Cybersécurité, Virtualisation & Intelligence Artificielle... VIRTU-DESK - Technologies de virtualisation et sécurisation de l'environnement utilisateurs.

ZTA (Zero Trust) – « A » comme Architecture et Access

Francis MILLOT Par Le dimanche, 10 novembre 2024 0

Dans Cybersécurité

ZTAPar essence, la sécurité « Zero Trust » reconnaît non seulement l'existence de menaces à l'intérieur et à l'extérieur du réseau, mais elle part du principe qu'une « violation » est inévitable, ou qu'elle s'est probablement déjà produite.

ZTA - « A » comme Architecture

Fondée sur le principe de « je vérifie toujours et ne fais jamais confiance… », l'architecture Zero Trust (ZTA ou Zero Trust Architecture) est une stratégie de sécurité moderne qui redéfinit la manière dont les organisations protègent leurs environnements numériques. Elle fournit des bases solides, conçues pour prévenir les violations de données, sécuriser les informations sensibles et met fin au modèle de sécurité périmétrique de type « château-fort ». Elle surveille en permanence les activités malveillantes et limite l'accès des utilisateurs au strict nécessaire pour empêcher efficacement les utilisateurs (y compris les potentiels acteurs malveillants) de se déplacer latéralement (par rebond) dans le réseau et d'accéder à toutes les données qui n'ont pas été limitées. Le Zero Trust est donc une stratégie de sécurité intégrée de bout en bout, basée sur ces trois principes fondamentaux.

1 - Ne jamais faire confiance, toujours vérifier

Il faut toujours authentifier et autoriser sur la base de tous les éléments de contexte d'accès disponibles :

  • L'identité
  • La localisation géographique
  • Le Device
  • Les sources de données
  • Le service ou la charge de travail
  • Etc...

La vérification continue signifie qu'il n'y a pas de zone, de Device ou d'identité de confiance. Au contraire, Zero Trust traite « tout et chacun » comme une menace potentielle.

2 - Toujours supposer que vos défenses ont déjà été infiltrées

Si en avance de phase vous supposez que vos défenses ont déjà été infiltrées, vous pouvez, par anticipation, adopter une posture de sécurité plus forte contre les menaces potentielles et minimiser l'impact si une brèche se produit. Vous pourrez ainsi mieux définir et délimiter le périmètre, c'est-à-dire l'étendue et la portée des dommages potentiels causés par une « violation » :

  • Segmentation de l'accès pour réduire votre surface d'attaque
  • Vérification du chiffrement de bout en bout
  • Surveillance du réseau en temps réel
  • Etc...

3 – Application du principe du moindre privilège

Il faut limiter les droits d'accès d'une identité et ne lui accorder que les privilèges minimaux nécessaires pour accomplir sa fonction. En d'autres termes, il faut empêcher les utilisateurs, les comptes, les processus informatiques ou autres, d'avoir un accès inutilement large au réseau, ce qui le rendrait plus vulnérable et créerait une surface d'attaque plus importante en cas de « violation ».

ZTA - « A » comme Access

L'accès Zero Trust (ZTA ou Zero Trust Access) est le modèle général qui englobe à la fois ZTNA et ZTAA. Il permet aux entreprises de bénéficier d'une confidentialité des données inégalée dans un véritable environnement Zero Trust en offrant à la fois :

  • Une confiance « zéro » de bout en bout sur l'ensemble de l’architecture, y compris les réseaux et les applications*
  • Une sécurité basée sur l'identité qui prend en compte non seulement les personnes présentes sur le réseau, mais aussi ce qui s'y trouve.

Mais alors, qu'est-ce que le ZTNA et le ZTAA ?

* Dans ce billet, on entend par « applications » les actifs IT/OT (applications, ressources, assets, etc...).

ZTNA

L'accès au réseau sans confiance ou ZTNA (Zero Trust Network Access) est la mise en œuvre la plus courante du modèle Zero Trust. Appelé auparavant SDP (Software Defined Perimeter), il est basé sur la micro-segmentation et l'isolation du réseau. En fait, les réseaux privés virtuels (VPN ou Virtual Private Network) ont souvent du mal à suivre la complexité des environnements technologiques modernes. Et bien que Zero Trust et les VPN ne s'excluent pas mutuellement, de nombreuses organisations estiment que les VPN sont inutiles après l'adoption d'un modèle Zero Trust. Les VPN offrent une sécurité basée sur le périmètre qui permet un accès à l'ensemble du réseau. En revanche, le ZTNA n'accorde l'accès qu'à des applications spécifiques après vérification et authentification. Par rapport au VPN, le ZTNA renforce la sécurité autour des réseaux internes et externes en réduisant la surface d'attaque et en mettant en œuvre un contrôle plus granulaire. En outre, le ZTNA offre une flexibilité et une évolutivité accrues, améliorant l'utilisation des applications et réduisant la pression sur le service informatique.

Le Gartner associe le ZTNA à un accès limité par un broker de confiance vers un ensemble d'entités nommées. Pour autoriser l'accès et interdire les déplacements latéraux sur le réseau, le Broker doit vérifier :

  • L'identité
  • Le contexte
  • La politique de sécurité

La surface d'attaque est ainsi minimisée, ce qui réduit considérablement les risques pour la sécurité.

ZTAA

Dans le cadre d'une stratégie Zero Trust, les demandes d’accès aux applications sont évaluées sur la base de contrôles d'accès, élaborés et prédéfinis selon le principe du moindre privilège, et ce, que l’utilisateur se trouve à l'intérieur ou à l'extérieur du périmètre du réseau de l'entreprise. Si elles sont légitimes, elles sont autorisées, si elles ne le sont pas, elles sont bloquées. En fait, elles sont évaluées au cas par cas selon le modèle de sécurité Zero Trust pour qu’une identité n’accède qu'aux applications dont elle a besoin pour remplir son rôle au sein de l'organisation.

Le ZTAA (Zero Trust Application Access) part du principe que tous les réseaux sont compromis et limite l'accès aux applications aux seules identités et Devices vérifiés. Il applique les principes du Zero Trust en acheminant, via un Broker d’accès, toutes les demandes d'accès aux applications, pour que l’identité n’accède qu'aux applications dont elle a besoin pour remplir son rôle. Cette approche bloque efficacement les attaquants qui pénètrent dans le réseau et protège les applications connectées.

Plateforme ZTA « cyberelements »

Une solution sécurisée d'accès distant « Zero Trust » intègre nativement ZTNA et ZTAA. Ces deux concepts de sécurité Zero Trust se différentient par leur orientation :

  • ZTNA est centré sur la sécurité des accès réseau
  • ZTAA est centré sur la sécurité des accès aux applications.    

La plateforme SaaS cyberelements.io de l'éditeur Systancia, de par son concept et son architecture, est une véritable solution Zero Trust Access (ZTA). Elle garantit un contrôle d'accès total à l’organisation, en unifiant le provisionnement des identités (IAM) et la sécurité des accès Zero Trust (ZTNA), pour connecter en toute sécurité les collaborateurs aux seules applications dont ils ont droit (ZTAA).

Architecture simplifiée

L’architecture de la plateforme cyberelements repose nativement sur une double barrière avec une technologie de rupture de protocole et de réécriture d’URL, qui rend les applications de l’entreprise invisibles du réseau Internet tout en permettant d’y accéder en sécurisant les flux de connexion.

  • Le Controller (géré dans le Cloud de cyberelements) vérifie l’accès des utilisateurs et des dispositifs. Il attribue et contrôle les autorisations d’accès aux applications et systèmes disponibles.
  • La Gateway Edge se trouve à la périphérie du LAN ou du cloud privé de l'organisation et agit comme un relais réseau vers les applications et systèmes gérés. Elle est chargée d’établir à la demande et de délivrer la session utilisateur au Controller puis à l’utilisateur.

Architecture cyberelements

19 votes. Moyenne 4.9 sur 5.
Vous devez être connecté pour poster un commentaire