ZTNA vs RVP

L'essor du travail à distance dans le sillage de la pandémie a rendu les solutions d'accès à distance sécurisées essentielles pour de nombreuses entreprises. Si, historiquement, de nombreuses organisations ont utilisé des réseaux privés virtuels (VPN) pour l'accès à distance, l' accès au réseau sans confiance (ZTNA) est une solution mieux adaptée aux besoins de nombreuses entreprises.

En savoir plus Network Security Musts Checklist

What is ZTNA?

ZTNA est une solution sécurisée d'accès à distance qui met en œuvre les principes de sécurité "zero trust" avec des autorisations spécifiques à application. Les travailleurs à distance qui demandent l'accès aux actifs de l'entreprise se verront accorder l'accès à des ressources spécifiques au cas par cas, en tenant compte des contrôles d'accès basés sur les rôles et des données d'authentification contextuelles, telles que l'adresse IP, la localisation, le groupe ou le rôle de l'utilisateur, et les restrictions horaires.

Qu'est-ce qu'un RVP ?

Les VPN offrent aux utilisateurs distants une expérience similaire à une connexion directe au réseau de l'entreprise. Le logiciel client RVP et le poste RVP sur le réseau de l'entreprise établissent un canal crypté sur lequel toutes les données sont envoyées avant d'être acheminées vers leur destination. Cela permet de se prémunir contre les écoutes clandestines et d'inspecter l'ensemble du trafic professionnel, quelle qu'en soit la source, au moyen de solutions de sécurité basées sur le périmètre.

Limites de la RVP

Les VPN sont le choix traditionnel pour un accès à distance sécurisé parce qu'ils fonctionnent bien avec les modèles de sécurité traditionnels basés sur le périmètre. Cependant, ils présentent plusieurs limites qui les rendent mal adaptés aux besoins de sécurité de l'entreprise moderne :

  • Sécurité axée sur le périmètre : La RVP contribue à renforcer le modèle de sécurité traditionnel basé sur le périmètre, car un utilisateur authentifié se voit accorder un accès complet au réseau de l'entreprise. Cela permet à un attaquant de se déplacer latéralement dans le réseau de l'entreprise après avoir obtenu un accès par le biais d'informations d'identification RVP compromises ou par l'exploitation d'une vulnérabilité RVP.
  • Contrôles d'accès au niveau du réseau : Les VPN mettent en œuvre des contrôles d'accès au niveau du réseau sans visibilité ni contrôle sur la couche d'application. Cela permet aux utilisateurs de bénéficier d'un accès excessivement permissif, en accordant un accès en lecture, en écriture et en exécution aux ressources au sein de différentes application.
  • Pas de support cloud: Les VPN sont généralement conçus pour fournir un accès à distance sécurisé au réseau de l'entreprise. Souvent, ils n'ont qu'un soutien limité pour les ressources basées sur le site cloudet situées en dehors du périmètre traditionnel.
  • Support médiocre pour les appareils BYOD : Permettre aux appareils BYOD d'accéder au RVP de l'entreprise permet d'accéder aux ressources de l'entreprise à partir de postes non gérés, qui ne font pas partie de l'entreprise. Cela peut permettre au logiciel malveillant ou à d'autres cybermenaces d'accéder directement au réseau de l'entreprise.

Les VPN et la montée de la confiance zéro

Les VPN sont conçus pour la stratégie de sécurité traditionnelle axée sur le périmètre. Toutefois, cette stratégie présente des problèmes majeurs qui, combinés aux limites des VPN, ont incité Forrester à créer le modèle de sécurité "zéro confiance".

Contrairement à la stratégie basée sur le périmètre, la confiance zéro n'accorde pas de confiance implicite à tout appareil, utilisateur et application à l'intérieur du périmètre traditionnel du réseau. Au lieu de cela, l'accès aux ressources de l'entreprise est accordé sur la base du principe du moindre privilège, selon lequel les entités ne se voient attribuer que l'ensemble minimal d'autorisations nécessaires pour remplir leur rôle.

Pourquoi les solutions ZTNA sont-elles meilleures que les VPN d'entreprise ?

Avec une stratégie de sécurité de confiance zéro, les VPN ne sont plus une solution viable d'accès à distance sécurisé. ZTNA offre une alternative qui présente plusieurs avantages par rapport aux VPN, notamment

  • Périmètre d'accès logique : ZTNA implémente le "périmètre" en tant que logiciel plutôt qu'en tant que limite physique du réseau. Cela permet d'utiliser ZTNA pour la micro-segmentation et de protéger les actifs en dehors du périmètre traditionnel.
  • Autorisation par demande : ZTNA autorise individuellement chaque demande d'accès. Cela permet de s'assurer que les utilisateurs n'ont pas accès à des ressources qui ne sont pas nécessaires à leur rôle.
  • Appareil externe et assistance à l'utilisateur : ZTNA est sans client, ce qui élimine la nécessité d'installer un logiciel sur l'appareil de l'utilisateur. Les partenaires externes et les appareils BYOD peuvent ainsi se connecter plus facilement aux ressources de l'entreprise.
  • Infrastructure informatique obscurcie : ZTNA ne montre aux utilisateurs que les ressources auxquelles ils ont besoin d'accéder. Il est ainsi plus difficile pour un attaquant de se déplacer latéralement dans le réseau ou pour les actifs de l'entreprise d'être la cible d'attaques DDoS.
  • Gestion des accès au niveau des applications : ZTNA a une visibilité sur la couche applicative, ce qui permet aux entreprises de gérer les politiques au niveau de l'application, de la requête et de la commande.
  • Visibilité granulaire des activités des utilisateurs : En authentifiant indépendamment chaque demande d'utilisateur, ZTNA peut créer un journal d'audit SIEM (Gestion de l'information et des événements de sécurité) des interactions des utilisateurs avec le site application et les actifs informatiques de l'entreprise.

Passer à ZTNA avec Harmony Connect

Outre leurs limites en matière de sécurité, les VPN posent également des problèmes d'évolutivité et de performance. Pour les entreprises qui cherchent à mettre à niveau leurs solutions d'accès à distance sécurisé et à mettre en œuvre une architecture de confiance zéro, ZTNA est une bonne alternative à l'ancien RVP d'entreprise.

Le ZTNA peut être déployé de manière optimale dans le cadre d'une solution Secure Access Service Edge(SASE), qui combine une pile de sécurité réseau complète avec des capacités d'optimisation du réseau telles que le Software-Defined WAN (SD-WAN). En déployant SASE, les entreprises peuvent s'éloigner des modèles de sécurité basés sur le périmètre pour adopter une architecture de confiance zéro conçue pour l'entreprise distribuée.

Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d’analyse et de marketing. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Pour plus d’informations, veuillez lire notre Avis sur les cookies.
OK