Qu’est-ce qu’un Software Defined Perimeter ?
En général, pour accéder à distance aux applications internes, les utilisateurs se connectent à un réseau privé virtuel (VPN) par le biais d'un appareil déployé dans un centre de données central, grâce auquel ils obtiennent un large accès au réseau interne de l'entreprise.
Cependant, l'architecture WAN/VPN n'est pas la base idéale pour la sécurité du réseau. Elle a été conçue à l'origine pour la connectivité, et non pour l’isolation. Des dispositifs de sécurité peuvent être ajoutés au WAN pour réduire le risque d'accès à distance.
Malheureusement, ces dispositifs ne permettent pas de surmonter les inconvénients tels que les limitations d’isolation, la synchronisation des politiques, les problèmes opérationnels et l’inexpérience des utilisateurs.
Nous devons nous éloigner de l'approche topologique centrée sur site que les VPN appliquent, pour adopter un modèle où le périmètre se déplace avec les utilisateurs.
La combinaison de facteurs comme le travail nomade, l'externalisation, l'adoption du cloud et les fusions nécessite de passer des anciennes architectures au modèle de Software Defined Perimeter (SDP)
Présentation de Meta NaaS : le Software Defined Perimeter (SDP) de Proofpoint
Le Software Defined Perimeter est une technologie qui permet un accès à distance confidentiel et sécurisé aux applications d'entreprise. Proofpoint Meta propose un NaaS Zero-Trust, une solution SDP cloud native construite sur un réseau mondial de PoPs logiciels.
L'architecture offre une alternative de Zero-Trust au VPN pour un accès à distance sécurisé à toute application, où qu’elle soit située. Elle agit comme un courtier entre l'utilisateur et l'application.
Auparavant, l'accent était mis sur la connexion de tous les éléments au data center, mais nous sommes passés à un modèle consistant à connecter les utilisateurs uniquement aux applications et aux ressources dont ils ont besoin.
Au lieu de positionner le centre de données au milieu, l'utilisateur est maintenant le centre du réseau, ce qui permet un Software Defined Perimeter qui suit le dispositif de l'utilisateur quel que soit l'endroit où il se trouve. Lors de la connexion, les utilisateurs n'ont pas besoin de se préoccuper de l'emplacement des ressources. Pour l'utilisateur, il s'agit d'un réseau "plat".
L'approche de Proofpoint Meta repose sur les principes zero-Trust, en utilisant un accès basé sur l'identité, une segmentation dynamique, une politique de liste blanche et une gestion centralisée des politiques d'accès, le tout fourni à partir d'un service cloud natif
Les principes de la sécurité Zero-Trust
Avant tout, le mouvement Zero-Trust promeut l'idée que le simple fait d’appartenir à une entrepris ne signifie pas que vous devez avoir accès à tout, ou que vous devez automatiquement être digne de confiance. Les utilisateurs doivent être systématiquement authentifiés et vérifiés.
Une fois authentifiés et vérifiés, ils ne sont exposés qu'aux ressources auxquelles ils sont autorisés à accéder - celles dont ils ont réellement besoin. En fait, tous les utilisateurs doivent être contrôlés, pas nécessairement parce qu'ils ne sont pas dignes de confiance, mais parce qu'il ne faut pas faire confiance à leurs appareils
Accès basé sur l'identité individuelle
Tout accès est basé sur l'identité qui est intégrée dans le trafic.
Chaque paquet qui passe par le système est lié à une identité explicite et chaque identité est soutenue par un certificat. Ce certificat contient des informations sur le dispositif, les utilisateurs et l'organisation.
Toutes ces informations sont ensuite croisées avec d'autres formes d'informations, comme l’endroit depuis lequel la connexion a eu lieu.
Le système vérifie ensuite si l'utilisateur est autorisé à accéder au dispositif en fonction de l'identité et de la position du dispositif.
Authentifier puis accéder
L'approche "authentifier puis accéder" exige que plusieurs facteurs soient pris en compte avant d'établir la connexion. Le premier est le certificat que l'utilisateur doit fournir.
Ensuite, il y a des facteurs supplémentaires comme le nom d'utilisateur/mot de passe, un SMS ou une application mobile d'authentification pour un mot de passe à usage unique (OTP).
L'avantage de cette approche est que le réseau est caché jusqu'à ce que l'authentification soit terminée. Cela réduit considérablement la possibilité pour les attaquants d'identifier une cible
Le segment dynamique de 1
Lorsqu'un utilisateur se connecte au Meta NaaS, après une authentification réussie, il se voit attribuer un segment dynamique de 1 qui lui donne un accès défini par la politique à des ressources spécifiques. Il existe une connexion réseau de type "one-to-one" entre chaque utilisateur et les ressources auxquelles il accède.
Il peut y avoir plusieurs segments de 1 accordés à un utilisateur ou à un appareil. Au lieu d'avoir accès à tout ce qui se trouve sur un VLAN, l'utilisateur ne peut accéder qu'aux appareils et services qui lui sont autorisés. Tout le reste est isolé et caché dans une enclave sécurisée. En barricadant la topologie de l'entreprise, les solutions SDP améliorent considérablement la sécurité par rapport aux VPN
Verrouillage DDoS et des mouvements latéraux
Comme toutes les autres ressources en dehors de la politique sont isolées, l'utilisateur ne peut littéralement rien voir qui ne lui soit pas destiné.
Par conséquent, la surface d'attaque est considérablement réduite et les mouvements latéraux à l'intérieur du réseau d'entreprise sont empêchés, de même que les attaques DDoS sur les applications externes
Blacklist et Whitelist
Traditionnellement, une fois qu'un utilisateur est connecté au réseau, par définition, il est connecté à tout ce qui est connecté à ce segment. L'approche de la sécurité par liste noire commence par l'ajout, par exemple, de VLAN et d'ACL pour restreindre l'accès à certains segments.
L'approche par blacklist est manuelle et donc sujette aux erreurs. Chaque appareil doit être connu et les politiques doivent être synchronisées entre les différents centres de données, le cloud et les succursales. Cela ajoute des risques supplémentaires et encore plus lorsque l'on traite avec différents fournisseurs et technologies (comme les clouds, les
centres de données, etc.).
Toutefois, l'approche par whitelist fonctionne dans l'autre sens. La liste blanche commence par une approche par défaut qui consiste à "refuser tout". On ne fait confiance à rien. Les règles de la liste blanche sont ensuite créées pour permettre aux utilisateurs, aux appareils, aux services et aux applications de se parler. Les règles de la whitelist autorisent explicitement l'accès
Accès à distance par le cloud
Si vous devez prendre en charge l'accès à distance partout dans le monde, il est logique de fournir le service dans le cloud plutôt que d'essayer d'installer un concentrateur VPN dans un cloud ou un centre de données proche de l'utilisateur.
Proofpoint Meta a construit un réseau cloud natif, intelligent et distribué à l'échelle mondiale, qui permet aux utilisateurs de se connecter et de consommer l'accès en tant que service.
Il est constitué de points de présence logiciels situés stratégiquement dans le monde entier. Il s'agit d'une solution logicielle agile, par opposition à la technologie matérielle traditionnelle, et il est donc facile de faire évoluer et de créer des points de présence supplémentaires pour répondre aux nouvelles exigences des clients.
Le plan de données consiste en un maillage de tunnels IPSec hébergés par divers fournisseurs dans le monde entier. Comme les points de présence ne dépendent pas d'un seul fournisseur, le système NaaS de Meta offre à la fois une flexibilité géographique et une meilleure disponibilité et résilience.
Le plan de contrôle est un moyen mathématique intelligent d'encoder l'identité et la politique dans le trafic du réseau de manière évolutive et efficace. Le plan de gestion régit, surveille et collecte des informations sur le plan de contrôle et de données. Il fournit un emplacement centralisé pour l'administration et l'orchestration basées sur l'API et l'interface utilisateur
Sécurité des réseaux dans le cloud
Meta NaaS fonctionne au niveau des couches 3 et 4 sans ouvrir de trafic ni compromettre la vie privée du client (par exemple, paquets SSL ou examen des URL).
Si les clients ont besoin d'une sécurité plus poussée, le trafic des utilisateurs peut simplement être acheminé vers une pile de sécurité supplémentaire, par exemple un pare-feu de nouvelle génération ou des passerelles web sécurisées pour un contrôle plus poussé.
Le routage du trafic vers un service de sécurité supplémentaire est effectué dans le cloud, qui ne nécessite aucune modification, installation ou intégration sur les endpoints. Cela permet de garantir que le trafic Internet des utilisateurs distants n'est pas laissé sans protection et que les dispositifs des utilisateurs finaux ne sont pas vulnérables à la compromission
Gestion centralisée et simplifiée des politiques
Les utilisateurs, les appareils, le centre de données, le cloud et les applications SaaS peuvent tous être connectés à Meta NaaS. Les administrateurs fixent les règles de politique à la ressource connectée et l'application de la politique se fait dans le cloud.
Par conséquent, aucune intelligence n'est nécessaire sur les terminaux, c'est comme connecter des câbles à un routeur global dans le cloud.
Avec Meta NaaS, il n'y a qu'un seul endroit pour établir les règles, ce qui permet une gestion centralisée simple des politiques. Et il n'y a qu'un seul endroit pour collecter et analyser les logs provenant de toute l'activité du réseau (plan de données et plan de gestion)
Des moyens de connexion divers
Il existe de multiples options pour se connecter à Meta NaaS, et l'approvisionnement est simple et rapide. L'un des moyens consiste à installer un agent sur chacun des services, puis chaque application établit un tunnel VPN direct vers Meta NaaS.
Une autre solution consiste à installer une passerelle sur site, créant ainsi le tunnel pour le compte des services ou réseaux privés.
La troisième voie d'accès peut se faire directement dans le navigateur qui se connecte à un portail dédié. Aucun agent n'est alors nécessaire sur l'appareil. C'est parfait pour les appareils personnels non gérés et les entrepreneurs.
Ces trois méthodes appliquent les mêmes politiques à l'échelle du système et préservent l'identité de l'appareil pour l'accès comme pour la journalisation
En savoir plus
Pour en savoir plus sur Proofpoint Meta ou obtenir une démo, cliquez ici. Constatez par vous-même à quel point il est facile et rapide à déployer et à gérer, même dans des environnements complexes et hybrides.