Qu'est-ce que l'accès au réseau sans confiance (ZTNA) ?

Le modèle zero trust décrit le principe de sécurité « ne jamais faire confiance, toujours vérifier ». L’accès réseau zero trust (ZTNA) est un moyen de mettre en œuvre ce modèle de sécurité sur tous les points d’accès d’une entreprise. Dans la pratique, cela repose sur le principe du moindre privilège (PoLP), selon lequel les utilisateurs ne doivent pouvoir accéder qu’aux ressources dont ils ont besoin pour leur travail quotidien.

Rapport Forrester Wave sur le zero trust Présentation de la solution ZTNA

Qu'est-ce que l'accès au réseau sans confiance (ZTNA) ?

Comment fonctionne le ZTNA ?

Le principe du zero trust vise à éliminer la confiance héritée sans nuire à l’expérience utilisateur ni à la productivité.

Pour ce faire, il permet aux utilisateurs d’accéder uniquement aux ressources requises par leur rôle, et toutes les demandes d’accès sont vérifiées de manière stricte et répétée. Le principe du moindre privilège (PoLP) est au cœur du ZTNA : l’accès et les autorisations des utilisateurs ne sont accordés que pour ce dont vous avez besoin pour faire votre travail.

Par exemple, les utilisateurs à distance du service commercial peuvent se voir accorder des autorisations en lecture seule pour les données client dans Salesforce, mais ne peuvent pas interagir avec le code source sur GitHub.

Un PoLP universel exigerait une configuration inverse pour le personnel DevOps.

La rationalisation de ce processus à l’échelle d’une organisation exige une compréhension approfondie des besoins de chaque compte. Ce principe s’applique également aux ressources non humaines, telles que :

  • Systèmes
  • Applications
  • Appareils
  • Processus

En attribuant à ces ressources uniquement les autorisations nécessaires à leurs activités autorisées, les droits d’accès sont efficacement réduits au minimum et contrôlés. C’est également ce qui différencie le ZTNA du VPN :

  • RVPétablissent simplement un tunnel de chiffrement entre le serveur VPN de l’entreprise et le client sur l’appareil, quel que soit le comportement du compte sous-jacent.
  • Le ZTNA prend en compte l’état de sécurité de l’appareil avant d’accorder l’accès à la ressource individuelle.

Cela aussi est différent : plutôt que d’accorder l’accès à l’ensemble d’un réseau connecté, le ZTNA fournit un accès isolé uniquement à la ressource demandée.

Comment mettre en place un accès au réseau sans confiance

Du point de vue d’un RSSI, il est essentiel de trouver un équilibre entre une vérification de haute sécurité et le maintien de l’expérience client et utilisateur. L’objectif final de la sécurité ZTNA est d’évaluer soigneusement chaque demande d’accès par rapport aux politiques d’accès établies ; cela doit permettre de vérifier des facteurs tels que :

 

  • L'état actuel des identifiants de l'utilisateur
  • La posture de l’appareil est-elle conforme aux normes de sécurité de l’entreprise ?
  • L’application ou le service spécifique demandé

Étape 1 : Comprendre qui est qui

Le modèle zero trust exige que vous sachiez qui accède à quoi. La première étape de toute mise en œuvre des principes zero trust consiste à établir une vision claire des utilisateurs, des appareils et des charges de travail qui composent votre réseau d’entreprise.

Pour y parvenir, de nombreuses organisations choisissent un fournisseur d’identité d’entreprise. 

Cela permet d’intégrer tous les employés, clients et sous-traitants dans l’écosystème de sécurité et de les prendre en compte individuellement. Cela jette également les bases d’une méthode cohérente d’application de l’authentification. Bien que cette approche offre une visibilité granulaire aux utilisateurs, elle ne fournit pas d’inventaire pour tous les services qui communiquent sur un réseau.

Cela peut être réalisé grâce à un balayage du réseau, soit en interne, soit via un outil de gestion des actifs tiers. Avec ce niveau de granularité, il devient possible d’identifier votre surface d’attaque. Tout au long des étapes suivantes, veillez à donner la priorité aux actifs numériques les plus précieux.

L’approche DAAS ci-dessous décompose clairement le processus en quatre étapes :

  1. Données : Que faut-il protéger ?
  2. Applications : Quelles applications traitent des informations sensibles ?
  3. Actifs : Quels sont vos actifs les plus critiques ?
  4. Services : quels services un acteur malveillant pourrait-il cibler pour perturber le fonctionnement normal des systèmes informatiques ?

Étape 2 : tirer parti des contrôles réseau sécurisés

Un cadre zero trust n’accorde aux utilisateurs qu’un accès conforme au PoLP. Tous les autres utilisateurs sont essentiellement coupés de la grande majorité du réseau auquel ils n’ont pas besoin d’accéder.

Alors, comment bloquer tous les accès entrants inutiles ? 

Check Point SASE achieves this by establishing a secure gateway: all access requests are filtered via this gateway, which first establishes the role of the user and the associated resources they have access to. All unauthorized devices are automatically prevented from gaining access, and the individual nature of each connection means that no device has visibility into other ongoing connections.

La mise en œuvre de ce protocole de connexion sécurisée varie légèrement en fonction de l’application à sécuriser. Il existe deux grands types d’applications :

  • Auto-hébergé. Le tunnel zero trust de la passerelle SASE peut être établi entre l’application et la couche de stratégie du pare-feu.
  • SaaS. L’accès SaaS peut être réglementé à l’aide d’une liste blanche d’adresses IP : cela signifie que votre solution SaaS ne peut accepter que les demandes provenant de la passerelle SASE vérifiée.

Étape 3 : mettre en œuvre la protection NGFW

Une fois qu’un mode d’accès sécurisé a été mis en place, il est temps de déterminer qui peut accéder à quoi.

Que le système soit auto-hébergé ou basé sur le modèle SaaS, toutes les requêtes réseau sont acheminées via un pare-feu nouvelle génération. Le NGFW peut utiliser l’inspection HTTPS et le décryptage TLS pour examiner chaque paquet de données. Parallèlement, l’inspection dynamique permet d’examiner le comportement d’un utilisateur et d’un appareil avant d’accorder l’accès.

Avec ces outils à disposition, le ZTNA peut être mis en place !

À partir de là, il est important de procéder à des itérations continues : surveiller de près les journaux du pare-feu permet de déterminer si les politiques d’accès sont bien équilibrées. Une approche axée sur les menaces externes peut permettre de les affiner davantage, mais cela devient une tâche de plus en plus exigeante.

C’est pourquoi une solution Secure Access Service Edge (SASE) peut constituer le moyen le plus efficace de mettre en œuvre le ZTNA et d’innover dans ce domaine au sein de votre organisation.

Avantages du ZTNA

ZTNA permet aux organisations de mettre en œuvre un modèle de sécurité sans confiance au sein de leurs écosystèmes de réseau. Cela peut s'appliquer à un certain nombre de cas d'utilisation et améliorer la posture de sécurité de l'organisation.

  • Accès à distance sécurisé

Dans le sillage de COVID-19, la plupart des organisations sont passées à une main-d'œuvre majoritairement ou totalement à distance. De nombreuses entreprises utilisent des réseaux privés virtuels (VPN) à cette fin. Toutefois, les VPN présentent un certain nombre de limites, notamment en termes d'évolutivité et de manque de sécurité intégrée.

L'un des principaux problèmes des VPN est qu'ils accordent à un utilisateur authentifié un accès complet au réseau, ce qui accroît l'exposition de l'entreprise aux cybermenaces. ZTNA, mis en œuvre dans le cadre d'un réseau WAN défini par logiciel(SD-WAN) ou d'une solution Secure Access Service Edge (SASE), permet d'intégrer ZTNA dans une solution d'accès à distance, réduisant l'accès des travailleurs à distance au réseau à ce dont ils ont besoin dans le cadre de leur travail.

  • Accès sécurisé à cloud

La plupart des organisations adoptent l'informatique cloud et de nombreuses entreprises disposent de plusieurs plateformes cloud. Pour réduire leur surface d'attaque, les entreprises doivent limiter l'accès à ces ressources basées sur le site cloud.

ZTNA permet à une organisation de limiter l'accès à ses environnements cloud et application en fonction des besoins de l'entreprise. Chaque utilisateur et application peut se voir attribuer un rôle au sein de la solution ZTNA avec les droits et autorisations appropriés associés à l'infrastructure de l'organisation basée sur cloud.

  • Risque réduit de compromission des comptes

La compromission des comptes est un objectif commun des cybercriminels. Un pirate tentera de voler ou de deviner les informations d'identification du compte d'un utilisateur et de les utiliser pour s'authentifier en tant qu'utilisateur sur les systèmes de l'organisation. L'attaquant dispose ainsi du même niveau d'accès que l'utilisateur légitime.

La mise en œuvre de ZTNA permet de minimiser ce niveau d'accès et les dommages qu'un attaquant peut causer en utilisant un compte compromis. La capacité de l'attaquant à se déplacer latéralement dans l'écosystème d'une organisation est limitée par les droits et autorisations attribués au compte utilisateur compromis.

Choose Full-Enterprise Zero Trust with Check Point SASE

Votre réseau n’est pas la seule surface qui doit respecter les principes du zero trust.

Les canaux de communication et les terminaux nécessitent tous une protection continue et permanente, et le principe du zero trust peut s’appliquer à tous.

Check Point’s Check Point SASE goes one step further with a full-mesh network architecture that provides zero trust protection across every access point, for every user. Identity-centric security policies combine the real-term resource requirements of every team, with continuous verification to identify and stop suspicious behavior.

Discover how Check Point SASE grants zero-trust protection, in-depth reporting, and high performance with a demo today.