Blogs > Entreprise

Les technologies "ZTNA": Ce qu'elles sont, pourquoi maintenant et comment choisir | Blog

L'accès réseau Zero trust est le remplaçant moderne du VPN

Published on:

Authored by:

Christopher Hines

Les technologies "ZTNA": Ce qu'elles sont, pourquoi maintenant et comment choisir | Blog

Gartner prévoit que d'ici 2023, 60% des entreprises élimineront la plupart de leurs réseaux privés virtuels (VPN) d'accès distant au profit de l'accès réseau zero trust (ZTNA). L'équipe Gartner prévoit par ailleurs que 40% auront adopté ZTNA pour des usages autres que le remplacement de VPN, tels que permettre l'accès des tiers, l'accès multi cloud, et les activités liées aux fusions et acquisitions ou cessions.

ZTNA, souvent appelé services de périmètre défini par logiciel (SDP), fournit une connectivité fluide et sécurisée aux applications privées sans jamais placer les utilisateurs sur le réseau ou exposer les applications à Internet. Comme son nom l’indique, la technologie est motivée par la nécessité pour les organisations d’adopter un modèle de sécurité zero trust conçu pour la mobilité et un monde axé sur le cloud. Un modèle qui offre une sécurité basée sur l'utilisateur et les applications — et non sur l'adresse IP — quels que soient l'emplacement et l'appareil.  

Les adresses IP ont été construites pour la connectivité, pas pour la sécurité, et sont donc des identificateurs de sécurité intrinsèquement faibles (surprenant, je sais). Nonobstant ce fait, elles sont toujours utilisées comme moyen de connectivité réseau. L'utilisation d'adresses IP est problématique, car leur défaut inhérent "autorise" des postures menant à une confiance implicite, ce qui peut ensuite être abusée par des acteurs néfastes. Lorsque les organisations ont réalisé qu'elles avaient besoin d'un point de démarcation où leur réseau d'entreprise pourrait se connecter à Internet, elles ont commencé à déployer des firewalls, ce qui a conduit à l'adoption massive des firewall au cours des 30 dernières années.
 

Pourquoi tout cela est important pour vous

Les technologies ZTNA mettent en lumière la raison pour laquelle le concept de "confiance" et de "non-approuvé" est défectueux et elles rendent en outre obsolètes tous ces Firewalls de passerelle entrants. Ceci est dû au fait que l'idée de Zero trust annule entièrement le concept de "confiance". De plus, traiter les systèmes externes de "non-approuvés" et les bloquer par défaut fonctionnait assez bien au début, mais oblige maintenant les organisations à utiliser des VPN et des DMZ d'accès distant pour permettre aux utilisateurs externes de se connecter aux applications du réseau. Réfléchissez-y une seconde. Le tunnel VPN transperce les Firewalls passés et permet des connexions au réseau interne. Les DMZ rendent les applications privées accessibles non seulement aux utilisateurs légitimes, mais les exposent également aux personnes malveillantes. Les WAF ne peuvent pas non plus sécuriser cet aspect. Oops

À mesure que le nombre d'applications privées qui s'exécutent dans des environnements multicloud ou hybrides augmente, ainsi que le nombre d'employés et de tiers se connectant à partir d'appareils situés en dehors du périmètre classique, la sécurité deviendra de plus en plus difficile si elle est négociée avec des technologies traditionnelles. Plus d'appliances seront nécessaires pour répondre à la demande, ce qui exposera davantage les adresses IP. L'expérience utilisateur prendra un coup en raison du backhaul et des sauts inutiles. ZTNA offre une opportunité aux équipes d'entreprise de relever ces deux défis.

Comme toutes les nouvelles technologies, ZTNA cherche à dépasser ces approches traditionnelles, pas simplement en les améliorant ou en les mettant "toujours à jour", mais en allant complètement à l’encontre du concept. ZTNA libère les organisations de l'emprise des piles de passerelles entrantes VPN traditionnelles et des appliances FW. Au lieu de permettre l'accès sur la base d'adresses IP, ZTNA utilise des politiques simples hébergées dans le cloud qui sont distribuées à l'échelle mondiale mais appliquées localement. Ils offrent une visibilité et accordent l'accès aux applications privées uniquement aux utilisateurs spécifiques autorisés à les consulter, et jamais au réseau interne. Tout accès est contextuel. ZTNA avec efficacité fait d'Internet le nouveau réseau d'entreprise, créant des micro-tunnels cryptés de bout en bout qui créent un segment sécurisé entre un utilisateur et une application (aka micro-segmentation). Les administrateurs peuvent même découvrir des applications jusque-là inconnues et définir des contrôles d'accès granulaires pour elles.

Les technologies ZTNA génèrent beaucoup de buzz, mais toutes les solutions ne sont pas égales. Ce qui soulève la question de savoir ce que les entreprises devraient prendre en compte lorsqu'elles envisagent d'adopter ZTNA. Pour être objectif, je m'en remettrai à Gartner.

 

Huit considérations pour ZTNA

In Gartner’s recent Market Guide on Zero Trust Network Access, Steve Riley, Neil MacDonald, and Lawrence Orans outline several things to think about when choosing a ZTNA solution. Below, I list those I think enterprises should prioritize:
 

  1. Le fournisseur exige-t-il qu'un agent terminal soit installé? Quels sont les systèmes d'exploitation pris en charge? Quels appareils mobiles? Dans quelle mesure l'agent se comporte-t-il bien en présence d'autres agents? REMARQUE: Les technologies ZTNA qui ne prennent pas en charge l'utilisation sans client sont souvent incapables de prendre en charge les cas d'utilisation de périphériques non gérés, l'accès tiers, BYOD, etc.

  2. L'offre prend-elle en charge uniquement les applications Web, ou les applications traditionnelles (data center) peuvent-elles bénéficier des mêmes avantages en matière de sécurité?

  3. Certains produits ZTNA sont livrés en partie ou en totalité sous forme de services basés sur le cloud. Cela répond-il aux exigences de sécurité et de résidence de l'organisation? REMARQUE: Gartner recommande aux entreprises de privilégier les fournisseurs qui proposent ZTNA en tant que service, car les services sont plus faciles à déployer, plus disponibles et offrent une meilleure sécurité contre les attaques DDoS.

  4. Dans quelle mesure la dissimulation partielle ou complète, l’autorisation ou l’interdiction de connexions entrantes, fait-elle partie des exigences de sécurité de l’application isolée?

  5. Quelles sont les normes d'authentification prises en charge par le courtier de confiance? L'intégration avec un annuaire local ou des services d'identité basés sur le cloud est-elle disponible? Le courtier de confiance s'intègre-t-il au fournisseur d'identité existant de l'organisation?

  6. Quelle est la diversité géographique des points d'entrée et de sortie du fournisseur (appelés emplacements périphériques et / ou points de présence) dans le monde?

  7. Après l'authentification de l'utilisateur et du mot de passe de l'appareil, le courtier de confiance reste-t-il dans le chemin des données?

  8. L'offre s'intègre-t-elle aux fournisseurs de gestion unifiée des terminaux (UEM), ou l'agent local peut-il déterminer l'état de santé et la sécurité des appareils en tant que facteurs dans la décision d'accès? À quels fournisseurs UEM le fournisseur ZTNA est-il associé?

 

Keep this list top of mind when the next ZTNA vendor comes calling so you can be sure to choose the solution that fits your needs. Who knows, it might even be Zscaler
 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 

Chris Hines est responsable marketing produits pour Zscaler Private Access et Z App.



Blogs suggérés