MAN Energy Solutions permet la mise en œuvre du Zero Trust

Lorsque les approches traditionnelles de la sécurité ne sont plus adaptées

Alors que l’industrie connaît une forte croissance à l’échelle mondiale, les technologies évoluent rapidement, comme celle de l’IoT sur les moteurs et les systèmes de toutes tailles déployés à travers le monde, dont beaucoup sont en mouvement dans le secteur du transport. À cela vient s’ajouter le fait qu’une grande partie du personnel mondial est de plus en plus mobile et a besoin d’accéder aux applications Web et aux applications professionnelles personnalisées où qu’il soit.

Les approches cloisonnées traditionnelles de la sécurité des réseaux et des applications ne sont pas adaptées aux déploiements cloud modernes qui ont permis une expansion mondiale, un accès mondial et une amélioration potentielle de la sécurité, à mesure que les charges de travail migraient vers AWS et Azure, et qu’Internet devenait le nouveau réseau d’entreprise. L’objectif est de rendre ces applications invisibles sur Internet, et d’offrir un accès protégé uniquement aux utilisateurs et aux applications de confiance.

MAN Energy Solutions a constaté que le gain de vitesse et d’agilité découlant du déploiement du cloud était contrebalancé par la mauvaise expérience utilisateur due à l’accès aux applications via des solutions anciennes de VPN d’entreprise, entraînant des coûts d’appliances, de logiciels et de réseau MPLS de plus en plus élevés. L’entreprise souhaitait également bénéficier des avantages sécuritaires obtenus en rendant les applications invisibles sur Internet.

« Nous fournissions l’accès aux applications à un personnel dispersé et mobile via un VPN traditionnel menant à des ports d’accès détectables. Nos performances en pâtissaient. Nos employés n’étaient pas satisfaits de leur expérience. Notre système de sécurité ne réalisait pas son plein potentiel. Notre approche n’était pas adaptée aux capacités de nos déploiements AWS et Azure », explique Tony Fergusson, architecte d’infrastructure informatique chez MAN. « De plus, nous disposons d’une équipe d’exploitation relativement petite qui gère une infrastructure sur site, tandis que notre ensemble de données et notre besoin d’analyses en temps réel et d’accès aux applications explosaient. La tâche se révélait de plus en plus ardue à mesure que nous modernisions nos applications internes, mettions en ligne davantage de sources de données et déployions des produits et des technologies avancés à l’échelle mondiale. »

La puissance de Zscaler Zero Trust

MAN Energy Solutions (MAN) avait la certitude que le passage au cloud leur permettrait de relever plus efficacement leurs défis métiers. "Nous voyions de plus en plus d'entreprises réussir l'implémentation de solutions cloud à l'échelle mondiale. Nous avons donc identifié des approches architecturales correspondant à nos objectifs techniques", explique Fergusson.

En 2011, MAN décide de faire appel à Zscaler pour améliorer son expérience utilisateur, réduire le coût de la bande passante et atteindre des objectifs de sécurité toujours plus élevés. MAN a commencé par connecter ses utilisateurs mobiles à travers le monde à ses applications SaaS grâce à Zscaler Internet Access (ZIA). Ensuite, Zscaler a été choisir pour relever les défis liés à la lutte contre les Menaces Persistantes Avancées (APT).

Puis, Zscaler Private Access (ZPA) a été sélectionné pour fournir en tous lieux aux employés mobiles et aux sous-traitants un accès permanent aux applications sur site. Plus récemment, MAN a utilisé ZPA pour fournir un accès sécurisé aux applications exécutées sur AWS et Azure, améliorant ainsi l’expérience utilisateur mobile tout en réduisant les coûts liés au réseau.

Accès Zero Trust aux applications internes

Zscaler Private Access (ZPA) permet un accès sécurisé basé sur des politiques aux applications et ressources privées, le tout sans le coût, la complexité ni les failles de sécurité d’un VPN. L’idée de rendre les applications internes « invisibles » pour les utilisateurs non autorisés a pris de l’ampleur depuis l’introduction du réseau défini par logiciel (SDN). L’approche du modèle Zero Trust rend vos services invisibles. Les applications et les utilisateurs doivent donc être autorisés via le SAML avant que l’accès ne leur soit accordé.

« Nous avons pu mettre en œuvre un modèle Zero Trust, que j’appelle Blackcloud (SDP) », déclare M. Fergusson. « Nous avons mis en œuvre notre solution pour réduire notre surface d’attaque et remplacer les approches traditionnelles par cette solution moderne, sécurisée et cloud-first. Nous disposons également d’un contrôle granulaire sur les autorisations des utilisateurs, chaque employé et sous-traitant n’ayant accès qu’aux ressources dont ils ont besoin. » Avec ZPA, l’accès des sous-traitants est défini par application, et non par réseau.

Cette approche empêche également tout déplacement latéral de logiciels malveillants. Elle assure que l'accès n'est initié que d'un client vers un serveur, et jamais l'inverse. La combinaison de ces deux mesures empêche les mouvements latéraux malveillants en validant toutes les sessions avant que l'accès ne soit accordé. Une plus grande sécurité est ainsi obtenue grâce à un modèle Zero Trust et à l'application d'une politique basée sur l'authentification des utilisateurs, l'autorisation et la distinction entre es applications connues et inconnues.

Un moyen moderne de connecter les utilisateurs à l’échelle mondiale

Un certain nombre de facteurs métier nécessitaient un moyen plus rapide et plus sûr de connecter les utilisateurs finaux à leurs applications. Au nombre de ceux-ci figure la migration des applications métier internes et des projets de développement vers le cloud, l'adoption croissante des services cloud et la nécessité de déployer l'accès à un nombre de plus en plus grand d'employés et de partenaires répartis dans le monde entier. Bien que ces initiatives offrent une flexibilité et une agilité accrues, si elles devaient continuer à s'appuyer sur des approches traditionnelles basées sur le VPN, elles augmenteraient la charge sur les ressources informatiques et réseau.

Le cloud Zscaler offre une alternative alliant élégance et puissance. Il supprime le besoin de piles de sécurité matérielles et logicielles traditionnelles nécessaires pour l'accès à distance, élimine la nécessité pour les utilisateurs finaux de se servir d'un client VPN et de solutions approximatives d'accès à distance lors de leurs déplacements, et leur offre un chemin alternatif pour leur trafic. Il réduit le besoin d'utiliser des tunnels MPLS pour la connexion à Internet.

Gain de vitesse, d'agilité et de performances

MAN Energy Solutions a amélioré l’expérience utilisateur tout en réduisant la complexité et les coûts. Les utilisateurs jouissent désormais d’une expérience de type cloud totalement fluide lorsqu’ils accèdent aux applications internes s’exécutant dans le data center ou dans le cloud. Les utilisateurs sont connectés directement aux applications via le cloud mondial de Zscaler, contournant complètement les points de congestion propres aux méthodes traditionnelles d’accès distant.

Cette approche offre une flexibilité totale pour ce qui est du lieu d'hébergement des applications, et protège les données sensibles grâce à une connexion cryptée à l'aide de micro-tunnels basée sur le TLS. Les utilisateurs ne sont jamais exposés au réseau, les applications ne sont jamais exposées à des utilisateurs non autorisés et le cloud réduit la complexité propre aux solutions traditionnelles.

Un pourcentage de réduction des coûts à deux chiffres a été réalisé en éliminant l'infrastructure VPN et les licences de logiciels. En outre, les performances du réseau ont été améliorées grâce au contrôles de la bande passante et à la priorisation du trafic stratégique sur les trafics basse priorité tels que la navigation sur le Web.

L’un des principaux avantages techniques réside dans la réduction de la surface d’attaque et la sécurisation de toute l’administration dans AWS et Azure. MAN utilise le cluster de journalisation et d’analyse de ZPA pour transmettre ses journaux vers leur SIEM et avoir une meilleure visibilité de l’accès et des activités des utilisateurs.

"Nous pouvons déployer de nouveaux VPC et créer de nouveaux espaces de noms en quelques minutes. L'utilisation du routage des espaces de noms nous offre un gros avantage. Nous pouvons ainsi contrôler le trafic en fonction de l'espace de noms, et non de l'adresse IP. Elle nous permet également de créer des politiques plus utiles. Nous pouvons réduire le coût et la complexité du réseau. Notre processus d'intégration des consultants est beaucoup plus rapide. L'intégration des consultants se fait en quelques heures, plus en quelques semaines comme par le passé.