laquelle des attaquants ont eu accès aux réseaux et aux systèmes sur lesquels SolarWinds a été déployé.
- Défaillance des fournisseurs de services d'identité: Les solutions ZTNA font confiance aux fournisseurs de services d'identité (IdP) pour authentifier les utilisateurs dans leur environnement. Les attaquants en ont profité en usurpant les IDP et en contournant les MFA. Une fois à l'intérieur, les attaquants sont libres de faire des ravages, d'exfiltrer des données et d'infecter les actifs critiques d'une organisation.
Comment le ZTS aide-t-il en cas de chute de ZTNA ?
ZTS et ZTNA sont des éléments fondamentaux de tout parcours Zero Trust. Il est clair qu'une organisation ne peut pas compter uniquement sur ZTNA pour se protéger contre les acteurs malveillants.
ZTS comble cette lacune en sécurisant le trafic est-ouest laissé grand ouvert par la ZTNA et en fournissant une visibilité indispensable sur le trafic réseau pour poursuivre votre transition Zero Trust.
Il est de notoriété publique que vous ne pouvez sécuriser que ce que vous pouvez voir. En plus de sécuriser le trafic est-ouest, ZTS fournit une visibilité de bout en bout depuis les terminaux (distants et au bureau) jusqu'aux applications du centre de données ou du cloud. Les organisations peuvent tirer parti de cette visibilité lors de la mise en œuvre d'autres Solutions Zero Trust.
Avec ZTS, une approche basée sur la « supposition d'une violation » est appliquée dans l'ensemble de l'environnement afin que les nœuds ne puissent pas communiquer entre eux sauf autorisation explicite. Cela garantit que les violations sont contenues et ne peuvent pas se propager à l'ensemble du réseau.
Le passage d'un état d'esprit de prévention des violations à un état d'esprit de limitation des brèches a été validé par le décret exécutif 14028 de la Maison Blanche publié en 2021. L'EO appelle les agences fédérales - et toutes les organisations - à adopter une stratégie de sécurité Zero Trust qui met spécifiquement en avant la segmentation Zero Trust (également appelée microsegmentation) comme l'un de ses principaux piliers.
Pour en savoir plus sur les points saillants du décret 14028, consultez cet article.
ZTS comble les 3 principales lacunes posées par la ZTNA
Les terminaux autorisés à communiquer avec d'autres terminaux sont un cadeau à tout attaquant pour leur permettre de se propager rapidement. Par conséquent, les terminaux à l'intérieur ou à l'extérieur du réseau de l'entreprise doivent être sécurisés à l'aide de ZTS. Lorsque les ports restent ouverts, les terminaux deviennent un vecteur d'attaque attrayant et une source majeure de propagation de rançongiciels au sein du réseau. Une fois les terminaux infectés, les attaquants peuvent se déplacer vers des actifs critiques du centre de données.
Grâce à la visibilité acquise grâce à ZTS, vous pouvez simplement créer des règles de segmentation dans lesquelles des politiques granulaires peuvent être appliquées aux serveurs d'applications, permettant uniquement à certains serveurs de communiquer entre eux via des protocoles spécifiques. Par exemple, nous pouvons souhaiter autoriser la communication entre un serveur Web et un serveur de base de données sur le port 3306 (MySQL) mais empêcher la base de données d'accéder au serveur Web.
Le ZTS s'avère être une solution de sécurité efficace au cas où les attaquants contourneraient le mécanisme d'authentification de l'IDP. Même si un attaquant entre, il ne pourra pas se déplacer latéralement dans l'environnement, réduisant ainsi le rayon d'explosion d'une attaque.
La grande majorité des cyberattaques dépendent de la découverte du réseau et de mouvements latéraux. Sans ZTS en plus de ZTNA, une organisation est vulnérable à l'exploitation répétée de ces tactiques.
Illumio + Appgate : atteignez le cybernirvana en implémentant à la fois ZTS et ZTNA
ZTS et ZTNA jouent un rôle majeur dans la sécurisation d'une infrastructure moderne. En les combinant, vous pourrez redonner de l'importance à vos réseaux et atteindre le cybernirvana !
Illumio et Appgate ouvrent la voie en aidant les organisations à mettre en œuvre une protection de sécurité Zero Trust efficace et efficiente. Illumio et Appgate ont été classés parmi les leaders dans le classement Forrester Wave‚Ñ¢ : Zero Trust eXtended Ecosystem Platform Providers.
Avec Illumio et Appgate, vous pouvez rapidement mettre en place une sécurité Zero Trust pour protéger à la fois le trafic périmétrique et intérieur dans vos environnements informatiques hybrides.
En savoir plus sur Illumio + Appgate dans cet article. Et découvrez l'approche en trois étapes des meilleures pratiques pour mettre en œuvre la sécurité Zero Trust avec Illumio et Appgate dans le guide des solutions.
