Ressources > Glossaire des termes de sécurité > Qu’est-ce qu’une architecture Zero Trust

Qu’est-ce qu’une architecture Zero Trust ?

Définition d’une architecture Zero trust

L’architecture Zero Trust est une architecture de sécurité conçue pour réduire la surface d’attaque d’un réseau, empêcher le déplacement latéral des menaces et réduire le risque de violation des données basée sur les principes fondamentaux du modèle Zero Trust, selon lequel une confiance implicite n’est jamais accordée à un utilisateur ou à un appareil.

Le modèle de sécurité Zero Trust délaisse le « périmètre réseau » traditionnel, à l’intérieur duquel tous les périphériques et utilisateurs sont considérés comme fiables et bénéficient d’autorisations étendues, au profit de contrôles d’accès sur la base du moindre privilège, d’une microsegmentation granulaire et d’une authentification multifacteur (MFA).
 

Architecture Zero Trust et Accès réseau Zero Trust

Avant d’examiner plus en détail les différentes architectures Zero Trust, faisons la distinction entre ces deux termes intimement liés :

  • Une architecture Zero Trust (ZTA) est une conception qui répond aux principes de Zero Trust, tels que la gestion hermétique des accès, l’authentification stricte des appareils et des utilisateurs, et une solide segmentation. Elle se distingue d’une architecture cloisonnée, et est conçue à bien des égards pour la remplacer, qui fait confiance par défaut à tout ce qui se trouve à l’intérieur du périmètre.
  • L’accès réseau Zero Trust (ZTNA) est un cas d’utilisation de Zero Trust qui garantit aux utilisateurs un accès sécurisé aux applications et aux données lorsque les utilisateurs, les applications ou les données ne se trouvent pas à l’intérieur d’un périmètre de sécurité traditionnel, situation de plus en plus courante à l’ère du cloud et du travail hybride.

Pour combiner les deux, l’architecture Zero Trust fournit la base dont les entreprises ont besoin pour proposer un ZTNA et rendre leurs systèmes, services, API, données et processus accessibles de n’importe où, à tout moment et depuis n’importe quel appareil.

Avantages d’une architecture Zero Trust

Une architecture Zero Trust fournit l’accès utilisateur précis et contextuel dont vous avez besoin pour évoluer à la vitesse de l’entreprise moderne tout en protégeant vos utilisateurs et vos données des programmes malveillants et autres cyberattaques. En tant que fondement de ZTNA, une architecture Zero Trust performante vous aide à :

  • Accorder un accès sûr et rapide aux données et aux applications pour les télétravailleurs, y compris les employés et les partenaires, où qu’ils se trouvent, en améliorant l’expérience utilisateur.
  • Fournir un accès à distance fiable ainsi que gérer et appliquer plus facilement la politique de sécurité et de manière plus cohérente qu’avec les technologies traditionnelles telles que les VPN.
  • Protéger les données et les applications sensibles sur site ou dans un environnement cloud, en transit ou au repos, avec des contrôles de sécurité stricts, notamment le chiffrement, l’authentification, etc.
  • Mettre fin aux menaces internes en n’accordant plus une confiance implicite par défaut à tout utilisateur ou appareil se trouvant dans le périmètre de votre réseau.
  • Limiter les déplacements latéraux grâce à des politiques d’accès granulaires jusqu’au niveau des ressources, réduisant ainsi la probabilité d’une violation.
  • Détecter, répondre et récupérer plus rapidement et plus efficacement des violations réussies afin d’en atténuer l’impact.
  • Obtenir une meilleure visibilité sur le quoi, le quand, le comment et le où des activités des utilisateurs et des entités grâce à la surveillance et à la journalisation détaillées des sessions et des actions entreprises.
  • Évaluer en temps réel le risque auquel vous êtes exposé grâce à des journaux d’authentification détaillés, des contrôles de santé des appareils et des ressources, des analyses du comportement des utilisateurs et des entités, etc.

(Adapté en partie de « Implementing a Zero Trust Architecture », une publication spéciale du NIST)

Comment fonctionne l’architecture Zero Trust ?

Avant de poursuivre, revenons en arrière et résumons le fonctionnement d’une architecture réseau traditionnelle.

Les réseaux étendus (WAN) traditionnels ont été construits selon une conception en étoile, reliant les bureaux distants aux applications dans un data center. Pour accéder aux applications du réseau de confiance, il suffit à un utilisateur de se trouver à l’intérieur de son périmètre, qui est sécurisé par des pare-feu de périmètre, d’où l’expression « sécurité cloisonnée ».

De nos jours, les employés sont partout et les applications se sont déplacées vers les SaaS et les clouds publics, néanmoins, les architectures traditionnelles exigent toujours que les utilisateurs se trouvent sur le réseau de l’entreprise (en local ou via un VPN) pour accéder aux applications, même dans le cloud. D’autre part, l’utilisation des clouds publics élargit votre surface d’attaque et les risques auxquels vous êtes exposés, et le backhauling de tout le trafic à travers les pare-feu de périmètre crée une congestion de la sécurité du réseau qui, au mieux, vous ralentit et, au pire, fournit une protection inappropriée.

C’est la raison pour laquelle les entreprises modernes ont besoin d’une architecture Zero Trust. Regardez cette courte vidéo pour en savoir plus.

L’architecture Zero Trust (ZTNA) fournit une segmentation utilisateur vers application qui sécurise l’accès d’une manière fondamentalement différente de la segmentation réseau et des autres modèles traditionnels. Voyons maintenant comment ZTNA est mise en œuvre et fournie.

Deux approches pour la mise en œuvre d’un accès réseau Zero Trust

Les fournisseurs de solutions Zero Trust peuvent vous aider à déployer ZTNA deux manières différentes.
 

ZTNA initié par un terminal

Ici, un terminal ou un utilisateur final initie l’accès à une application. Un agent léger installé sur un terminal communique avec un contrôleur, qui authentifie l’identité de l’utilisateur et fournit la connectivité à une application spécifique à laquelle l’utilisateur est autorisé à accéder. La nécessité d’installer un agent ou un autre logiciel local sur les appareils mobiles et les appareils BYOD/IoT non gérés peut compliquer, voire rendre impossible, la mise en œuvre de ZTNA initié par un terminal.
 

ZTNA initié par un service

Ici, un courtier initie les connexions entre les utilisateurs et les applications. Un connecteur résidant dans votre data center ou dans le cloud établit les connexions de vos applications d’entreprise vers le courtier. Après l’authentification de l’utilisateur, le trafic passe par le service ZTNA et parvient directement au terminal de l’utilisateur. Ceci ne nécessite pas d’agent de terminal, ce qui permet de sécuriser les appareils non gérés et d’accorder un accès aux partenaires et aux clients. Certains ZTNA initiés par un service peuvent utiliser un accès par navigateur aux applications Web.

Les deux modèles d’accès réseau Zero Trust

Au-delà de votre modèle de mise en œuvre, vous pouvez adopter ZTNA en tant que produit autonome ou en tant que service. Chaque approche présente des caractéristiques uniques, et ce sont les besoins spécifiques de votre entreprise, sa stratégie de sécurité et son écosystème qui déterminent en fin de compte le meilleur choix.
 

ZTNA en tant que produit autonome

Les offres ZTNA autonomes vous obligent à déployer et à gérer tous les éléments du produit. L’infrastructure se situe à la périphérie de votre environnement, que ce soit dans votre data center ou dans un cloud, et assure des connexions sécurisées entre les utilisateurs et les applications. Certains fournisseurs d’infrastructure en tant que service cloud proposent également des fonctionnalités ZTNA.

Caractéristiques

  • Votre entreprise est entièrement responsable du déploiement, de la gestion et de la maintenance de l’infrastructure ZTNA.
  • Certains fournisseurs proposent à la fois des offres ZTNA autonomes et des offres de services cloud.
  • Le déploiement autonome convient particulièrement aux entreprises réfractaires au cloud.
Modèle conceptuel de ZTNA initié par un terminal

ZTNA en tant que service cloud

Avec ZTNA en tant que service hébergé dans le cloud, vous utilisez l’infrastructure cloud d’un fournisseur pour l’application des politiques de sécurité. Vous achetez des licences d’utilisation et déployez des connecteurs légers qui se placent devant vos applications dans tous les environnements, et le fournisseur assure la connectivité, la capacité et l’infrastructure. L’accès est établi par des connexions négociées entre l’utilisateur et l’application, ce qui permet de dissocier efficacement l’accès aux applications de l’accès au réseau sans jamais exposer les adresses IP à Internet.

Caractéristiques

  • Le déploiement est plus facile puisque vous n’avez pas besoin d’infrastructure.
  • La gestion est plus simple, avec un portail d’administration unique pour une exécution globale.
  • L’automatisation sélectionne les voies de trafic optimales pour fournir l’accès le plus rapide à tous les utilisateurs à l’échelle mondiale.
Modèle conceptuel de ZTNA initié par un terminal

 

Certains services fournis dans le cloud permettent de déployer un package logiciel sur site. Le logiciel s’exécute sur votre infrastructure mais est toujours fourni dans le cadre du service et géré par le fournisseur.

En savoir plus sur ZTNA sur site.

Vidéo : Comprendre l’architecture Zero Trust

 
Zscaler Zero Trust Network Access

Nous sommes fiers de proposer Zscaler Private Access™, la plateforme ZTNA la plus déployée au monde, construite sur l’architecture Zero Trust exclusive de Zscaler. ZPA applique les principes du moindre privilège pour offrir aux utilisateurs des connexions directes et sécurisées aux applications privées tout en éliminant les accès non autorisés et les déplacements latéraux. En tant que service cloud natif, ZPA peut être déployé en quelques heures pour remplacer les anciens VPN et outils d’accès à distance par une plateforme globale Zero Trust.

Zscaler Private Access assure :

Une sécurité sans égal, au-delà des VPN et des pare-feu traditionnels
Les utilisateurs se connectent directement aux applications, et non au réseau, ce qui minimise la surface d’attaque et élimine les déplacements latéraux.

La fin de la compromission des applications privées
Une protection des applications unique en son genre, avec prévention inline, tromperie et isolation des menaces, minimise le risque de compromission des utilisateurs.

Une productivité supérieure pour les équipes hybrides modernes
L’accès ultra-rapide aux applications privées s’étend de manière transparente aux utilisateurs distants, au siège, aux filiales et aux partenaires tiers.

Une plateforme ZTNA unifiée pour les utilisateurs, les charges de travail et les appareils
Les employés et les partenaires peuvent se connecter en toute sécurité aux applications privées, aux services et aux appareils OT/IoT grâce à la plateforme ZTNA la plus complète du marché.

Vous souhaitez en savoir plus ou voir Zscaler Private Access à l’œuvre ? Demandez sans plus attendre une démo personnalisée.