Agence web » Actualités du digital » Pouvez-vous faire confiance à Zero Trust? –

Pouvez-vous faire confiance à Zero Trust? –

Shutterstock / Samot

La confiance est une vulnérabilité. La protection du périmètre du réseau et la confiance des utilisateurs authentifiés sont remplacées par un nouveau paradigme où vous ne faites confiance à rien et vérifiez tout. Bienvenue à Zero Trust.

Châteaux et douves

Le modèle traditionnel de cybersécurité a été comparé à un château et à un fossé. Vous apportez tous vos biens précieux à l’intérieur des murs fortifiés et vous réglez l’accès avec une herse, un pont-levis et un fossé.

Si quelqu’un veut entrer dans le château, il doit avoir une conversation avec les gardes de la guérite. Si l’individu est reconnu comme quelqu’un qui devrait être autorisé à entrer, le pont-levis est abaissé, la herse est soulevée et ils sont autorisés à entrer. S’ils ne sont pas reconnus, mais possèdent un jeton attestant pour eux, comme un parchemin portant la signature et le sceau officiel d’un noble de confiance, ils seront autorisés à entrer. Un inconnu sans moyen de s’identifier est laissé à l’extérieur.

Avec un réseau, vous avez vos précieux actifs réseau à l’intérieur de vos pare-feu et autres fortifications numériques. Les connexions au réseau ne sont autorisées qu’après une conversation entre l’appareil qui souhaite se connecter et les services d’authentification du réseau. Une paire d’identifiant et de mot de passe doit voyager entre eux. Si les informations d’identification sont acceptées, l’accès est accordé et elles sont autorisées dans le périmètre. De toute évidence, aujourd’hui, votre périmètre s’est étendu pour inclure vos actifs cloud.

La personne que vous venez d’admettre peut avoir authentique informations d’identification, mais ils peuvent toujours avoir une intention malveillante. Et ils ont maintenant la direction du château. Ou le réseau.

Avec Zero Trust, vous ne vous authentifiez pas une seule fois, puis faites confiance pendant la durée de la connexion. La maxime affinée de Zero Trust est «Ne jamais faire confiance, toujours vérifier». Et vous continuez à vérifier même lorsque le visiteur, quelle que soit sa fréquence de visite, a été autorisé à pénétrer dans votre périmètre.

Confiance zéro

On considère généralement que Zero Trust est né en 2010 lorsque John Kindervag a donné une conférence lors d’une conférence et a ensuite publié une série d’articles.

Le concept de base de Zero Trust est que les organisations ne devraient jamais faire automatiquement confiance à quoi que ce soit à l’intérieur ou à l’extérieur du réseau. Autrement dit, ne faites pas automatiquement confiance à quelqu’un qui essaie d’entrer à l’intérieur, et ne faites confiance à personne simplement parce qu’il est à l’intérieur. Zero Trust repose sur la technologie, la topologie et la gouvernance. De nombreuses technologies existent depuis longtemps.

La première considération est l’identification et l’authentification de l’utilisateur. Cela va plus loin qu’un identifiant et un mot de passe fort. L’authentification multifacteur (MFA) est la norme. L’authentification sans mot de passe à l’aide de normes telles que FIDO2 peut également être utilisée. Et l’identification comprend également le dispositif l’utilisateur accède au réseau à partir de. S’agit-il de leur appareil d’entreprise habituel, depuis le réseau? S’agit-il d’un ordinateur portable d’entreprise de l’extérieur du périmètre? Ou est-ce un appareil personnel? L’adresse IP à laquelle il se connecte provient-elle d’une adresse déjà vue?

La gouvernance informatique entre en jeu ici. Vous définissez le comportement que vous allez autoriser. Quelqu’un peut-il utiliser un appareil personnel depuis l’extérieur du réseau, ou uniquement à l’intérieur du réseau, ou ni l’un ni l’autre? Ou peut-être que le personnel peut les utiliser à l’intérieur du réseau, mais ils sont limités à un accès en lecture seule.

Ensemble, l’utilisateur et l’appareil reçoivent une valeur, quelque chose comme un score de sécurité. Il dicte ce dont cette session utilisateur est capable, en fonction du rôle et des privilèges de l’utilisateur et des connaissances, de l’expérience et de la confiance de l’entreprise dans l’appareil. Si l’appareil est un appareil informatique bien connu répertorié dans le registre des actifs informatiques et que le système d’exploitation est mis à jour et que la protection du point final a les dernières signatures, il sera traité très différemment d’une tablette personnelle non reconnue se connectant à partir de une adresse IP inédite.

La deuxième considération est la conception du réseau. Une topologie de réseau plate est comme un bureau à aire ouverte. N’importe qui peut s’égarer n’importe où. Un réseau plat est trop facile à traverser et à explorer latéralement. La segmentation du réseau, même jusqu’à la micro-segmentation, à l’aide de commutateurs et de pare-feu de nouvelle génération fournira des contrôles d’accès granulaires pour restreindre l’accès aux données ou aux actifs sensibles ou précieux. Seuls les utilisateurs disposant de droits d’accès légitimes et d’un appareil vérifié pourront accéder aux différents segments du réseau.

La troisième considération est le contrôle au niveau de l’application. Qui peut accéder aux différents logiciels et services dont vous disposez sur votre réseau? En fonction du segment de réseau dans lequel l’application est hébergée et du score de l’utilisateur et de l’appareil, vous pouvez accorder ou supprimer l’autorisation aux utilisateurs d’exécuter ou d’utiliser des progiciels particuliers.

Avec Zero Trust, vous fournissez des contrôles et des protections aussi proches que possible de l’actif que vous protégez. Vous concevez votre réseau et ses exigences de segmentation et de protection de l’intérieur vers l’extérieur et non de l’extérieur vers l’intérieur.

Des logiciels commerciaux sont disponibles pour faciliter l’obtention de ce niveau de contrôle granulaire et d’authentification des utilisateurs et des appareils. Ceux-ci fournissent des rapports, une surveillance et des alertes inestimables qui peuvent être personnalisés pour réagir à différents événements et déclencheurs tels que le type de matériel de périphérique, le niveau de micrologiciel, les versions du système d’exploitation, les niveaux de correctif et les détections d’incidents de sécurité.

Mettre en œuvre Zero Trust

La mise en œuvre d’une architecture Zero Trust (ZTA) sur un réseau d’entreprise existant est mieux réalisée en l’introduisant progressivement dans le cadre de votre stratégie globale de transformation numérique. Essayer d’adapter une ZTA entière à un style big-bang de réseau d’entreprise existant ne se terminera pas bien.

Une opportunité idéale est lorsque vous planifiez une migration vers le cloud. Vous pouvez voir le cloud comme un site vierge et implémenter les couches de la ZTA avant de déplacer votre secteur d’activité vers le cloud.

Comprendre votre réseau, vos actifs et vos flux de données

Cartographiez soigneusement votre réseau. Cela inclut la topologie actuelle et tous les périphériques connectés au réseau. Cela va nécessiter une phase de découverte d’actifs. Il existe des outils logiciels qui peuvent vous aider, mais cela implique généralement de marcher sur le sol, de grimper dans les salles de serveurs et les armoires, et de ramper sous les bureaux. N’oubliez pas les biens qui se trouvent au domicile du personnel.

Vous devez également comprendre les données, les applications et les services auxquels les utilisateurs des appareils accèdent.

Vous êtes maintenant en mesure d’effectuer une analyse des risques. Si les risques ne peuvent pas être atténués à l’aide d’un ZTA, vous devrez peut-être conserver certains de vos contrôles de sécurité existants jusqu’à ce que vous puissiez réorganiser vos flux de travail ou votre topologie de manière à permettre au ZTA de fournir une protection suffisante lorsque les phases ultérieures de votre transformation numérique seront mises en œuvre.

Construire de l’identité vers l’extérieur

On dit qu’avec Zero Trust, l’identité est le nouveau périmètre. L’identité doit donc être gérée et contrôlée en toute sécurité. Les principes de moindre autorisation doivent être suivis afin qu’un utilisateur dispose des autorisations dont il a besoin pour remplir son rôle et rien de plus. Les utilisateurs ne doivent jamais partager les informations d’identification du compte.

Un système de gestion des identités et des accès (IAM) compatible avec les services internes et externes fournira une source unique, centrale et sécurisée de vérification d’identité. Un système IAM qui peut se fédérer avec des systèmes externes utilisés par des tiers qui pourraient avoir besoin d’accéder périodiquement à votre réseau peut vous être avantageux.

Les applications et les appareils, y compris les appareils de l’Internet des objets, doivent se voir attribuer leur propre identité avec les privilèges minimaux nécessaires à leur fonctionnement. Les applications et services peuvent utiliser l’authentification basée sur des certificats pour permettre des connexions avec d’autres plates-formes logicielles, par exemple.

Tirer parti des informations sur la santé

L’identité de l’appareil sera utilisée avec des conversations de défi et de réponse concernant l’état de sécurité de l’appareil – y compris l’état du correctif des applications et du système d’exploitation, la présence et l’état de la protection des points finaux – et l’identité de l’utilisateur pour décider de ce que l’appareil est est autorisé à faire. Des défis plus profonds peuvent être posés à l’appareil, en vérifiant des éléments tels que la version du micrologiciel et le processus de démarrage de l’appareil.

L’utilisateur associé à l’appareil peut également se voir attribuer un score de santé. Se connectent-ils depuis une adresse IP inconnue qui suggère une anomalie géographique? Essaient-ils de se connecter à trois heures du matin?

Les règles et politiques que vous créez dans votre plateforme de gestion Zero Trust détermineront ce que l’utilisateur peut faire.

La confiance est une vulnérabilité

Dans les réseaux Zero Trust, tout est considéré comme hostile et toutes les connexions qui accèdent aux données ou aux services doivent être authentifiées. L’accès des utilisateurs est contrôlé à l’aide de l’authentification multifacteur ou de systèmes sans mot de passe à base de clés et d’un système de gestion des identités et des accès.

Une authentification supplémentaire sera demandée lorsque l’utilisateur souhaite accéder à des données sensibles ou précieuses ou à d’autres actifs. Mais cela ne signifie pas que l’expérience utilisateur doit être mauvaise. En fait, avec une clé physique ou un système basé sur un porte-clés, cela peut réellement s’améliorer.

Les services et les applications peuvent s’authentifier via des appels d’API ou à l’aide d’une infrastructure à clé publique.

Protéger les appareils, les utilisateurs et les services

Zero Trust signifie ne faire confiance à rien, pas même à votre propre réseau. Vos appareils doivent être protégés contre les menaces pouvant exister au sein de votre propre réseau. Vous devrez toujours utiliser un logiciel de protection des points finaux pour vous protéger contre les virus et autres logiciels malveillants, et des protocoles authentifiés et cryptés tels que Transport Layer Security (TLS) doivent être utilisés pour accéder aux services réseau fondamentaux tels que le service de noms de domaine (DNS). .

La cyber-hygiène de base, telle que la surveillance du réseau à la recherche d’appareils non autorisés ou de comportements inexplicables, doit se poursuivre, et les régimes de correctifs de sécurité doivent être maintenus.

Étant donné que vous avez investi des efforts pour mapper votre réseau et déterminer les appareils, les applications et les services auxquels les utilisateurs auront besoin d’accéder, votre surveillance Zero Trust peut utiliser ces informations pour détecter les tentatives de violation des règles que vous avez mises en place.

Utiliser les offres commerciales et les normes

Utilisez des logiciels, des services, des plateformes et des fournisseurs qui prennent déjà en charge Zero Trust. Il faut éviter d’essayer de créer votre propre infrastructure de support en raison du coût, de la complexité et du potentiel d’erreur.

Le mantra standard de la cybersécurité consistant à utiliser des outils, des produits et des services conçus et développés par des professionnels spécialisés est vrai.

Dans la mesure du possible, utilisez des solutions basées sur des normes. Vous obtiendrez une interopérabilité plus facile entre les appareils et les services, et cela simplifiera la fédération entre les systèmes externes avec lesquels vous souhaitez vous connecter et interagir, tels que ceux fournis par votre fournisseur de cloud.

★★★★★