La stratégie fédérale Zero Trust amène les agences à repenser l’accès aux réseaux et leur rôle global dans la pile informatique. La stratégie stipule que les agences ne peuvent « plus dépendre des défenses conventionnelles basées sur le périmètre pour protéger les systèmes et les données critiques ». Elle demande ensuite aux agences de « procéder à des changements audacieux et à des investissements importants afin de défendre les institutions vitales qui soutiennent le mode de vie américain ». Cette directive transformatrice est essentielle pour rivaliser avec des adversaires quasi-similaires qui ne se limitent pas à des améliorations progressives, mais font plutôt évoluer rapidement leurs tactiques et techniques, et seuls les « changements audacieux et les investissements importants » préconisés dans la stratégie ont une chance de pouvoir leur résister.

Ces « changements audacieux » découlent du principe fondamental du Zero Trust selon lequel tous les utilisateurs, ressources et services opèrent dans un environnement « présumé hostile », peu importe où ils se trouvent Pour ce faire, il est essentiel d’utiliser des techniques d’authentification forte et multifacteur (MFA), d’autoriser et d’attribuer toutes les actions des utilisateurs/entités, de limiter ces actions au minimum de privilèges accordés et d’accès requis, et de chiffrer l’ensemble du trafic sur les réseaux internes et externes, en commençant par le DNS et le HTTP.

Le périmètre n’existe pas

Avec l’adoption rapide des applications cloud et SaaS au sein du gouvernement fédéral, le « périmètre » traditionnel s’est considérablement érodé. Les applications, les données et les utilisateurs existent de manière dynamique partout et n’importe où. À titre d’exemple, lorsque vous chargez Gmail dans votre navigateur, l’interface utilisateur que vous voyez est composée d’un réseau complexe de microservices et de magasins de données hébergés sur une vaste architecture cloud, dont chacun change et évolue plusieurs fois par jour pour répondre aux besoins des utilisateurs.

Sécuriser une architecture aussi décentralisée et dynamique est une tâche ardue, et cet exemple sert à illustrer le défi auquel est confronté le gouvernement fédéral dans son effort pour moderniser les applications afin de mieux servir ses citoyens. Les principes de Zero Trust sont fondamentaux pour assurer la sécurité dans cette réalité moderne, où la sécurité et l’accès ne sont pas basés sur l’emplacement d’une application, mais plutôt sur ce à quoi un utilisateur est autorisé à accéder et sur la façon dont les composants des applications modernes communiquent entre eux. Zscaler a été conçu en gardant cette réalité à l’esprit, pour permettre aux utilisateurs de se connecter directement aux applications, où qu’ils se trouvent, et sans avoir à exposer une infrastructure multi-cloud ou hybride vers l’extérieur. Zscaler est spécialement conçu pour changer le fonctionnement des réseaux et s’aligne sur la stratégie fédérale Zero Trust.

Internet comme point d’accès

L’objectif est clairement énoncé dans la stratégie : « dans les déploiements Zero Trust aboutis, les utilisateurs s’authentifient résolument dans les applications, et non dans les réseaux sous-jacents ». Zscaler répond directement à ce défi de Zero Trust et de convivialité en se voulant une plateforme cloud-native, centrée sur l’identité et multi-tenant conçue de toutes pièces, qui fournit un accès efficace et sécurisé à Internet, au SaaS et aux applications privées depuis n’importe quel emplacement ou n’importe quel appareil. Cette approche dissocie et sépare la sécurité de l’infrastructure sous-jacente pour garantir une protection cohérente et agile sans impacter l’expérience utilisateur ni introduire de friction ou de complexité.

Zscaler sécurise et segmente le trafic des utilisateurs et des charges de travail vers Internet ou les applications SaaS, quel que soit l’appareil ou l’emplacement, assurant une application cohérente des politiques et une prévention omniprésente des menaces, un contrôle d’accès, une protection des données et une obscurcissement du trafic dans l’ensemble du paysage fédéral.

Zscaler modernise également fondamentalement la façon dont les utilisateurs utilisent les applications privées, en leur offrant un accès homogène, sécurisé et direct, plutôt que d’exiger des VPN pour accéder aux applications. L’utilisateur accède aux applications privées exactement de la même manière qu’aux applications publiques, un principe fondamental de la stratégie qui consiste à « permettre l’accès aux applications sur Internet en toute sécurité, sans passer par un réseau privé virtuel (VPN)ou à un autre tunnel réseau ». Cette approche s’aligne sur les abstractions des architectures multi-cloud/hybrides en dissociant l’accès à distance des réseaux et architectures sous-jacents et en négociant l’accès au niveau de la couche application en fonction de l’identité de l’utilisateur et de la posture continue des appareils.

Ne faire confiance à personne, tout chiffrer

Si l’on considère le Zero Trust du point de vue de la sécurité traditionnelle des réseaux, on pourrait dire qu’il correspond le plus au concept de sécurité fondamental de l’accès sur base du moindre privilège, mais le Zero Trust est bien plus que cela. Il requiert un moyen d’authentifier et d’autoriser en permanence les personnes et les appareils qui accèdent aux applications, car l’identité est essentielle pour sécuriser la connectivité du réseau et des applications dans un modèle de Zero Trust. Tout ce qui se trouve sur le chemin entre l’utilisateur et l’application doit constamment inspecter le trafic pour garantir que l’activité est attribuée à un utilisateur et que la politique est correctement appliquée.

Cependant, lorsque tout est chiffré, la visibilité diminue naturellement, comme le souligne la stratégie : « Il sera essentiel de trouver un équilibre entre la profondeur de la surveillance du réseau et les risques liés à la faiblesse ou à la compromission des dispositifs d’inspection du réseau ». Zscaler aborde cet équilibre de front, en étant à la fois une plateforme de visibilité/surveillance omniprésente à l’échelle du nuage, et le garant des principes fondamentaux de Zero Trust pour le trafic réseau de l’utilisateur et de l’application. En authentifiant et en autorisant continuellement les utilisateurs et les appareils qui accèdent aux applications, Zscaler place l’identité au cœur de la surveillance, garantissant que toute activité est attribuable à l’identité de l’acteur, qu’il soit sur site ou à distance. La capacité de Zscaler à déchiffrer le trafic à l’échelle du cloud dans une plateforme SaaS autorisée par FedRAMP/JAB est fondamentale pour cette visibilité, sans attendre des clients qu’ils soient responsables de la gestion et de la sécurisation des appliances d’inspection du réseau.

Il s’agit là de l’innovation qu’apporte Zscaler pour atteindre les objectifs de la stratégie, à savoir : réduire la complexité, réduire les frais de gestion, tout en incarnant et en appliquant les principes de Zero Trust. Zscaler est spécialement conçu comme une solution SaaS gérée à partir d’une interface utilisateur unifiée et cohérente, et propose des options de déploiement flexibles pour permettre aux clients d’aisément adopter cette fonctionnalité, facilitant ainsi la conformité avec cette importante stratégie fédérale de Zero Trust.

Lire la suite :

Réaliser le mode de maturité Zero Trust fédéral