Ressources > Glossaire des termes de sécurité > Qu’est-ce qu'un périmètre défini par logiciel

Qu’est-ce qu’un périmètre défini par logiciel (SDP) ?

Qu’est-ce qu’un périmètre défini par logiciel (SDP) ?

Alors que la stratégie Zero trust est devenue un cadre de sécurité bien connu ces dernières années, beaucoup ne réalisent pas qu’il est basé sur les mêmes principes que la technologie du périmètre défini par logiciel (SDP). Le concept de SDP a été développé pour la première fois par la Defense Information Systems Agency (DISA) qui découle du projet Global Information Grid en 2007. La Cloud Security Alliance (CSA) s’est intéressée au concept et a commencé à développer le framework SDP à ses prémices. En 2011, alors que le SDP était encore un jeune concept, Google a été l’un des premiers à l’adopter en développant sa propre solution SDP, connue sous le nom de GoogleBeyond Corp.

Le SDP est une stratégie de sécurité pour le cloud et le monde mobile. Alors que la sécurité traditionnelle est centralisée dans un data center, le SDP est partout, fourni par le cloud, et utilise la politique de l’entreprise pour déterminer qui a accès à quelles ressources. Le SDP distribue l’accès aux applications internes en fonction de l’identité de l’utilisateur et avec un niveau de confiance qui s’adapte en fonction du contexte. Les SDP sont entièrement définis par logiciel et construits sur un modèle de « besoin de savoir », avec un niveau de confiance constamment surveillé et adapté en fonction d’une série de critères. Les SDP rendent l’infrastructure des applications invisible pour l’internet, ce qui lui permet d’échapper aux attaques basées sur le réseau (DDoS, ransomware, programme malveillant, scan de serveurs, etc.) et de réduire les risques pour les entreprises.

L’adoption de la technologie SDP s’est développée au fur et à mesure que les entreprises cherchaient à moderniser la sécurité de leurs applications avec une sécurité Zero trust.

Les périmètres vont se multiplier, devenir plus granulaires et se rapprocher des entités logiques qu’ils protègent, à savoir les identités des utilisateurs, les appareils, les applications, les données et les charges de travail.
Gartner, Zero trust est un premier pas sur la route menant au modèle CARTA, Décembre 2018 (Gartner, Zero Trust Is an Initial Step on the Roadmap to CARTA)

Comment fonctionne le SDP ?

Plutôt que de se concentrer sur la sécurité traditionnelle, basée sur le réseau, le SDP adopte une approche différente. Au lieu de se concentrer sur la sécurisation du réseau, SDP se concentre sur la sécurisation de l’utilisateur, de l’application et de la connectivité entre ceux-ci. Quatre principes fondamentaux différencient les technologies SDP :

  1. La confiance n’est jamais implicite – La sécurité traditionnelle du réseau offre une confiance excessive à ses utilisateurs ; cette confiance doit être méritée. Les SDP n’accordent l’accès aux applications qu’aux utilisateurs authentifiés et spécifiquement autorisés à utiliser cette application ; de plus, ces utilisateurs autorisés n’ont accès qu’à l’application, pas au réseau.
     
  2. Aucune connexion entrante – Contrairement à un réseau privé virtuel (VPN), qui écoute les connexions entrantes, les SDP ne reçoit aucune connexion entrante. En répondant par des connexions uniquement sortantes, l’infrastructure du réseau et des applications est maintenue invisible ou masquée pour Internet et donc impossible à attaquer.
     
  3. Segmentation des applications, et non du réseau – Par le passé, les entreprises devaient effectuer une segmentation complexe du réseau pour limiter la capacité d’un utilisateur (ou d’une infection) à se déplacer latéralement une fois sur le réseau. Si cette approche fonctionnait assez bien, elle n’était toutefois jamais granulaire et nécessitait une maintenance constante. Le SDP dispose d’une segmentation native des applications qui permet de contrôler l’accès sur une base individuelle. Il en résulte une segmentation beaucoup plus granulaire et beaucoup plus facile pour l’équipe informatique.
     
  4. Exploiter Internet en toute sécurité – Avec des utilisateurs disséminés partout et des applications qui sortent du data center, les entreprises doivent abandonner leur approche centrée sur le réseau. La sécurité doit se tourner vers l’endroit où se trouvent vos utilisateurs, ce qui signifie tirer parti d’Internet en tant que votre nouveau réseau d’entreprise. Le SDP se concentre sur la sécurisation des connexions utilisateur-application sur Internet plutôt que sur la sécurisation de l’accès des utilisateurs au réseau.

D’un point de vue architectural, le SDP diffère fondamentalement des solutions centrées sur le réseau. Les SDP sont entièrement définis par logiciel, ce qui élimine les coûts additionnels qu’impose aux entreprises le déploiement et la gestion des appliances. L’adoption du SDP simplifie également la pile entrante, car les entreprises n’ont plus besoin de VPN, de protection DDoS, d’équilibrage de charge global et d’appliance de pare-feu. La Cloud Security Alliance (CSA) a élaboré le diagramme initial de l’architecture SDP (ci-dessous), mais au fur et à mesure de l’évolution du SDP, Gartner a élaboré un guide du marché pour cette technologie, la définissant comme un accès réseau Zero trust (ZTNA pour Zero Trust Network Access) et a mis en évidence les deux principaux modèles d’architecture ZTNA dans le guide du marché ZTNA de Gartner.

 

what is software defined perimeter

Alors que le SDP présente de nombreux cas d’utilisation, la plupart des entreprises choisissent de commencer par l’un des quatre domaines suivants :

Alternative au VPN
La plupart des entreprises souhaitent réduire ou abandonner l’utilisation du VPN. Parce que les VPN sont notoirement lents pour les utilisateurs, introduisent des risques de sécurité et sont difficiles à gérer, Gartner prédit que, « d’ici 2023, 60 % des entreprises abandonneront progressivement la plupart de leurs accès distant VPN au profit de ZTNA [SDP] ».

Accès multi-cloud sécurisé
Le multi-cloud, comme son nom l’indique, désigne l’utilisation de plusieurs services de cloud computing dans un seul environnement. De nombreuses entreprises utilisent Workday et Office 365, ainsi que les services d’infrastructure d’AWS et Azure, et elles peuvent utiliser une plateforme de cloud pour le développement, le stockage en cloud, etc. Ainsi, sécuriser ces environnements constitue pour les entreprises un bon moyen de commencer leur parcours SDP/ZTNA, car le SDP n’est pas lié à un cloud ou à un réseau particulier : il sécurise chaque connexion en fonction de la politique, quel que soit l’endroit d’où les utilisateurs se connectent ou l’endroit où sont hébergées les applications.

Réduction des risques liés aux tiers
La plupart des utilisateurs tiers bénéficient d’un accès trop privilégié, ce qui crée une faille de sécurité pour l’entreprise. Les SDP réduisent considérablement les risques liés aux tiers en s’assurant que les utilisateurs externes n’ont jamais accès au réseau et que seuls les utilisateurs autorisés ont accès aux applications qu’ils sont habilités à utiliser. Les utilisateurs ne peuvent même pas voir les applications auxquelles ils n'ont pas le droit d'accéder.

Intégration accélérée des fusions et acquisitions
Avec les fusions et acquisitions traditionnelles, l’intégration informatique peut durer des années, car les entreprises doivent faire converger les réseaux et gérer le chevauchement des IP, des processus incroyablement complexes. Le SDP simplifie le processus et réduit le temps nécessaire pour garantir la réussite des fusions et acquisitions et apporte une valeur immédiate à l’entreprise.

Pour en savoir plus sur la technologie SDP/ZTNA, consultez le principal service ZTNA, ZPA. Vous pouvez également effectuer un essai gratuit de ZPA pendant 7 jours !

Rapport de Cybersecurity Insiders sur l'adoption des stratégies Zero Trust en 2019

Lire le rapport

Guide de l'architecte réseau pour l'adoption de ZTNA

Lire le guide

Accès Réseau "Zero Trust" : Une bonne idée pour les responsables IT

Lire le livre blanc

SDP vs. VPN

Lire le blog