Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Select your role & we’ll curate content specifically for you
Blogs > Entreprise

SDP, ZTNA et CARTA: donner un sens au buzz sur la sécurité zero trust

Published on:

Rédigé par :

Christopher Hines

Category:

Analysis

SDP, ZTNA et CARTA: donner un sens au buzz sur la sécurité zero trust

SDP and ZTNA and CARTA. Oh my!

Ok, donc ma chansonnette n'a pas tout à fait la même résonance que la chanson mémorable du film Le Magicien d'Oz. Mais l'anxiété manifestée dans ce refrain peut certainement s'appliquer à ma version numérique.

Les professionnels de l'informatique ont déjà plus qu'il n'en faut en tête — lutter contre la menace constante de cyberattaques, sécuriser l'accès des employés à distance, protéger l'entreprise, atténuer les risques potentiels liés aux appareils personnels et à l'IoT — et la liste n'est pas exhaustive.

So, getting bombarded with one acronym after another, while trying to find the best security solutions and advice for your digital transformation, can quickly become overwhelming. Every vendor starts to sound similar, with pitch decks that blur together, and it gets harder to make a decision on which technology is the best fit for you.

Si vous vous sentez un peu perdu en ce qui concerne l'aspect sécurité zero trust, ne vous inquiétez pas. Vous n'êtes pas seul. Un récent webinaire public de Gartner sur CARTA a indiqué que 70% des participants avaient entendu le terme « zero trust » mais que 23% ne savaient pas trop quelle en était la signification.

So how do you make sense of all these security acronyms, and what role do they play in securing your move to the cloud?
 

SDP

SDP stands for software-defined perimeter, a term coined by the Cloud Security Alliance. The concept of SDP is that enterprises can now use software, instead of traditional network security appliances, to seamlessly connect remote users to privately managed applications running in private, hybrid, or multi-cloud environments.

It’s important to note that many SDP technologies are client-initiated. This means that a client MUST be installed on the user device for access to private apps to take place. Because of this requirement, they are often not a fit for uses cases in which access from unmanaged devices (e.g., BYOD or third-party users) is important.
 

ZTNA

ZTNA signifie accès au réseau zero trust. ZTNA est un nouveau terme de sécurité qui a été introduit en avril 2019 par Gartner dans son Market Guide for Zero Trust Network Access. ZTNA s'efforce d'éliminer certaines des principales différences entre les différents fournisseurs qui jouent dans cet espace de sécurité zero trust en les décomposant en deux conceptions architecturales distinctes.

  1. Client-initiated architectures – ZTNA solutions in this category closely follow the original Cloud Security Alliance SDP architecture. Basically, an agent installed on authorized devices sends information about its security context to a “controller.” The controller prompts the user on the device for authentication and returns a list of apps the user is allowed to access.
  2. Architectures initiées par les services – les services ZTNA ont un connecteur installé dans le même réseau que l'application, qui établit et maintient une connexion de l'intérieur vers l'extérieur au service cloud où la connexion entre l'application et l'utilisateur est liée ensemble. Ce processus a lieu après l'authentification de l'utilisateur et de l'appareil.

Gartner offers a list of evaluation criteria and recommendations for selecting the right ZTNA technology. One of their recommendations is this:

« Pour la plupart des scénarios de commerce numérique, privilégiez les fournisseurs qui proposent ZTNA en tant que service pour un déploiement plus facile, une plus grande disponibilité et une protection contre les attaques DDoS. Privilégiez les fournisseurs qui n'exigent aucune ouverture dans les firewall pour les services d'écoute (connexions entrantes), ce qui est typique pour la plupart des versions « en tant que service » de ZTNA ».
 

CARTA

CARTA est l'acronyme de Continuous Adaptive Risk and Trust Assessment. Contrairement aux deux premiers mots à la mode, qui sont des technologies, CARTA est un cadre de sécurité développé par Gartner. Il s'agit d'un écosystème moderne de technologie axé sur le cloud qui comprend un service ZTNA, des fournisseurs d'identité, des fournisseurs de sécurité des terminaux et des fournisseurs MDM et SIEM travaillant tous ensemble.

Le cadre stipule que les équipes doivent commencer par une posture zero-trust, mais l'établissement de la confiance est inévitable pour que le travail soit réellement accompli. En outre, au lieu de connecter un utilisateur sur la base d'une adresse IP (qui n'est pas un attribut de sécurité solide), CARTA affirme que les services informatiques devraient fournir un accès basé sur le contexte (utilisateur, appareil, application et emplacement). Cet accès doit être surveillé en permanence, en évaluant continuellement les menaces afin de minimiser les risques d'attaque et de réduire le délai moyen de remédiation. Il est important de noter que le cadre va au-delà de zero trust, qui a été créé pour la première fois par Forrester Research il y a 10 ans, et pousse les entreprises à adopter plutôt une approche continuellement adaptative de la sécurité de l'information.

Gartner a développé la stratégie CARTA basée sur l'idée que dans un monde de plus en plus axé sur le cloud, dans lequel les applications passent vers le cloud et les utilisateurs travaillent à partir de n'importe quelle décision binaire, la mentalité traditionnelle noir ou blanc, autoriser ou bloquer ne fonctionne pas. L'approche CARTA permet aux entreprises de prendre des décisions basées sur le risque et la confiance.

Voici quelques-uns des concepts clés de la méthode CARTA:

  • Les décisions doivent s'adapter en permanence. Les réponses de sécurité doivent s'adapter en permanence. Le risque et la confiance doivent s'adapter en permanence.
  • The initial block/allow security assessments for access and protection leave enterprises exposed to zero-day and targeted attacks, credential theft, and insider threats.
  • Trust and risk must be dynamic, not static, and assessed continuously as interactions take place and additional context becomes available.
  • Les résultats des entreprises numériques ne peuvent être optimisés que lorsque la confiance numérique est gérée de manière adaptative comme un ensemble de mesures de confiance très précises avec des attributs de risque et de réponse multidimensionnels.

Ainsi, qu'il s'agisse de SDP ou de ZTNA, le fait d'identifier un utilisateur et de lui donner accès à des applications spécifiques plutôt qu'au réseau entier fait partie intégrante du cadre général de CARTA.

 

Qu'est-ce que cela signifie pour la sécurité de mon réseau?

SDP, ZTNA et CARTA ont vu le jour parce que le réseau en étoile traditionnel et les modèles de sécurité cloisonnés sont devenus moins efficaces dans le monde cloud et mobile. Les entreprises ne contrôlent pas le réseau du cloud public, alors comment peuvent-elles assurer la sécurité du réseau? Eh bien, elles ne le peuvent pas.

Backhauling internet-bound traffic (including public cloud and SaaS) to your data center through VPN inbound gateways just adds latency, which degrades the user experience, places users on the network (which can lead to the lateral spread of malware), and exposes IP addresses to the open internet, where they are at risk of DDoS attacks.

With 98 percent of security attacks stemming from the internet, it's become an unacceptable risk to place remote users on the network. Today’s digital employees, who demand the same fast connection to their apps regardless of their location or device, also deserve better.

The classic security perimeter, the data center, has evolved. Now, the user, app, and device are the new virtual perimeters and the internet is the new corporate network. This calls for a new approach to application access.

Puisque vos employés, leurs applications de travail et presque toutes vos activités sont dans le cloud, votre sécurité ne devrait-elle pas être conçue pour le cloud?

It is natural to be a bit apprehensive when embarking on a cloud journey that involves transforming your applications, network, and security. But, just as Dorothy, Tin Man, Scarecrow, and Cowardly Lion persevered, got some help, and completed their journey, you can do the same thing.

Feel free to reach out to me if you have any questions about SDP, ZTNA, or CARTA, or how Zscaler can help with securing access to your private applications: [email protected].

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Chris Hines is head of product marketing for Zscaler Private Access and Z App.



Blogs suggérés