Nile enrichit son NaaS d'un service zero-trust

Les mises à jour apportées à la plateforme « Network-as-a-Service » (NaaS) de Nile comprennent des capacités de microsegmentation intégrées ainsi que des fonctionnalités natives de contrôle d'accès visant à rendre superflues les appliances NAC autonomes.

Fondé en 2018, par Pankaj Patel (ex-Chief Development Officer de Cisco), Suresh Katukam ( ancien de Cisco et Aruba) et Sri Hosakote ( vétéran de Cisco), Nile explique que les réseaux d'entreprise sont devenus trop complexes et trop difficiles à utiliser. La start-up a développé sa plateforme Nile Access Service sur un modèle NaaS par abonnement, fournissant une infrastructure de campus filaire et sans fil avec une sécurité « zero-trust » et des opérations autonomes. Elle compte désormais plus de 150 clients dans 30 pays.

Nile étend désormais son service Nile Access Service avec plusieurs fonctionnalités. Les principales nouveautés sont une microsegmentation basée sur l'identité directement intégrée à la structure du réseau, et un remplacement natif du NAC qui élimine les appliances autonomes. La microsegmentation inclut une fonctionnalité qui isole chaque appareil individuellement. L'annonce est complétée par un catalogue de services élargi. L'entreprise positionne cette offre élargie comme la deuxième phase de son évolution. « Nile 1.0 visait à apporter cette simplicité radicale à l’infrastructure sur une structure zéro confiance, et aujourd’hui, Nile 2.0 vise véritablement à faire évoluer la sécurité à grande échelle, rendant les cas d’utilisation beaucoup plus concrets », a déclaré Shashi Kiran, directeur marketing de Nile, à notre confrère de Network World.

NAC sans appliance

Le contrôle d’accès au réseau (NAC) est depuis une génération la pierre angulaire des piles de sécurité des réseaux d’entreprise. Dans de nombreux cas, le NAC est encore fourni via un appliance. C’est quelque chose que Nile cherche à changer avec sa dernière mise à jour. Suresh Katukam, cofondateur et directeur des produits chez Nile, a déclaré à Network World que l’objectif est d’éliminer complètement le besoin d’un appareil NAC autonome en intégrant cette fonctionnalité directement dans la structure, supprimant ainsi à la fois le coût du matériel et les frais de gestion qui l’accompagnent. Identity est la couche d'authentification qui alimente le remplaçant du NAC. Pour les utilisateurs et les employés, Nile extrait les identités d'Active Directory, y compris l'appartenance à des groupes et à des rôles, ce qui se traduit directement par l'application des politiques. Les postes de travail d'entreprise peuvent s'authentifier via Radius à l'aide de certificats, qui contiennent des métadonnées supplémentaires sur les terminaux. Pour les connexions filaires, Nile prend en charge le protocole 802.1X mais propose également une option de portail captif, permettant une authentification à deux facteurs sans nécessiter un déploiement complet de 802.1X sur chaque port.

Microsegmentation et le « Segment-of-1 »

Les implémentations précédentes de Nile utilisaient un accès basé sur l’identité, mais ne prenaient en charge que la macrosegmentation. Cette version ajoute une microsegmentation fine appliquée au niveau de l’identité plutôt qu’au niveau de l’adresse IP ou du VLAN. M. Katukama déclaré que ce changement signifie que la politique suit l’utilisateur ou le terminal indépendamment de l’emplacement physique, du port de commutateur ou du type de connexion. « Nous ne vous permettons même pas de vous découvrir sur le réseau. Nous ne vous permettons pas de communiquer sur le réseau à moins que la politique ne vous y autorise », a-t-il indiqué. Pour les terminaux IoT où l'authentification par certificat n'est pas disponible, Nile utilise l'empreinte digitale des terminaux comme ancrage de la politique. Le système peut identifier les dispositifs jusqu'au modèle spécifique. Le système continue d'apprendre les attributs des appareils au fil du temps pour affiner la classification.

La fonctionnalité « Segment-of-1 » pousse cette isolation à son paroxysme, en confinant un terminal compromis ou défectueux à un rayon d’action limité à un seul terminal. Kiran a précisé que cela s’applique à la propagation de logiciels malveillants, mais aussi au shadow IA, où des agents IA fonctionnant sur les postes de travail des employés n’ont pas été autorisés par le service informatique. « Aujourd’hui, une grande partie de l’IA utilisée dans les environnements d’entreprise n’est pas nécessairement autorisée par le service informatique, et celui-ci n’en a même pas la visibilité dans de nombreux cas, mais s’il la détecte, grâce aux capacités Segment-of-1, il est possible de l’isoler sans étendre le rayon d’action », a expliqué M. Kiran.

Catalogue de services élargi

Parallèlement aux mises à jour de sécurité, Nile élargit son catalogue de services. Le service Internet Edge permet aux clients de terminer les liaisons Internet directement sur la plateforme Nile grâce à un routage performant tenant compte des applications. Le service Secure Guest garantit que le trafic des invités n'atteint jamais le réseau d'entreprise. Lorsqu'un invité se connecte, Nile lui attribue une adresse IP publique issue de sa propre infrastructure et achemine ce trafic directement vers Internet. Une autre mise à jour concerne un service DHCP intégré. Le DHCP fonctionnait traditionnellement soit sous forme d’appareils dédiés dans les centres de données, soit intégré dans des contrôleurs de réseau, des routeurs et des points d’accès, ce qui nécessitait une gestion séparée de l’espace d’adressage sur chaque site. La mise en œuvre de Nile s’effectue dans le cloud, via un modèle de proxy où les terminaux reçoivent toujours une adresse IP locale, mais où la requête est traitée via le cloud de Nile plutôt que par du matériel local. Il en résulte un plan de gestion unique pour le DHCP sur l’ensemble des sites mondiaux, plutôt qu’une gestion par appareil sur chaque site.

Nile exploite le réseau à l’échelle mondiale pour l’ensemble de ses clients, ce qui signifie qu’un incident détecté et résolu sur un site peut être automatiquement corrigé pour l’ensemble de la base de clients avant qu’il ne se reproduise ailleurs. Kiran a déclaré que cette visibilité confère au modèle d’IA un avantage cumulatif au fil du temps. « Tout incident survenant à un endroit est automatiquement corrigé avant qu’il ne se produise ailleurs, qu’il s’agisse d’un incident réseau ou de sécurité », a-t-il déclaré.

Et ensuite ?

À l’avenir, Nile continuera à étendre ses capacités, l’IA étant l’un de ses domaines prioritaires. M. Katukama a souligné que Nile est déjà capable d’identifier les agents IA s’exécutant sur les terminaux connectées au réseau. La prochaine étape consiste à classer ces agents en agents d’entreprise ou personnels, dans le but d’appliquer à chacun une politique différenciée et une priorisation du trafic. Une visibilité et un contrôle plus étendus des agents IA constituent un domaine que Nile prévoit de développer davantage à mesure que les charges de travail IA augmentent sur les campus et dans les succursales. L'architecture fondamentale de Nile, qui vise à simplifier le réseau, sera la clé pour aider à sécuriser l'IA à l'avenir. « Si vous voulez intégrer l'IA, si vous voulez intégrer la sécurité, vous ne pouvez pas le faire si l'infrastructure sous-jacente est compliquée », a conclu M. Kiran.