Dans un monde où les frontières traditionnelles des réseaux n'existent plus, les VPN ont fait leur temps.
Les réseaux privés virtuels (VPN) existent depuis plus de vingt ans et fournissent des tunnels sécurisés et cryptés pour les communications et les données. Bien qu'il existe de nombreux types de VPN - notamment les VPN SSL et IPSec, pour n'en citer que deux - l'idée de base est la même, quelle que soit la mise en œuvre. Avec un RVP, un tunnel de transport IP sécurisé est créé afin de garantir la sécurité des données car l'accès est crypté.
Le concept de périmètre défini par logiciel (SDP) est un peu plus récent. Il est apparu sur la scène en 2013, sous la direction initiale de l'Alliance pour la sécurité du cloud (CSA). Avec le modèle SDP, il ne suffit pas de faire confiance à un tunnel crypté pour qu'il soit sûr parce qu'il utilise la sécurité de la couche transport (TLS), il n'y a pas d'hypothèse de confiance - d'où l'utilisation du terme "confiance zéro" par de nombreux fournisseurs en rapport avec le SDP.
Dans une architecture SDP classique, il existe plusieurs points où chaque connexion est validée et inspectée afin de prouver l'authenticité et de limiter les risques. En règle générale, dans le modèle SDP, il existe un contrôleur qui définit les politiques permettant aux clients de se connecter et d'accéder aux différentes ressources. Le composant passerelle permet de diriger le trafic vers le bon centre de données ou les ressources cloud. Enfin, les appareils et les services utilisent un client SDP qui se connecte et demande au contrôleur l'accès aux ressources. Certaines implémentations de SDP sont sans agent.
Le principe de base sur lequel les VPN ont été construits et déployés à l'origine est qu'il existe un périmètre d'entreprise, protégé ostensiblement par des appareils de sécurité périmétrique tels que des IDS/IPS et des pare-feux. Un RVP permet à un utilisateur distant ou à un partenaire commercial de traverser le périmètre pour accéder à ce qui se trouve à l'intérieur de l'entreprise, en fournissant des privilèges d'accès locaux, même lorsqu'il est à distance.
La réalité de l'entreprise informatique moderne est que le périmètre n'existe plus, le personnel, les sous-traitants et les partenaires travaillant sur le campus, à distance, sur le site cloud et dans le monde entier. C'est dans ce monde que la SDP est née et qu'elle vise à résoudre.
Aujourd'hui, les VPN sont encore largement utilisés et restent utiles pour certains types d'accès à distance et pour les besoins des travailleurs mobiles, mais ils impliquent un certain degré de confiance implicite ou accordée. Le réseau de l'entreprise fait confiance à une personne qui possède les bonnes informations d'identification du RVP et qui est autorisée à y accéder. Maintenant, si cet utilisateur RVP s'avère être un utilisateur malveillant ou si les informations d'identification ont été volées par une personne non autorisée qui a maintenant accès à un réseau local, c'est un problème, et un problème que les VPN, de par leur conception, ne résolvent pas si bien que cela, voire pas du tout.
Un modèle SDP ou de confiance zéro peut être utilisé dans l'entreprise moderne sans périmètre pour sécuriser les utilisateurs distants, mobiles et cloud ainsi que les charges de travail. Le SDP n'est pas seulement un tunnel sécurisé, c'est aussi une question de validation et d'autorisation. Au lieu de se contenter de croire qu'un tunnel est sécurisé, il existe des contrôles pour valider la posture, des politiques robustes qui accordent l'accès, des politiques de segmentation pour restreindre l'accès et des points de contrôle multiples.
L'adoption croissante des technologies de sécurité "zéro confiance" par les organisations de toutes tailles est une tendance qui évolue. Lorsque les organisations cherchent à réduire les risques et à minimiser leur surface d'attaque potentielle, la multiplication des points de contrôle est souvent un objectif clé. Les professionnels de la sécurité recommandent également aux organisations de réduire le nombre d'utilisateurs privilégiés et d'accorder l'accès sur la base du principe du moindre privilège. Plutôt que de se contenter d'accorder à un utilisateur RVP un accès local complet, les administrateurs système devraient restreindre l'accès en fonction de la politique et de l'autorisation de l'appareil, ce qui est un attribut essentiel du modèle de confiance zéro.
Une solution de confiance zéro bien conçue peut également offrir l'avantage potentiel d'une réduction des frais généraux, sans qu'il soit nécessaire de recourir à une appliance physique ou à des agents côté client.
Pour les utilisateurs professionnels, les VPN sont un concept familier pour l'accès à distance et cela ne devrait pas changer à court terme. Pour l'accès à un partage de fichiers local au sein d'une entreprise, ou même pour quelque chose d'aussi simple que l'accès à une imprimante d'entreprise, un RVP restera une option raisonnable pour les deux ou trois prochaines années. Toutefois, comme de plus en plus d'entreprises adoptent le SDP, même le simple accès à une imprimante sera couvert.
Au sein des entreprises, les menaces internes dans l'entreprise sans périmètre sont aussi probables que les menaces externes, un modèle de confiance zéro est un modèle utile pour limiter les risques liés aux initiés.
Pour les développeurs et les personnes impliquées dans DevOps, la confiance zéro est une approche plus élégante et contrôlée pour accorder l'accès ainsi que pour fournir un accès aux ressources sur site, cloud et à distance. Le développement est distribué et le simple fait d'entrer par tunnel dans un réseau n'est pas aussi puissant que ce que la confiance zéro peut permettre.
Les VPN ne sont plus la solution universelle de sécurisation de l'accès qu'on leur promettait autrefois.
La réalité de l'internet moderne est que les menaces proviennent de n'importe où, avec la possibilité d'utiliser n'importe quel appareil ou n'importe quel justificatif d'identité d'utilisateur compromis comme point pivot pour pénétrer dans un réseau. Une approche de confiance zéro peut aller au-delà du chiffrement et de l'authentification pour minimiser les risques et améliorer la sécurité. La PDS ne se contente pas de prétendre que la fiction d'un périmètre rigide existe toujours.