Qu'est-ce qu'une architecture réseau zero trust ?

Le zero trust est un terme inventé par John Kindervag alors qu'il était analyste chez Forrester Research pour décrire un cadre stratégique dans lequel rien sur le réseau n'est fiable par défaut - ni les terminaux, ni les utilisateurs finaux, ni les processus. Tout doit être authentifié, autorisé, vérifié et surveillé en permanence. L'approche traditionnelle de la sécurité reposait sur le concept de « faire confiance, mais vérifier ». La faiblesse de cette approche est qu'une fois qu'une personne est authentifiée, elle est considérée comme digne de confiance et peut se déplacer latéralement pour accéder à des données et des systèmes sensibles qui auraient dû lui être interdits.

Les principes du zero trust changent cela en « ne jamais faire confiance, toujours vérifier ». Une architecture confiance zéro ne vise pas à rendre un système fiable ou sûr, mais plutôt à éliminer complètement le concept de confiance. Les modèles de sécurité zero trust supposent qu'un attaquant peut être présent à tout moment dans l'environnement. La confiance n'est jamais accordée de manière inconditionnelle ou permanente, mais doit être évaluée en permanence. Le développement de l’approche zero trust est une réponse aux limites des méthodes traditionnelles d'accès aux actifs, ressources et données des entreprises. Au début de l'informatique, les entreprises étaient en mesure de protéger leurs données grâce à l'utilisation de pare-feu et d'autres technologies de sécurité qui établissaient un « périmètre sécurisé » autour des données. Tout comme les murs d'un château à l'époque médiévale, ces technologies protégeaient ce qui se trouvait à l'intérieur (pour l'essentiel).

Mais le périmètre n'a pas tardé à changer, car les employés, les sous-traitants et les partenaires commerciaux ont commencé à travailler à distance, accédant aux ressources – local ou cloud - via des réseaux ouverts ou avec des terminaux personnels dont la sécurité n'était pas toujours garantie. En outre, le déploiement des appareils de l'Internet des objets (IoT), qui avaient souvent un accès automatique aux ressources du réseau, a augmenté. Pour permettre aux employés d'accéder aux ressources du réseau, une architecture zero trust nécessite une combinaison de technologies, notamment la gestion des identités et des actifs, l'authentification des applications, le contrôle d'accès, la segmentation du réseau et la veille sur les menaces.

En mode zero trust, l'équilibre consiste à renforcer la sécurité sans sacrifier l'expérience de l'utilisateur. Une fois authentifié et autorisé, un utilisateur a accès aux seules ressources dont il a besoin pour effectuer son travail. Si une ressource ou un dispositif est compromis, la confiance zéro garantit que les dommages peuvent être contenus. La bonne nouvelle pour de nombreuses entreprises est qu'elles ont probablement déjà investi dans plusieurs des technologies habilitantes exploitables dans une stratégie zero trust. En adoptant cette approche, les entreprises auront plus probablement besoin d'adopter et d'appliquer de nouvelles politiques, plutôt que d'installer un matériel.

Quels sont les concepts de base de l'approche ZTNA ?

Avant de commencer à déployer une architecture zero trust, il existe plusieurs règles de base qui doivent être respectées dans toute l'entreprise pour que le système fonctionne.

- Toutes les sources de données, les services informatiques et les terminaux sont considérés comme des ressources. Même les équipements appartenant aux employés doivent être considérés comme des ressources s'ils peuvent accéder à celle de l'entreprise.

- Toutes les communications doivent être sécurisées, quel que soit l'emplacement du réseau. Les terminaux et les utilisateurs à l'intérieur d'un réseau sont tout aussi indignes de confiance que ceux qui se trouvent à l'extérieur du périmètre du réseau.

- L'accès aux ressources est accordé sur la base d'une session et avec le minimum de privilèges nécessaires pour accomplir une tâche. L'authentification à une ressource ne donne pas automatiquement accès à une autre ressource.

- L'accès aux ressources est déterminé par une politique dynamique qui inclut l'état de l'identité du client, l'application et peut inclure d'autres attributs comportementaux et environnementaux.

- Une entreprise doit surveiller et mesurer l'intégrité et la posture de sécurité de tous les actifs détenus et associés. Des systèmes de diagnostic et d'atténuation continus (CDM) ou des systèmes similaires pour surveiller les appareils et les applications sont nécessaires. Les patchs et les correctifs doivent être appliqués rapidement. Les actifs dont on découvre qu'ils présentent des vulnérabilités connues peuvent être traités différemment (y compris le refus de connexion) des dispositifs ou des actifs considérés comme étant dans leur état le plus sûr.

- L'authentification et l'autorisation sont strictement appliquées avant que l'accès ne soit autorisé, et peuvent être sujettes à des changements. Une autorisation donnée un jour ne garantit pas une autorisation le lendemain.

- Une organisation doit recueillir autant d'informations que possible sur l'état actuel de ses actifs, de son infrastructure réseau, de ses communications, de ses utilisateurs finaux et de ses appareils afin d'améliorer son niveau de sécurité. Ce n'est qu'avec ces informations que des politiques peuvent être créées, appliquées et améliorées.

Comment mettre en œuvre la confiance zéro

Une fois que ces principes sont compris et appliqués, une entreprise peut commencer à mettre en œuvre une stratégie de confiance zéro. Cela comprend les cinq étapes suivantes :

- Identifier les ressources qui doivent être protégées. Les termes varient - certains l'appellent la « surface de protection », d'autres la « zone de confiance implicite ». Mais il s'agit essentiellement d'une zone clairement définie dans laquelle les processus de confiance zéro se produiront, ce qui dépend de l'entreprise et de ses besoins. En donnant la priorité aux zones à protéger, on peut maintenir ces zones petites, du moins au début.

- Cartographier les flux de transactions pour ces ressources. Les entreprises doivent identifier les personnes qui ont généralement besoin d'accéder à ces ressources, comment elles se connectent et quels dispositifs elles utilisent pour se connecter.

- Construire l'architecture. Cela inclut l'ajout de composants qui autorisent ou refusent l'accès à ces ressources protégées.

- Créer une politique de confiance zéro qui indique les rôles des utilisateurs, les autorisations, la manière dont les personnes s'authentifieront (l'authentification multifactorielle est indispensable).

- Surveiller et entretenir le système, en apportant des modifications et des améliorations si nécessaire.

Qu'est-ce qu'une architecture zero trust ?

Une fois qu'une ressource a été identifiée comme protégée, une entreprise doit mettre en place des « points de contrôle » qui seront responsables de la décision d'autoriser ou de refuser l'accès. Il existe trois composants principaux, basés sur les termes inventés par le NIST dans son document sur l'architecture zero trust d'août 2020.

Policy Engine (PE) : Ce dernier est chargé de prendre la décision d'accorder ou de refuser l'accès à une ressource. Il prend généralement sa décision sur la base de la politique de l'entreprise, mais reçoit également des informations de sources externes (y compris les systèmes CDM, les services de renseignement sur les menaces) et de l'algorithme de confiance. Une fois la décision prise, elle est enregistrée et l'administrateur de politiques exécute l'action.

Policy Administrator (PA) : Ce composant est chargé d'établir ou de fermer le chemin de communication entre un demandeur (une personne ou une machine) et la ressource (données, service, application). Le PA peut générer une authentification spécifique à la session (ou utiliser des jetons, des informations d'identification, des mots de passe) dans le cadre de son processus. Si une demande est acceptée, le PA configure le Policy Enforcement Point (PEP) pour permettre à la session de démarrer. Si la demande est refusée, le PA demande au PEP de couper la connexion.

Policy Enforcement Point (PEP) : Le PEP active, surveille, et éventuellement termine les connexions entre un demandeur et la ressource. Il communique avec le PA pour transmettre les demandes et recevoir les mises à jour de la politique du PA.

D'autres systèmes peuvent contribuer aux données et/ou aux règles de politique, notamment les systèmes CDM (Continuous Diagnostics and Mitigation), les systèmes de conformité industrielle (qui veillent à ce que ces systèmes restent conformes aux organismes de réglementation), les services de renseignement sur les menaces (qui fournissent des informations sur les nouveaux logiciels malveillants, les failles logicielles ou d'autres attaques signalées), les journaux d'activité du réseau et du système, et les systèmes de gestion des identités (pour assurer le suivi des rôles mis à jour, des actifs attribués et d'autres attributs).

Nombre de ces systèmes alimentent en données un algorithme de confiance qui aide à prendre la décision finale concernant la demande d'accès aux ressources du réseau. L'algorithme de confiance prend en compte les données du demandeur ainsi qu'un certain nombre d'autres paramètres dans le cadre de sa décision. Les exemples de questions incluent, mais ne sont pas limités à :

Qui est cette personne ? S'agit-il d'une personne réelle ou d'une machine ? (capteur IoT, par exemple)

Ont-ils déjà fait cette demande auparavant ?

Quel est le terminal qu'ils utilisent ?

La version du système d'exploitation est-elle mise à jour et corrigée ?

Où se trouve le demandeur ? (domicile, étranger, etc.)

La personne a-t-elle le droit de visualiser cette ressource ?

Scénarios de déploiement ZTNA

Chaque entreprise est différente, et la façon dont elle aborde le concept de confiance zéro varie. Voici quelques scénarios courants :

Entreprise avec des bureaux satellites. 

Les entreprises qui ont des employés travaillant sur des sites distants, ou des travailleurs à distance, auraient probablement besoin d'avoir un PE/PA hébergé en tant que service cloud. Cela offre une meilleure disponibilité et n'oblige pas les travailleurs distants à s'appuyer sur l'infrastructure de l'entreprise pour accéder aux ressources cloud. Dans ce scénario, les actifs de l'utilisateur final auront un agent installé ou auront accès au réseau par le biais d'un portail de ressources.

Entreprise multicloud ou cloud-to-cloud.

Les entreprises qui utilisent plusieurs fournisseurs de cloud peuvent voir une situation où une application est hébergée sur un service de cloud distinct de la source de données. Dans ce cas, une application hébergée dans un cloud devrait pouvoir se connecter directement à la source de données dans le second cloud, plutôt que d'obliger l'application à passer par le réseau de l'entreprise. Les PEP seraient ainsi placés aux points d'accès de chaque application/service et source de données. Ils pourraient être situés dans l'un ou l'autre des services cloud, ou même chez un troisième fournisseur de services cloud. Les clients pourraient accéder directement aux PEP, avec la possibilité pour les entreprises de gérer l'accès. L'une des difficultés réside dans le fait que les différents fournisseurs de services cloud ont leurs propres méthodes pour mettre en œuvre la même fonctionnalité.

Entreprise avec accès par des contractants ou des non-employés.

Pour les visiteurs sur site ou les prestataires de services sous contrat qui ont besoin d'un accès limité, une architecture de confiance zéro serait également susceptible de déployer le PEP et le PA en tant que service cloud hébergé, ou sur le LAN (si les services hébergés dans le cloud sont peu ou pas utilisés). L'AP garantit que les actifs non liés à l'entreprise ne peuvent pas accéder aux ressources locales, mais qu'ils peuvent accéder à l'Internet afin que les visiteurs et les prestataires puissent travailler.

Les défis du zero trust

Outre certains des problèmes de migration associés au passage de la confiance implicite à la confiance zéro, il existe plusieurs autres questions que les responsables de la sécurité doivent prendre en compte. Tout d'abord, les composants PE et PA doivent être correctement configurés et entretenus. Un administrateur d'entreprise ayant accès à la configuration des règles de l'EP pourrait être en mesure d'effectuer des modifications non approuvées ou de commettre des erreurs susceptibles de perturber les opérations. Un PA compromis pourrait permettre l'accès à des ressources qui ne seraient pas approuvées autrement. Ces composants doivent être correctement configurés et surveillés, et toute modification doit être enregistrée et soumise à un audit.

Deuxièmement, étant donné que le PA et le PEP prennent des décisions pour toutes les demandes d'accès aux ressources, ces composants sont vulnérables aux attaques par déni de service ou par perturbation du réseau. Toute perturbation du processus de décision peut avoir un impact négatif sur les opérations d'une entreprise. L'application des politiques peut résider dans un environnement en nuage correctement sécurisé, ou être répliquée en différents endroits pour contribuer à réduire cette menace, mais elle ne l'élimine pas complètement.

Troisièmement, les informations d'identification volées et les initiés malveillants peuvent toujours endommager les ressources d'une entreprise. Toutefois, une architecture zero trust correctement développée et mise en œuvre limiterait les dégâts d'une telle approche, car les systèmes seraient en mesure de déterminer qui a fait la demande et si elle était appropriée. Par exemple, les systèmes de surveillance seraient en mesure de détecter si les informations d'identification volées à un service de conciergerie tentaient soudainement d'accéder à la base de données des numéros de cartes de crédit.

Quatrièmement, les responsables de la sécurité doivent s'assurer que l'adoption d'une stratégie zero trust ne crée pas une grande lassitude à l'égard de la sécurité, dans laquelle les utilisateurs sont constamment sollicités pour des informations d'identification, des mots de passe et des vérifications de correctifs du système d'exploitation, ce qui finirait par affecter négativement la productivité. Il faut trouver un équilibre entre la capacité des employés et des sous-traitants à effectuer leur travail et la garantie qu'ils ne sont pas des attaquants.

Zero trust dans le cadre d'un service SASE

Gartner a lancé un modèle appelé Secure Access Service Edge (Sase, prononcé "sassy") qui combine des services de mise en réseau et de sécurité des réseaux tels que l'accès réseau à confiance zéro (ZTNA), les réseaux étendus définis par logiciel (SD-WAN), les courtiers de sécurité d'accès au cloud (CASB), les pare-feu en tant que service (FWaaS) et les passerelles Web sécurisées (SWG).

Lorsqu'ils sont fournis par le biais d'un cadre commun, les Sase peuvent offrir aux entreprises une sécurité cohérente et un accès à plusieurs types d'applications cloud. Cela donne également aux entreprises un moyen de simplifier leur gestion, de maximiser la protection du réseau à travers leurs ressources et quel que soit leur emplacement.

Bien que le modèle zero trust puisse être déployé par les entreprises qui utilisent des services basés sur le cloud, le modèle Sase peut souvent fournir davantage de conseils par le biais de ces autres technologies.