Zscaler Cloud Platform

Zero Trust Exchange - L’unique voie vers le Zero Trust

Un nuage numérique

Dans mon blog précédent, j’ai expliqué en quoi les pare-feu et les autres solutions de sécurité réseau basées sur le périmètre sont incapables d’assurer une sécurité Zero Trust. Qu’il s’agisse de pare-feu et de VPN, de modèles de périmètre basés sur le cloud comme les pare-feu virtuels, ou de solutions ponctuelles basées sur le cloud, aucun d’entre eux ne respecte un véritable cadre de Zero Trust (tel que défini par le NIST et d’autres organismes de référence). Mais la question demeure : si ces modèles ne peuvent pas assurer une sécurité Zero Trust, qu’est-ce qui le peut, et comment ?

La réponse est simple : Zscaler Zero Trust Exchange. Grâce à son architecture unique, cette plateforme native du cloud peut garantir une sécurité Zero Trust, contrairement aux technologies de sécurité réseau traditionnelles. Basé sur une architecture proxy, Zero Trust Exchange, comme le montre la figure 1, agit comme un tableau de distribution intelligent qui connecte en toute sécurité les utilisateurs aux applications, les applications aux applications et les machines aux machines, pour n’importe quel appareil, sur n’importe quel réseau et à n’importe quel emplacement. Il impose une vérification basée sur l’identité et le contexte avant de répondre à toute demande de communication vers une application.

Zero Trust Exchange assure une sécurité Zero Trust aux utilisateurs, aux applications et aux charges de travail en sécurisant l’accès à Internet et aux SaaS ainsi qu’aux applications privées où qu’elles soient hébergées, sur Internet, dans des data centers ou dans des clouds privés ou publics.

Diagramme

Description générée automatiquement

Figure 1 : Présentation de Zero Trust Exchange

Examinons en détail comment Zero Trust Exchange assure le Zero Trust à grande échelle grâce à son architecture éprouvée. Dans la figure 2, Zero Trust Exchange fait office d’exécuteur de politiques et de décideur entre les entités telles que les appareils mobiles, IoT, etc. qui tentent de se connecter (en bas) et les ressources telles que les applications cloud, les applications SaaS, les applications Internet, etc. auxquelles l’entité tente d’accéder (en haut). Zero Trust Exchange applique la politique et le contexte de diverses manières pour parvenir à une décision d’application, puis négocie la connectivité autorisée à la ressource demandée.

Figure 2 : Architecture de Zero Trust Exchange


Vérification de l’identité - La première étape consiste à établir l’identité. Pour ce faire, Zero Trust Exchange interrompt d’abord toute connexion. Mettre fin à la connexion à la toute première étape peut sembler étrange, mais il y a une bonne raison à cela. Zero Trust Exchange interrompt la session et vérifie la connexion en comparant l’identité des systèmes de gestion de l’identité et de l’accès (IAM) pour vérifier qui est cet utilisateur/cette personne et quel contexte est associé à son identité. Selon le type d’application, Zero Trust Exchange peut appliquer des exigences d’authentification telles que ID Proxy, assertion SAML et MFA (avec option IdP).

Si la vérification de l’identité échoue, ou si l’utilisateur n’est pas autorisé à accéder à cette ressource spécifique en fonction de son contexte d’identité, la connexion est interrompue sur-le-champ. Cette opération s’effectue par le biais d’une architecture proxy, contrairement à l’architecture pass-through des pare-feu, qui laisse passer les données et effectue ensuite une analyse hors bande, permettant aux menaces inconnues de pénétrer sans être détectées. Zero Trust Exchange dispose d’une intégration API avec les principaux fournisseurs d’identité comme Okta, Ping, Active Directory/Azure AD, et d’autres pour établir cette identité. 

Vérification de l’appareil - L’étape suivante consiste à établir un contexte autour de la posture de l’appareil : s’agit-il d’un appareil d’entreprise ou personnel ? Géré ou non géré ? Conforme ou non ? Le contexte de l’appareil est combiné à d’autres formes de contexte, tels que le rôle de l’utilisateur, l’application à laquelle il tente d’accéder, le contenu qu’il échange, etc. Ces conditions déterminent le niveau d’accès qui est accordé. Zero Trust Exchange s’intègre aux principales solutions de protection des terminaux telles que Microsoft Defender, VMware Carbon Black, Crowdstrike Falcon, etc. pour assurer la sécurité du contexte et des terminaux.

Politique d’application - Zero Trust Exchange identifie si l’application sollicitée est une application publique ou une application privée, et classe les applications SaaS en deux catégories : celles qui sont autorisées (applications achetées par la société, comme M365) et celles qui ne le sont pas (applications utilisées par les employés). En fonction du type d’application, il détermine le risque de l’application et gère la politique d’accès en tirant parti de l’indice de risque de l’application avec des solutions telles que le filtrage des URL, les protections de Cloud Access Security Broker (CASB), etc. Zero Trust Exchange détermine également la source d’application la plus proche disponible pour l’utilisateur, qui sert ensuite à établir la connexion.

Posture de sécurité - L’objectif ultime de toute technologie de sécurité est de protéger les données sensibles, y compris les données chiffrées. De nombreux hackers dissimulent des programmes malveillants dans le protocole SSL, sachant que les pare-feu ne peuvent pas inspecter le trafic chiffré à grande échelle, ce qui leur permet de passer inaperçus. De nos jours, plus de 90 % du trafic est chiffré et, alors que les pare-feu sont incapables d’inspecter toutes les données chiffrées en ligne, Zero Trust Exchange peut déchiffrer le trafic et voir ce qu’il contient. Il fournit une protection contre la perte de données (DLP), ainsi qu’une protection contre les cybermenaces pour les données en ligne via le sandboxing. Le contexte recueilli lors des étapes précédentes est utilisé pour rechercher les comportements anormaux. Ces vérifications permettent d’identifier les niveaux de risque associés aux utilisateurs à chaque étape.

Si l'utilisateur passe toutes ces portes, la question clé est la suivante : voulons-nous servir de passerelle entre cette connexion et la ressource demandée ?

Application de la politique - Les sociétés définissent leur politique commerciale pour désigner à un niveau élevé ce à quoi leurs employés peuvent et ne peuvent pas accéder. Sur la base de ces politiques, ainsi que du contexte de la requête individuelle, Zero Trust Exchange autorise ou refuse l’accès aux applications. Les applications privées ne sont pas exposées à Internet et l’accès est assuré par des connexions sortantes uniquement, tandis que les applications publiques sont soumises à un accès conditionnel. 

Prenons l’exemple d’un employé du service financier qui utilise un appareil géré pour accéder à des données financières : Zero Trust Exchange autorise cette transaction si tous les critères contextuels requis par la politique sont satisfaits. Cependant, si l’employé utilise un appareil non géré, le plein accès ne lui sera pas accordé. Une autre politique peut au contraire accorder l’accès via une session de navigateur à distance qui diffuse les données sous forme de pixels à partir d’une session isolée dans un environnement conteneurisé, mais ne permettra pas d’accéder aux données elles-mêmes, de les télécharger, de les mettre en cache sur l’appareil, etc.

Zero Trust Exchange établit une connexion granulaire entre l’entité et la ressource ou l’application pour laquelle l’accès est autorisé. Il s’agit là d’une véritable connexion Zero Trust. Même si une menace pour la sécurité existe, elle est limitée à cette connexion entre l’entité requérante spécifique et l’application à laquelle elle accède, et non à l’ensemble du réseau. Cette architecture est entièrement conforme aux principes définis dans l’architecture NIST et est essentielle pour que toute solution de sécurité puisse fournir un accès fiable.

Zero Trust Exchange élimine le besoin de réseaux MPLS complexes, de contrôles complexes des pare-feu basés sur le périmètre et les VPN, grâce à un accès direct au cloud rapide et sécurisé et à une connectivité de cloud à cloud sécurisée qui élimine le backhauling, la distribution de routes et le chaînage de services. Au lieu de recourir à plusieurs solutions de sécurité matérielles ou virtuelles difficiles à gérer et à maintenir, une solution Zero Trust intégrée sécurise toutes les applications Internet, SaaS et privées au moyen d’une plateforme unique et complète. Zero Trust Exchange fournit un accès transparent et cloud-native, garantissant une expérience utilisateur transparente, un faible coût et une complexité réduite, une meilleure visibilité et un contrôle plus précis, ainsi que de meilleures performances pour une approche moderne de la sécurité Zero Trust. 

Pour en savoir plus sur la sécurité Zero Trust, consultez ce webinaire : Pourquoi les pare-feu ne sont pas conçus pour le Zero Trust. Vous y apprendrez ce qu’est le Zero Trust, ce qu’il n’est pas, et les bonnes pratiques à mettre en œuvre.

Restez au courant des dernières astuces et informations concernant la transformation digitale.

En envoyant le formulaire, vous acceptez notre politique de confidentialité.