Zero-Trust Network Access

Le Sdp (Software Defined Perimeter) Zero Trust

Un SDP, ou Software Defined Perimeter est une alternative de Zero Trust aux réseaux privés virtuels (VPN) pour un accès à distance sécurisé à toute application, où qu'elle se trouve. Le concept original du modèle de SDP Zero Trust était simple : vous ne faisiez pas confiance à un appareil simplement parce qu'il appartenait à un employé et qu'il était connecté au réseau local (LAN). Idéalement, le mouvement Zero Trust signifie que l'on ne fait confiance à "rien".

La définition du SDP Zero Trust a été étendue pour inclure une combinaison de micro-segmentation et d'accès basé sur l'identité. La micro-segmentation permet d'améliorer l'isolement, la segmentation et le contrôle du réseau. L'accès basé sur l'identité garantit qu'au moment de la connexion, les utilisateurs ne sont pas authentifiés qu’une ou deux fois, mais continuellement vérifiés, et que leur activité est contrôlée pour détecter les anomalies.

On suppose à tort que parce qu'un appareil appartient à un employé et se trouve sur le réseau local, il devrait être autorisé à accéder au réseau, même si cet appareil est connecté à distance par un réseau privé virtuel (VPN). Cependant, si nous prenons en compte notre expérience passée, nous nous rendrons compte que les professionnels de la sécurité doivent être très prudents lorsqu'ils accordent un accès au réseau.

Changer la conception des réseaux avec un SDP Zero Trust

Le concept de Software Defined Perimeter Zero Trust introduit une approche de la mise en réseau qui est différente de la façon dont les réseaux sont généralement conçus aujourd'hui. Actuellement, la topologie du réseau n'est pas conçue en fonction des utilisateurs et des ressources auxquelles ils doivent accéder, mais plutôt en fonction des succursales et des centres de données.

La manière traditionnelle de concevoir les réseaux n'est pas basée sur l'identité mais sur l'emplacement physique. Par rapport à la conception d'un réseau de Zero Trust, cette méthode finit par échouer à plusieurs égards, en particulier lorsque le périmètre devient moins clair

Les habitudes de connexion changent, et les VPN ne suffisent plus

Dans le passé, la vie était plus simple puisque nous avions des appareils d'entreprise câblés statiquement qui accédaient à des applications d'entreprise statiques et bien définies. Mais aujourd'hui, nous disposons de plusieurs appareils (d'entreprise et personnels) qui se connectent de partout. Aujourd'hui, on assiste également à une migration rapide des applications vers les environnements SaaS (Software-as-a-Service) et IaaS (Infrastructure-as-a-Service).

En conséquence, nous ne sommes plus protégés par un périmètre de réseau sécurisé avec des points de démarcation clairs. Les utilisateurs mobiles, qui apportent leur propre appareil (BYOD) et les applications dans le cloud testent les limites de l'architecture VPN traditionnelle. Pourtant, les entreprises comptent beaucoup sur l'accès VPN pour une productivité sans faille

Sécurité des VPN et problèmes d’expérience utilisateur

Le premier problème que pose aujourd'hui le VPN est la sécurité : les utilisateurs qui se connectent au VPN obtiennent un accès étendu au réseau. Même si le réseau est bien conçu et segmenté, un large éventail de ressources réseau est visible pour les attaquants.

N'oublions pas l'expérience utilisateur : lorsque vous devez acheminer le trafic vers un centre de données centralisé pour la terminaison du VPN ou pour des raisons de sécurité, il y a une latence qui dégrade les performances de l'application. En outre, les utilisateurs doivent souvent faire face à des applications clientes peu fiables et à des configurations complexes. Si vous disposez d'un concentrateur VPN et que vous effectuez le backhaul vers ce site, il n'y aura peut-être pas trop de problèmes en dehors de la latence. Cependant, si, par exemple, vous avez 3 concentrateurs VPN et que l'utilisateur doit choisir le bon, il doit savoir où se trouve l'application

Cloud et VPN : des problèmes

Sur le plan opérationnel, une fois que des milliers d'employés internes et de tiers accèdent à distance aux applications, la définition des politiques et leur synchronisation entre différents sites est complexe. 

En outre, le déploiement, la configuration et la gestion de VPN dans des dizaines ou des centaines de cas de cloud computing sont coûteux, longs et risqués

L'utilisation abusive des VLAN

Au départ, la conception du réseau était basée sur des zones. Le premier cas d'utilisation des VLAN était axé sur l'amélioration des performances en divisant les domaines de diffusion. Cependant, avec le temps, leur rôle a évolué pour fournir une sécurité à laquelle ils n'étaient jamais vraiment destinés.

Ce n’est pas la technologie optimale pour couvrir plusieurs sites. Prenez en considération le cloud où les VLAN ne sont pas pris en charge dans leur forme initiale. Comment passer d'AWS aux clouds Google et y faire passer des VLAN ? Comment assurer la gestion et la synchronisation lorsque chaque fournisseur de cloud ou centre de données dispose d'un schéma de segmentation spécifique 

La solution : Software Defined Perimiter, Zero Trust et micro-segmentation

La micro-segmentation représente la première étape vers le Zero Trust. Il est absolument nécessaire de créer un réseau logique où les utilisateurs ne voient que ce qu’ils sont autorisés à voir. 

La micro-segmentation permet de transformer l'architecture traditionnelle basée sur une zone en une application ou un service unique et de segmenter davantage les réseaux au sein de la zone.

La micro-segmentation est un pas dans la bonne direction, mais elle s'accompagne de certains problèmes. Tout d'abord, elle utilise des règles binaires avec une simple autorisation ou refus. Il s'agit d'une approche "tout ou rien", qui ne permet pas non plus d'utiliser des règles plus intelligentes, dynamiques et granulaires. Par défaut, elle ne prend pas non plus en considération l'identité, l'emplacement ou la posture du dispositif.

Vous devez synchroniser toutes les adresses IP et les identités sur les réseaux, les centres de données et les clouds. Les règles régissant ce que les utilisateurs et les appareils peuvent faire en fonction de l'adresse IP et des ports TCP/UDP sont complexes pour un contrôle d'accès aux rôles (RBAC) cohérent alors que les utilisateurs se déplacent entre les différents réseaux.

Nous savons tous que les adresses IP changent à travers les frontières des sous-réseaux et au fil du temps. Par conséquent, nous devons conserver tous les logs DHCP et créer un flux de données cohérent qui peut être transmis à un système externe tel que le SIEM (Security Information and Event Management) ainsi qu'aux appareils de sécurité sur vos réseaux. En fin de compte, cela nécessite un travail de recherche important.

Malgré ces efforts conséquents, vous devez encore travailler dur pour cloisonner tous vos réseaux. Vous devez partitionner tous les centres de données et les sites de cloud computing, puis vous baser sur l'identité de l'utilisateur. Vous devez vous assurer que le réseau est partitionné de manière à ce que l'identité puisse accéder aux bons services, ce qui peut être difficile à gérer et à faire évoluer efficacement

Vers une micro-segmentation basée sur l’identité de l’utilisateur

Le fait est que votre objectif est d'identifier les utilisateurs de manière permanente, quel que soit leur point de connexion. Cela permet aux administrateurs informatiques de comprendre rapidement ce qui se passe sur le réseau sans avoir à se livrer à un long travail d’enquête. En outre, cela vous permet de mettre en place de manière cohérente les règles de politique d'accès à travers le réseau.  

Au lieu de penser à l'identité après coup, nous avons besoin d'une solution basée sur l'identité qui puisse agir et prendre des décisions en fonction des informations dont nous disposons, comme le type de dispositif, l'emplacement et la propriété.

Le deuxième problème concerne l'authentification. Les adresses IP ne sont pas conçues pour être un mécanisme d'authentification. La solution doit s'assurer que le trafic porte l'identité.

Réseau Zero Trust : les prochaines étapes

Le défi pour l'entreprise d'aujourd'hui est de consolider à la fois le réseau et la sécurité pour les utilisateurs mobiles. Pour convertir l'accès distant VPN traditionnel en un accès à faible risque, une solution cohérente est un grand défi.

Une solution uniforme comme un Software Defined Perimeter Zero Trust est nécessaire pour permettre l'accès aux données et aux applications qui ne sont pas liées à un emplacement physique. La gestion de l'accès et la définition des règles doivent être centralisées. Ce qu'il faut, c'est une couche d'abstraction distribuée à l'échelle mondiale qui s'appuie sur l'infrastructure existante, permettant ainsi un accès transparent de n'importe qui à n'importe quel endroit et une connectivité de site à site. L'identité et la micro-segmentation doivent être intégrées

Contactez-nous pour une démonstration

Subscribe to the Proofpoint Blog