L'accès Zero Trust (ZTA ou Zero Trust Access) est le modèle général qui englobe à la fois ZTNA et ZTAA. Il permet aux entreprises de bénéficier d'une confidentialité des données inégalée dans un véritable environnement Zero Trust en offrant à la fois :
- Une confiance « zéro » de bout en bout sur l'ensemble de l’architecture, y compris les réseaux et les applications*
- Une sécurité basée sur l'identité qui prend en compte non seulement les personnes présentes sur le réseau, mais aussi ce qui s'y trouve.
Mais alors, qu'est-ce que le ZTNA et le ZTAA ?
* Dans ce billet, on entend par « applications » les actifs IT/OT (applications, ressources, assets, etc...).
ZTNA
L'accès au réseau sans confiance ou ZTNA (Zero Trust Network Access) est la mise en œuvre la plus courante du modèle Zero Trust. Appelé auparavant SDP (Software Defined Perimeter), il est basé sur la micro-segmentation et l'isolation du réseau. En fait, les réseaux privés virtuels (VPN ou Virtual Private Network) ont souvent du mal à suivre la complexité des environnements technologiques modernes. Et bien que Zero Trust et les VPN ne s'excluent pas mutuellement, de nombreuses organisations estiment que les VPN sont inutiles après l'adoption d'un modèle Zero Trust. Les VPN offrent une sécurité basée sur le périmètre qui permet un accès à l'ensemble du réseau. En revanche, le ZTNA n'accorde l'accès qu'à des applications spécifiques après vérification et authentification. Par rapport au VPN, le ZTNA renforce la sécurité autour des réseaux internes et externes en réduisant la surface d'attaque et en mettant en œuvre un contrôle plus granulaire. En outre, le ZTNA offre une flexibilité et une évolutivité accrues, améliorant l'utilisation des applications et réduisant la pression sur le service informatique.
Le Gartner associe le ZTNA à un accès limité par un broker de confiance vers un ensemble d'entités nommées. Pour autoriser l'accès et interdire les déplacements latéraux sur le réseau, le Broker doit vérifier :
- L'identité
- Le contexte
- La politique de sécurité
La surface d'attaque est ainsi minimisée, ce qui réduit considérablement les risques pour la sécurité.
ZTAA
Dans le cadre d'une stratégie Zero Trust, les demandes d’accès aux applications sont évaluées sur la base de contrôles d'accès, élaborés et prédéfinis selon le principe du moindre privilège, et ce, que l’utilisateur se trouve à l'intérieur ou à l'extérieur du périmètre du réseau de l'entreprise. Si elles sont légitimes, elles sont autorisées, si elles ne le sont pas, elles sont bloquées. En fait, elles sont évaluées au cas par cas selon le modèle de sécurité Zero Trust pour qu’une identité n’accède qu'aux applications dont elle a besoin pour remplir son rôle au sein de l'organisation.
Le ZTAA (Zero Trust Application Access) part du principe que tous les réseaux sont compromis et limite l'accès aux applications aux seules identités et Devices vérifiés. Il applique les principes du Zero Trust en acheminant, via un Broker d’accès, toutes les demandes d'accès aux applications, pour que l’identité n’accède qu'aux applications dont elle a besoin pour remplir son rôle. Cette approche bloque efficacement les attaquants qui pénètrent dans le réseau et protège les applications connectées.