Qu'est-ce que
ZTNA (accès réseau Zero Trust)
?
Comment fonctionne l'accès réseau Zero Trust (ZTNA)
Dans le modèle ZTNA, l'accès n'est approuvé que lorsqu'un utilisateur est authentifié par le service ZTNA, qui fournit ensuite un accès à une application ou à un réseau via un tunnel sécurisé et crypté. Le service empêche les utilisateurs de voir les applications ou les données auxquelles ils ne sont pas autorisés à accéder, empêchant ainsi tout mouvement latéral d'un attaquant potentiel. Ce type de mouvement serait autrement possible si un terminal compromis ou des informations d'identification approuvées pouvaient être utilisés par un appareil ou un agent non autorisé pour passer à d'autres services ou applications.
Avec ZTNA, les applications protégées sont également masquées et leur accès est limité via le service ZTNA (également appelé courtier de confiance) à un ensemble d'entités préapprouvées. Un courtier fiduciaire n'accordera l'accès à une entité que si les conditions suivantes sont remplies :
- L'entité (un utilisateur, un appareil ou un réseau) fournit au courtier les informations d'identification appropriées.
- Le contexte dans lequel l'accès est demandé est valide.
- Toutes les politiques applicables en matière d'accès dans ce contexte donné ont été suivies.
Dans ZTNA, les politiques d'accès sont personnalisables et peuvent être modifiées en fonction des besoins du système. Par exemple, outre les exigences ci-dessus, vous pouvez mettre en œuvre un contrôle d'accès basé sur la localisation ou l'appareil qui empêche les appareils vulnérables ou non approuvés de se connecter à un réseau protégé.
Avantages de l'accès réseau Zero Trust (ZTNA)
Tout d'abord, étant donné que l'accès aux applications est isolé de l'accès au réseau dans le framework ZTNA, l'exposition du réseau aux infections ou à l'accès par des appareils compromis est réduite.
Deuxièmement, les modèles ZTNA n'établissent que des connexions sortantes. Cela permet de garantir que les infrastructures du réseau et des applications sont invisibles pour les utilisateurs non autorisés ou non approuvés.
Troisièmement, une fois qu'un utilisateur est autorisé, l'accès aux applications est fourni sur une base individuelle ; les utilisateurs ne peuvent accéder qu'aux applications auxquelles ils ont été explicitement autorisés à accéder au lieu de bénéficier d'un accès complet au réseau.
Enfin, la ZTNA étant définie par logiciel, les frais de gestion des appareils et des applications peuvent être considérablement réduits.
Cas d'utilisation de l'accès réseau Zero Trust (ZTNA)
Voici quelques cas d'utilisation courants qui illustrent la puissance des modèles de sécurité ZTNA.
Remplacement du VPN
Les VPN sont lents, relativement peu sûrs et peuvent être difficiles à gérer. Le ZTNA est en passe de devenir le modèle de sécurité préféré destiné à remplacer le VPN pour fournir un accès à distance aux réseaux centraux.
Réduction des risques liés aux tiers et aux fournisseurs
Les autorisations d'accès et les transferts de données vers ou depuis des tiers ou des fournisseurs externes constituent une faille de sécurité inhérente à votre infrastructure informatique. Avec ZTNA, vous pouvez réduire ces risques en vous assurant que les utilisateurs externes n'ont jamais accès à un réseau sécurisé à moins d'y être autorisés et que, même s'ils y ont accès, ils n'ont accès qu'à des applications ou bases de données spécifiques pour lesquelles leur accès est approuvé.
Déploiement de l'accès réseau Zero Trust (ZTNA)
Vous pouvez déployer ZTNA dans votre organisation comme suit :
- Via l'intégration de passerelle, dans laquelle tout trafic tentant de franchir une limite réseau sera filtré par votre passerelle.
- Via un réseau étendu défini par logiciel sécurisé qui peut optimiser et automatiser l'accès au réseau à l'aide d'une pile de sécurité intégrée à chaque appliance réseau.
- Via le Secure Access Service Edge (SASE) qui fournit une sécurité WAN définie par logiciel via une appliance cloud virtuelle.
La ZTNA est reconnue comme une meilleure pratique en matière de cybersécurité. L'avantage de ZTNA est qu'il ne nécessite pas de refonte importante de votre réseau existant pour le déployer. Cependant, étant donné que toute entreprise informatique nécessite l'intégration des personnes et des appareils, la redéfinition des politiques et la garantie de l'adhésion des parties prenantes, les décideurs doivent prendre en compte les points suivants avant de s'associer à un fournisseur de solutions ZTNA :
- La solution vous aide-t-elle à sécuriser les données et les applications à l'aide de micropérimètres ?
- Pouvez-vous protéger les données en transit ?
- Dispose-t-il d'une segmentation par refus par défaut et d'une conception et de tests de politiques granulaires ?
- Peut-il être déployé indépendamment de votre infrastructure existante ?
- Est-ce qu'il fournit des alertes de violation ?
- Quels types de dispositions de sécurité de la charge de travail sont disponibles ?
- La solution offre-t-elle une segmentation basée sur l'utilisateur, un contrôle d'accès à distance et une prévention des mouvements latéraux ?
- Existe-t-il une segmentation au niveau de l'appareil, une détection d'appareils inconnus et une mise en quarantaine des appareils ?
- Existe-t-il un dispositif de confinement par défaut, avant même que les menaces ne soient identifiées ?
- Quels sont les types de visibilité dont disposent les utilisateurs et quels types d'audits sont disponibles ?
- Quels types d'intégrations sont inclus ? Tenez compte des points suivants :
- Orchestration avec Chef, Puppet ou Ansible
- Orchestration de plateformes de conteneurs avec Red Hat OpenShift, Kubernetes ou Docker
- Analyses de sécurité avec Splunk et IBM QRadar
- Outils de gestion des vulnérabilités tels que Qualys, Tenable ou Rapid7
- Outils de cloud public tels qu'AWS Cloud Formation, AWS GuardDuty et Azure
- En combien de temps puis-je segmenter mes environnements réseau ?
- Comment tirer parti de mes investissements existants tels que les pare-feux hôtes, les commutateurs et les équilibreurs de charge pour renforcer la segmentation entre les systèmes existants et hybrides ?
- Quels types d'intégrations d'API REST sont pris en charge ? Les outils importants à vérifier incluent OneOps, Chef, Puppet, Jenkins, Docker et OpenStack Heat/Murano