Avec la généralisation des applications SaaS, la migration accélérée des charges de travail vers le cloud public et l’augmentation spectaculaire du télétravail, le périmètre de sécurité traditionnel a complètement disparu et la situation des menaces pour les entreprises s’est aggravée.
Une solution ZTNA peut-elle tenir ses promesses ?
Pour pouvoir continuer à sécuriser correctement l'accès aux services et aux applications SaaS, les responsables informatiques et les responsables de réseau optent donc de plus en plus souvent pour une solution Zero-Trust-Network-Access (ZTNA). Mais toutes les technologies ZTNA disponibles ne répondent pas réellement et complètement aux principes de base de Zero Trust et ne portent donc pas bien leur nom. Cela entraîne des vulnérabilités qui offrent aux attaquants des opportunités de compromission.
L’architecture d'accès Zero Trust Network Access, également connues sous le nom de Software Defined Perimeter (SDP), a été défini par Gartner comme « un produit ou un service qui crée une limite d'accès logique basée sur l'identité et le contexte autour d'une application ou d'une série d'applications ». En bref, cela signifie que les accès ne sont pas activés au niveau du réseau, comme c'est le cas avec les VPN, mais qu'ils sont accordés de manière ciblée aux utilisateurs et aux appareils au niveau des applications.
Dans ce contexte, ZTNA est, avec SD-WAN et NGFW, un composant clé de l'architecture de sécurité Secure Access Services Edge (SASE), décrite pour la première fois en 2019 par Gartner. Cette architecture intègre étroitement les fonctions de réseau et de sécurité sur une plateforme basée sur le cloud et élève ainsi la sécurité et la gestion du réseau au niveau supérieur. Presque tous les fournisseurs de SASE proposent donc ZTNA.
Les trois principes de base de Zero Trust
Comme son nom l'indique, ZTNA est basé sur le modèle Zero Trust et applique le principe « ne faire confiance à personne, vérifier l'identité de tout le monde », et se méfie de tout service, utilisateur ou appareil à l'intérieur ou à l'extérieur de son propre réseau. Ainsi, Zero Trust s'oppose à l'approche classique de la sécurité qui se base sur le périmètre. Concrètement, le modèle Zero Trust repose sur les trois principes de base suivants :
La vérification explicite : L'identité d'un utilisateur ainsi que son contexte, et en particulier les données ou le trafic de données échangées, sont systématiquement vérifiés de manière explicite.
Least Privilege Access (accès au moindre privilège) : Le principe de l'attribution minimale de droits signifie qu'un utilisateur ou une entité ne doit avoir accès qu'aux données, ressources et applications spécifiques dont il a réellement besoin pour réaliser une tâche spécifique.
Assume Breach : Si les entreprises adoptent l'approche Assume Breach, elles partent du principe que le système de défense de leur cybersécurité a déjà été compromis et que les attaquants ont un accès total ou partiel à leurs réseaux. Ils surveillent donc de manière proactive les menaces présentes dans leur environnement.
Quelles sont les exigences de Zero Trust qui sont réellement respectées ?
Zero Trust veut dire Zero Trust. C'est du moins ce que la plupart des responsables informatiques et de sécurité devraient supposer lorsqu'ils choisissent une solution ZTNA. Mais en réalité, la plupart des solutions disponibles aujourd'hui ne répondent souvent qu'à une partie des principes de base du Zero Trust. Parmi les fonctions de vérification critiques qui sont généralement mises en œuvre, on trouve les suivantes :
- Vérification de l'identifiant : L'identité de l'utilisateur est vérifiée à chaque demande d'application individuelle en intégrant une base de données d'utilisateurs (sur site ou hébergée dans le cloud).
- Vérification du contexte : Dans le cadre du processus de vérification initial, les informations contextuelles, comme par exemple l'état de l'appareil (matériel professionnel ou personnel), la géolocalisation de la source et de la destination, la réputation IP, etc. sont collectés. Ces informations sont essentielles pour décider si un utilisateur peut accéder à l'application ou non.
- Segmentation : La segmentation consiste à diviser les applications en groupes logiques et à n'autoriser que ce qui est absolument nécessaire à la communication entre eux. De cette façon, cela devrait empêcher les mouvements latéraux des charges de travail compromises vers le reste du réseau.
- Per-App-Tunnel : Contrairement aux solutions VPN traditionnelles, qui permettent au terminal distant d'accéder à l'ensemble du segment de réseau, les tunnels Per-App permettent de restreindre l'accès du terminal distant à un terminal d'application spécifique auquel il a le droit d'accéder.
Bien que ces quatre modèles de vérification ou de restriction d'accès offrent déjà aux entreprises un niveau de sécurité élevé et aident à réduire la surface d'attaque, deux fonctions de vérification importantes font défaut. En fait, les éléments suivants sont laissés de côté dans de nombreuses solutions ZTNA, bien qu'ils fassent partie d'une approche complète de Zero Trust :
- Vérification des appareils : L'identité d'un appareil est vérifiée à chaque demande d'application individuelle par le biais de l'intégration avec un système de gestion des appareils mobiles (sur site ou dans le cloud).
Pourquoi c'est important : Dans les cas où l'identité de l'appareil ne peut pas être explicitement vérifiée, la solution ZTNA s'appuie uniquement sur l'identité de l'utilisateur pour établir la confiance. Si les identifiants des utilisateurs ont été compromis ou si des appareils non gérés sont utilisés pour accéder aux ressources de l'entreprise, cela représente de graves risques de sécurité. C'est pourquoi seule une solution ZTNA intégrant l'authentification des appareils, le Device Fingerprinting et les Device Posture Checks offre une sécurité maximale lorsqu'il s'agit de l'accès privé aux applications et aux ressources de l'entreprise.
- Content Inspection (inspection du contenu): Tout le trafic issu du terminal distant et destiné à des applications privées est soumis à un contrôle de sécurité de niveau 7, indépendamment du port ou du protocole. Cela consiste, entre autres, à scanner le trafic à la recherche de contenus malveillants, à vérifier que le téléchargement de fichiers vers l'application privée est dépourvu de logiciels malveillants et que les fichiers téléchargés vers ou depuis l'application privée ne contiennent pas d'informations sensibles.
Une solution ZTNA qui ne propose aucune inspection complète du contenu L7 ne respecte au fond pas le principe de Zero Trust, car elle va à l'encontre des deux principes clés « Verify Explicitly » et « Assume Breach ». En fait, il s'agirait plutôt d'une solution d'accès privé ou d'accès à distance avec des fonctions partielles de Zero Trust. On peut dire que c'est une bonne chose. Malheureusement, la plupart des solutions ZTNA disponibles auprès des fournisseurs SASE/SSE existants entrent dans cette catégorie, car elles ne proposent soit que des contrôles très limités des appareils, soit aucune vérification de la sécurité du trafic d'accès privé.
4 questions que les responsables devraient se poser avant de choisir une solution
Afin de ne pas acheter « les yeux fermés » et pour mettre en place une solution ZTNAefficace, les responsables de la sécurité et du réseau devraient examiner de près les fonctions et les capacités de la technologie en question au moment de la choisir. Il faut vérifier si les solutions figurant sur la liste de sélection cochent les cases suivantes :
- Intègrent-elles l'identité de l'appareil dans les informations contextuelles utilisées pour déterminer l'accès aux applications privées ?
- Appliquent-elles les mêmes contrôles de sécurité à tout le trafic, quelle que soit la source ou la destination ?
- Vérifient-elles tout le trafic, indépendamment de l'application, du port ou du protocole ?
- Nécessitent-elles des composants supplémentaires qui doivent être installés avant les applications privées d'inspection de contenu ?
Quand la réponse à ces quatre questions est positive, il s'agit d'une « vraie » technologie ZTNA qui donne aux entreprises la possibilité d'offrir à leurs collaborateurs un accès sécurisé à leurs données et assure en même temps que les trois principes de base de Zero Trust sont bien respectés.