Comment mettre en œuvre la confiance zéro

Zero Trust est un terme de plus en plus courant dans le secteur de la sécurité. C'est à la fois un état d'esprit en matière de sécurité et une solution bien conçue qui permet de minimiser les risques liés à l'évolution de l'environnement de travail et à un monde de plus en plus hostile.

Le Zero Trust est une approche et un modèle actifs qui intègrent une analyse et une vérification de la confiance continues et contextuelles, dans le but de s’assurer que les utilisateurs et les appareils d’un réseau ne font rien de malveillant.

 

Get the Miercom Zero Trust Platform Assessment 2024 Obtenez le rapport Forrester Zero Trust Wave

Comment fonctionne le zero trust

L’idée de base derrière le Zero Trust est l’hypothèse que tous les appareils et utilisateurs ne sont pas dignes de confiance jusqu’à preuve du contraire. Même une fois qu’un utilisateur ou une entité s’est avéré digne de confiance une fois, les modèles Zero Trust ne font pas confiance par défaut au même utilisateur ou au même appareil la prochaine fois qu’ils sont vus par le système. La confiance dans le modèle Zero Trust n'est jamais considérée comme allant de soi, mais elle repose sur l'observation et une authentification régulière afin de limiter les risques.

 

Le concept de zero trust est souvent associé au périmètre défini par logiciel (SDP), qui est un projet dont le développement a débuté à l’origine sous l’égide de la Cloud Security Alliance (CSA).

 

Dans le modèle SDP général, il existe un contrôleur qui définit les politiques permettant aux agents de se connecter et d’accéder aux différentes ressources. Le composant passerelle aide à diriger le trafic vers le bon centre de données ou les ressources cloud appropriées. Les appareils et les services utilisent un agent SDP qui se connecte et demande au contrôleur l’accès aux ressources. En cours de route, la vérification de l’état des appareils, le profilage des utilisateurs, y compris les données comportementales, et les mécanismes d’authentification multifactorielle sont mis en œuvre pour valider la posture de sécurité.

 

Le modèle Zero Trust indique qu'à chaque étape de la connexion d'un agent ou d'un hôte, il doit y avoir une limite de sécurité qui confirme qu'une demande est authentifiée et autorisée à être traitée. Plutôt que de se fier à une confiance implicite une fois que le nom d'utilisateur et le mot de passe corrects, ou le bon jeton d'accès, ont été fournis, avec zéro confiance par définition, tout n'est pas fiable et doit être vérifié avant de fournir l'accès.

Défis du déploiement Zero Trust

Le zero trust est un excellent concept pour aider les organisations à réduire leur surface d’attaque et à limiter les risques, mais il n’est pas dénué de complexité et de difficultés de mise en œuvre.

  • Configuration requise pour l’appareil

L’un des principaux problèmes posés par certaines mises en œuvre du SDP zero trust est qu’elles sont basées sur des approches de déploiement sur site, avec un besoin de certificats d’appareils et de prise en charge du protocole 802.1x pour le contrôle d’accès au réseau (NAC) basé sur les ports.

  • PRISE EN CHARGE DU CLOUD

Permettre une prise en charge complète, de bout en bout, sur plusieurs déploiements dans des clouds publics et sur site peut souvent s’avérer une tâche fastidieuse et chronophage.

  • Confiance

Bien que ce terme puisse sembler mal choisi, il est souvent nécessaire pour les organisations de faire confiance à une solution zero trust car elles ont tendance à avoir des exigences en matière de chiffrement des données.

  • Ce n'est pas un outil de sécurité comme les autres

En règle générale, une organisation dispose déjà de divers outils de sécurité, notamment des VPN et des pare-feu. La façon dont un fournisseur de solutions zero trust parvient à se frayer un chemin sur ce terrain miné constitue souvent un défi majeur.

  • Défis de déploiement

Le déploiement d'une solution Zero Trust dépend souvent de sa facilité de configuration

Considérations relatives au déploiement du zero trust

Les modèles zero trust fonctionnent en couches superposées sur les topologies de réseaux et d’applications existantes. Il est donc essentiel de disposer d’un système de données agile capable de gérer un réseau distribué.

 

La quantité d’efforts nécessaires à l’installation de certificats d’appareil et de fichiers binaires sur un système d’utilisateur final est souvent aggravée par divers défis, notamment les exigences en termes de temps et de ressources. L'utilisation d'une solution sans agent est une considération essentielle, car elle peut faire toute la différence entre avoir une solution et une solution qui peut être déployée rapidement dans un environnement de production.

 

Envisagez des outils Zero Trust dotés d'un modèle de sécurité basé sur l'hôte. Dans le monde moderne, de nombreuses applications sont fournies sur le Web et l’adoption d’une approche basée sur l’hôte s’aligne sur ce modèle. Dans un modèle Zero Trust basé sur l'hôte, le système a validé qu'un système d'utilisateur final donné est correctement autorisé à recevoir un jeton d'accès pour une ressource spécifique.

 

Il est également important de comprendre comment fonctionne le chiffrement dans le modèle Zero Trust . L’une des options consiste à appliquer le chiffrement de bout en bout dans le cadre d’un déploiement Zero Trust.

Comment déployer le Zero Trust dans le cloud

La méthode SDP de base est bien définie pour le déploiement de modèles zero trust sur site. Lorsqu’il s’agit du cloud, les choses peuvent devenir plus complexes. Chaque fournisseur cloud a son propre système, ce qui ajoute potentiellement de la complexité à toute forme de déploiement.

 

À la complexité s’ajoute la tendance croissante au déploiement de plusieurscloud . Ainsi, en plus des défis liés au déploiement sur un seul fournisseur de cloud public, il existe la complexité d’avoir un modèle Zero Trust qui est à la fois déployable et applicable sur plusieurs fournisseurs de cloud public.

 

L’une des façons de déployer le Zero Trust dans un déploiement multi-cloud consiste à tirer parti de la plateforme d’orchestration de conteneurs Kubernetes open source. Kubernetes est pris en charge par tous les principaux fournisseurs de cloud public, notamment Amazon Web Services (AWS), Microsoft Azure et Google cloud Platform (GCP). Avec Kubernetes, il existe un plan de contrôle pour la gestion des nœuds distribués d’applications qui s’exécutent dans des conteneurs Docker.

 

L’utilisation d’un conteneur Docker comme méthode d’empaquetage et de déploiement d’une application pour activer le Zero Trust est une approche qui réduit encore la complexité. Plutôt que d’avoir besoin de différents binaires d’application pour différents systèmes, en utilisant une approche cloud-native avec un système basé sur Kubernetes, il est possible d’abstraire la complexité sous-jacente du monde multi-cloud .

 

Le cloud n’est pas non plus une construction uniforme, dans la mesure où tous les fournisseurs de cloud public ont plusieurs régions géographiques et zones dans le monde. L’objectif des différents déploiements est de s’assurer que les ressources sont disponibles au plus près de l’utilisateur final. Lorsque vous déployez un modèle Zero Trust dans le cloud, assurez-vous de choisir une solution avec plusieurs points de présence dans le monde entier pour vous assurer qu’il y a le moins de latence réseau possible.

Pourquoi le déploiement du Zero Trust en vaut la peine

Les ressources informatiques sont toujours limitées et peu d'organisations disposent du budget nécessaire pour faire tout ce qui est nécessaire. L'ajout d'une couche de sécurité supplémentaire avec Zero Trust peut parfois être considéré comme une nouvelle complexité qui demandera du temps et des exigences supplémentaires de la part des précieuses ressources du service informatique.

 

Le Zero Trust a toutefois le potentiel, lorsqu'il est correctement déployé, de réduire la charge de travail du personnel informatique surchargé.

 

Dans un environnement réseau non basé sur Zero Trust, le nom d’utilisateur et le mot de passe sont souvent les principaux gardiens de l’accès, aux côtés de la technologie de base de gestion des identités et des accès basée sur l’annuaire (Active Directory ou autre). Un pare-feu et un système de protection contre les intrusions (IPS) sont également couramment déployés pour améliorer la sécurité.

 

Pourtant, aucun de ces systèmes ne valide en permanence l'état d'une demande d'accès donnée. En cas de problème, de perte ou de vol d'un identifiant, le personnel informatique a besoin de temps et d'efforts supplémentaires pour en localiser la cause et y remédier.

 

Dans un environnement Zero Trust correctement configuré et déployé, tous les accès sont validés. Cela signifie qu’au lieu que le personnel informatique ait besoin de comprendre qu’un identifiant a été abusé et qu’un système a été piraté, le réseau Zero Trust part toujours de l’hypothèse d’un accès zéro. L'accès n'est accordé que par validation. Zero Trust signifie une surface d'attaque réduite, ce qui se traduit généralement par une réduction des risques.

 

Cela signifie également moins d'heures passées au service informatique à se demander si un compte a été piraté et à parcourir les journaux pour découvrir ce qui s'est passé. Avec le Zero Trust, l’accès n’est tout simplement jamais accordé à une machine compromise et le mouvement latéral potentiel d’un adversaire sur un réseau est limité.

Liste de contrôle pour le déploiement Zero Trust

Lorsque vous étudiez la manière de mettre en œuvre une solution zero trust, posez-vous les questions suivantes.

  • Facilité de déploiement : À quelle vitesse pouvez-vous mettre en place un système ? Le fournisseur vous oblige-t-il à modifier votre environnement pour l'adapter à sa solution ? (par exemple, en ouvrant des ports dans le pare-feu)
  • Prise en charge multi-cloud : La solution Zero Trust permet-elle facilement une prise en charge par plusieurs fournisseurs de cloud publics ? Pouvez-vous sécuriser efficacement les charges de travail sur plus d’un cloud?
  • chiffrement : Comment la solution Zero Trust gère-t-elle le chiffrement et assure-t-elle la sécurité des données ? Où sont stockées les clés de chiffrement et pouvez-vous apporter vos propres clés ?
  • évolutivité : Dans quelle mesure l’architecture Zero Trust est-elle évolutive ? Est-ce qu'il répond aux exigences de votre charge de travail ?
  • Sécurité : Quelles sont les mesures de sécurité appliquées par le fournisseur de la solution ? Est-ce que cela permet de rationaliser le cycle de sécurité ? Peut-il fournir des couches de sécurité supplémentaires telles qu’une protection DDoS au niveau de l’accès application ou nécessite-t-il l’utilisation de mécanismes tiers ?
  • Visibilité : La solution peut-elle permettre une inspection secrète du trafic pour détecter le contenu, le DLP et les comportements malicieux/anormaux ?
  • Service et support : Le fournisseur de solutions Zero Trust sera-t-il là pour vous aider à résoudre les problèmes ?
  • Valeur : La solution apporte-t-elle une valeur ajoutée ? Découvrez comment et où la solution Zero Trust apporte de la valeur, des fonctionnalités et une réduction des risques au-delà de ce que proposent déjà vos outils de sécurité existants.
×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK