Qu’est-ce qu’une architecture Zero Trust ?

Architecture Zero Trust et Accès réseau Zero Trust : quelle est la différence ?

Avant d’examiner plus en détail les différentes architectures Zero Trust, faisons la distinction entre ces deux termes intimement liés :

• Une architecture Zero Trust (ZTA) est une conception qui répond aux principes de Zero Trust, tels que la gestion hermétique des accès, l’authentification stricte des appareils et des utilisateurs, et une solide segmentation. Elle se distingue d’une architecture cloisonnée, et est conçue à bien des égards pour la remplacer, qui fait confiance par défaut à tout ce qui se trouve à l’intérieur du périmètre.
• L’accès réseau Zero Trust (ZTNA) est un cas d’utilisation de Zero Trust qui garantit aux utilisateurs un accès sécurisé aux applications et aux données lorsque les utilisateurs, les applications ou les données ne se trouvent pas à l’intérieur d’un périmètre de sécurité traditionnel, situation de plus en plus courante à l’ère du cloud et du travail hybride.

Pour combiner les deux, l’architecture Zero Trust fournit la base dont les entreprises ont besoin pour proposer un ZTNA et rendre leurs systèmes, services, API, données et processus accessibles de n’importe où, à tout moment et depuis n’importe quel appareil.

Comprendre la nécessité d’une architecture Zero Trust

Au cours des trois dernières décennies, les entreprises ont conçu et reconfiguré des réseaux en étoile complexes et étendus. Dans ce type d’environnement, les utilisateurs et les filiales se connectent au data center par le biais de connexions privées. Les utilisateurs doivent se trouver sur le réseau pour accéder aux applications dont ils ont besoin.

Les réseaux en étoile sont sécurisés par des piles d’appliances tels que des VPN et des pare-feu, selon l’architecture connue sous le nom de sécurité réseau cloisonnée. Cette approche a bien servi les entreprises lorsque leurs applications étaient hébergées dans leurs data centers, mais aujourd’hui, avec l’essor des services cloud, les technologies émergentes et les préoccupations croissantes en matière de sécurité, elle les ralentit.

Actuellement, les entreprises mènent une transformation digitale. Elles adoptent le cloud, la mobilité, l’IA, l’Internet des objets (IoT) et la technologie opérationnelle (OT) pour gagner en agilité et en compétitivité. Les utilisateurs sont partout, et les données des entreprises ne se trouvent plus exclusivement dans leurs data centers. Pour collaborer et rester productifs, les utilisateurs veulent un accès direct aux applications, de n’importe où et à tout moment.

Le routage du trafic vers le data center pour atteindre en toute sécurité les applications dans le cloud n’a plus de sens. C’est pourquoi les entreprises abandonnent le modèle de réseau en étoile au profit d’un modèle qui assure une connectivité directe au cloud : une architecture Zero Trust.

Cette vidéo donne un aperçu simple mais détaillé de la transformation digitale sécurisée.

Regarder

What Are the Core Principles of Zero Trust?

Zero trust is more than the sum of user identity, segmentation, and secure access. It's a security strategy upon which to build a complete security ecosystem. At its core are three tenets:

1. Terminate every connection: Unlike the passthrough inspection techniques common to legacy technologies (e.g., firewalls), an effective zero trust architecture terminates every connection to allow an inline proxy architecture to inspect all traffic, including encrypted traffic, in real time—before it reaches its destination.
2. Protect data using granular context-based policies: Zero trust policies verify access requests and rights based on context, including user identity, device, location, type of content, and the application being requested. Policies are adaptive, so validation and user access privileges are continually reassessed as context changes.
3. Reduce risk by eliminating the attack surface: With a zero trust approach, users connect directly to apps and resources, never to networks (see ZTNA). Direct connections eliminate the risk of lateral movement and prevent compromised devices from infecting other resources. Plus, users and apps are invisible to the internet, so they can’t be discovered or attacked.

What Are the 5 Pillars of Zero Trust Architecture?

The five “pillars” of zero trust were first laid out by the US Cybersecurity and Infrastructure Security Agency (CISA) to guide the key zero trust capabilities government agencies (and other organizations) should pursue as in their zero trust strategies.

The five pillars are:

• Identity—moving to a least-privileged access approach to identity management.
• Devices—ensuring the integrity of the devices used access services and data.
• Networks—aligning network segmentation and protections according to the needs of their application workflows instead of the implicit trust inherent in traditional network segmentation.
• Applications and workloads—integrating protections more closely with application workflows, giving access to applications based on identity, device compliance, and other attributes.
• Data—shifting to a data-centric approach to cybersecurity, starting with identifying, categorizing, and inventorying data assets.

Each capability can progress at its own pace and may be further along than others, and at some point, cross-pillar coordination (emphasizing interoperability and dependencies) is needed to ensure compatibility. This allows for a gradual evolution to zero trust, distributing costs and effort over time.

Comment fonctionne une architecture Zero Trust

Le Zero Trust part du principe que tout ce qui se trouve sur le réseau est malveillant ou compromis, et que l’accès à une application n’est accordé qu’après vérification de l’identité de l’utilisateur, de la posture de l’appareil utilisé et du contexte opérationnel, et après application des règles et politiques en vigueur. Dans ce modèle, l’ensemble du trafic doit être journalisé et inspecté, ce qui exige un degré de visibilité que les contrôles de sécurité traditionnels ne peuvent satisfaire.

Une véritable approche Zero Trust minimise la surface d’attaque de votre entreprise, empêche le déplacement latéral des menaces et réduit le risque de violation. Elle est déployée avec une architecture basée sur un proxy qui connecte les utilisateurs directement aux applications plutôt qu’au réseau, ce qui permet d’appliquer des contrôles supplémentaires avant que les connexions ne soient autorisées ou bloquées.

Pour garantir qu’aucune confiance implicite n’est jamais accordée, une architecture Zero Trust efficace soumet chaque connexion à une série de contrôles avant d’établir une connexion. Il s’agit d’un processus en trois étapes :

1. Vérifier l’identité et le contexte. Dès que l’utilisateur/appareil, la charge de travail ou l’appareil IoT/OT sollicite une connexion, quel que soit le réseau sous-jacent, l’architecture Zero Trust met d’abord fin à la connexion, puis vérifie l’identité et le contexte en analysant l’initiateur, le motif et la destination de la demande.
2. Contrôler le risque. Une fois l’identité et le contexte de l’initiateur de la demande vérifiés, et les règles de segmentation appliquées, l’architecture Zero Trust évalue le risque associé à la demande de connexion et inspecte le trafic à la recherche de cybermenaces ou de données sensibles.
3. Appliquer la politique. Enfin, un score de risque est calculé pour l’utilisateur, la charge de travail ou l’appareil afin de déterminer s’il peut être autorisé ou restreint. Si l’entité est autorisée, l’architecture Zero Trust établit une connexion sécurisée à Internet, à l’application SaaS ou à l’environnement IaaS/PaaS.

Avantages d’une architecture Zero Trust

Une architecture Zero Trust fournit l’accès utilisateur précis et contextuel dont vous avez besoin pour évoluer à la vitesse de l’entreprise moderne tout en protégeant vos utilisateurs et vos données des programmes malveillants et autres cyberattaques. En tant que fondement de ZTNA, une architecture Zero Trust performante vous aide à :

• Accorder un accès sûr et rapide aux données et aux applications pour les télétravailleurs, y compris les employés et les partenaires, où qu’ils se trouvent, en améliorant l’expérience utilisateur.
• Fournir un accès à distance fiable, ainsi que gérer et appliquer plus facilement la politique de sécurité et de manière plus cohérente que vous ne le pourriez avec les technologies traditionnelles telles que les VPN.
• Protéger les données et les applications sensibles sur site ou dans un environnement cloud, en transit ou au repos, avec des contrôles de sécurité stricts, notamment le chiffrement, l’authentification, les vérifications de l’état, etc.
• Mettre fin aux menaces internes en n’accordant plus une confiance implicite par défaut à tout utilisateur ou appareil se trouvant dans le périmètre de votre réseau.
• Limiter les déplacements latéraux grâce à des politiques d’accès granulaires jusqu’au niveau des ressources, réduisant ainsi la probabilité d’une violation.
• Détecter, répondre et récupérer plus rapidement et plus efficacement des violations réussies afin d’en atténuer l’impact.
• Obtenir une meilleure visibilité sur le quoi, le quand, le comment et le où des activités des utilisateurs et des entités grâce à la surveillance et à la journalisation détaillées des sessions et des actions entreprises.
• Évaluer en temps réel le risque auquel vous êtes exposé grâce à des journaux d’authentification détaillés, des contrôles de santé des appareils et des ressources, des analyses du comportement des utilisateurs et des entités, etc.

(Adapté de « Implementing a Zero Trust Architecture », une publication spéciale du National Institute of Standards and Technology [NIST])

Architecture One True Zero Trust : Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™ est une plateforme cloud native intégrée, fondée sur le principe d’un accès sur la base du moindre privilège et sur l’idée qu’aucun utilisateur, charge de travail ou appareil n’est intrinsèquement fiable. Au lieu de cela, la plateforme accorde un accès basé sur l’identité et le contexte, tel que le type d’appareil, l’emplacement, l’application et le contenu afin de négocier une connexion sécurisée entre un utilisateur, une charge de travail ou un appareil, sur n’importe quel réseau, de n’importe où, en fonction de la politique de l’entreprise.

Zero Trust Exchange aide votre entreprise à :

• Éliminer la surface d’attaque d’Internet et le déplacement latéral des menaces. Le trafic des utilisateurs ne touche jamais votre réseau. Au lieu de cela, les utilisateurs se connectent directement aux applications via des tunnels chiffrés un à un, empêchant ainsi leur découverte et les attaques ciblées.
• Améliorer l’expérience utilisateur. Contrairement aux architectures réseau statiques et traditionnelles dotées d’une « porte d’entrée » qui effectue le backhauling des données vers les centres de traitement, Zero Trust Exchange gère et optimise intelligemment les connexions directes vers n’importe quel cloud ou n’importe quelle destination Internet tout en appliquant des politiques et des protections adaptatives inline à la périphérie, aussi près que possible de l’utilisateur.
• S’intégrer de manière homogène avec les principaux fournisseurs de cloud, d’identité, de protection des terminaux et SecOps. Notre plateforme globale combine les fonctions de sécurité essentielles (par exemple, SWG, DLP, CASB, pare-feu, sandboxing) avec des technologies émergentes telles que l’isolation du navigateur, la surveillance de l’expérience digitale et ZTNA pour fournir une pile de sécurité du cloud complète.
• Réduire les coûts et la complexité. Zero Trust Exchange est simple à déployer et à gérer, sans avoir besoin de VPN ni de politiques complexes de pare-feu de périmètre réseau.
• Fournir une sécurité cohérente à grande échelle. Zscaler exploite le plus grand cloud de sécurité au monde, réparti dans plus de 150 data centers à travers le monde, traitant plus de 240 milliards de transactions en période de pointe et prévenant 8,4 milliards de menaces chaque jour.