Zpedia 

/ Qu’est-ce que Zero Trust Network Access ?

Qu’est-ce que Zero Trust Network Access ?

Le ZTNA (accès au réseau Zero Trust), également connu sous le nom de périmètre défini par logiciel (SDP pour « software-defined perimeter »), désigne un ensemble de technologies et de fonctionnalités qui permettent un accès sécurisé aux applications internes pour les utilisateurs à distance. Il fonctionne sur un modèle adaptatif de confiance, où celle-ci n’est jamais implicite, et où l’accès est accordé selon le principe du « besoin de savoir » et du moindre privilège, défini par des politiques granulaires. Le ZTNA apporte aux utilisateurs distants une connectivité sécurisée aux applications privées sans leur donner accès au réseau ni exposer des applications à Internet.

Obtenir le guide du marché pour ZTNA de Gartner
Zero trustPersonnel hybrideSurveillance de l'expérience digitale
  1. Fonctionnement
  2. ZTNA et VPN
  3. Avantages
  4. Cas d'utilisation
  5. Types
  6. Comment le mettre en œuvre
  7. Considérations
  8. Zscaler ZTNA
  9. Ressources suggérées
  10. Autres thèmes similaires

Comment fonctionne ZTNA ?

La sécurité Zero Trust est un terme à la mode ces temps-ci. Alors que de nombreuses entreprises ont réorienté leurs priorités vers l’adoption du Zero Trust, le ZTNA (accès au réseau Zero Trust) représente la stratégie qui permet de mettre en œuvre un modèle Zero Trust efficace.

Le parcours vers le Zero Trust en tant qu’idéologie est vague ; c’est pourquoi le ZTNA fournit un cadre clair et défini destiné aux entreprises. Il s’agit également d’un composant du modèle de sécurité SASE (Secure Access Service Edge), qui, outre le modèle ZTNA, comprend un pare-feu de nouvelle génération (NGFW), un réseau SD-WAN et d’autres services dans une plateforme cloud native.

Alors que le besoin de sécuriser le personnel à distance est devenu crucial, les solutions centrées sur le réseau, telles que les réseaux privés virtuels (VPN) et les pare-feu, créent une surface d’attaque susceptible d’être exploitée. Le modèle ZTNA adopte une approche fondamentalement différente pour fournir un accès à distance sécurisé aux applications internes, en se basant sur quatre principes fondamentaux :

  1. Le ZTNA dissocie complètement la gestion de l’accès aux applications de l’accès au réseau. Cette dissociation réduit les risques pour le réseau, tels que l’infection par des dispositifs infectés, et n’accorde l’accès à des applications spécifiques qu’aux utilisateurs autorisés qui ont été authentifiés.
  2. Le ZTNA établit uniquement des connexions sortantes, garantissant ainsi que les utilisateurs non autorisés n’ont aucune visibilité sur l’infrastructure du réseau et des applications. Les adresses IP ne sont jamais visibles sur Internet, créant ainsi un « darknet » qui rend le réseau indétectable.
  3. La segmentation native des applications de ZTNA garantit qu’une fois les utilisateurs autorisés, l’accès aux applications est accordé au cas par cas. Les utilisateurs autorisés n’ont accès qu’à des applications spécifiques plutôt qu’à tout le réseau. La segmentation évite un accès trop permissif, ainsi que le risque de déplacement latéral de malwares et autres menaces.
  4. Le ZTNA adopte une approche utilisateur-application plutôt qu’une approche traditionnelle de la sécurité du réseau. Le réseau est relégué au second plan, et Internet devient le nouveau réseau d’entreprise, exploitant les avantages des micro-tunnels TLS chiffrés de bout en bout au lieu du MPLS.

Image

 

Quote

ZTNA améliore la flexibilité, l'agilité et l'évolutivité, permettant aux écosystèmes numériques de fonctionner sans exposer les services directement à Internet, réduisant ainsi les risques d'attaques par déni de service distribué.

Gartner, Guide du marché pour Zero Trust Network Access, avril 2019

D’un point de vue architectural, le ZTNA fonctionne de manière fondamentalement différente des solutions centrées sur le réseau. Le modèle ZTNA s’exécute sur un périmètre défini par logiciel ou SDP, qui distribue l’accès aux applications internes en fonction de l’identité de l’utilisateur. Cela supprime les frais généraux liés à la gestion des appareils. Le ZTNA aide également les entreprises à simplifier les piles entrantes car elles n’ont plus besoin de leurs VPN et concentrateurs VPN, de leur protection DDoS, de leur équilibrage de charge global et de leurs appliances de pare-feu.

Il existe deux principaux modèles d’architecture ZTNA. Cet article est consacré à l’architecture ZTNA initiée par le service.

Consultez le Guide du marché Gartner sur l’accès réseau Zero Trust pour plus de détails.

Quelle est la différence entre un VPN et ZTNA ?

Parmi les solutions de sécurité traditionnelles les plus populaires utilisées aujourd’hui, les VPN sont censés simplifier la gestion des accès en permettant aux utilisateurs finaux d’accéder en toute sécurité à un réseau, et donc aux ressources de l’entreprise, via un tunnel désigné, généralement avec une authentification unique (SSO).

Pendant de nombreuses années, les VPN se sont révélés efficaces pour les employés qui devaient travailler à distance pendant un jour ou deux. Cependant, alors que de plus en plus de personnes ont adopté le télétravail à long terme, le manque d’évolutivité combiné aux coûts élevés et aux exigences de maintenance ont rendu les VPN inefficaces. De plus, l’adoption rapide du cloud public a non seulement compliqué l’application des politiques de sécurité à ce nouvel éventail de télétravailleurs, mais a également impacté l’expérience utilisateur.

Toutefois, le principal problème des VPN réside dans la surface d’attaque qu’ils créent. Tout utilisateur ou entité disposant des bonnes informations d’identification SSO peut se connecter à un VPN et se déplacer latéralement sur le réseau, ce qui lui donne accès à toutes les ressources et données que le VPN était censé protéger.

Le ZTNA sécurise l’accès des utilisateurs en l’accordant selon le principe du moindre privilège. Plutôt que d’accorder la confiance sur la base d’informations d’identification correctes, le modèle Zero Trust ne permet l’authentification que si le contexte est correct, c’est-à-dire si l’utilisateur, l’identité, l’appareil et l’emplacement concordent tous.

En outre, le ZTNA fournit un accès granulaire plutôt qu’un accès au réseau. Les utilisateurs sont connectés directement et en toute sécurité aux applications et aux données dont ils ont besoin, ce qui empêche tout déplacement latéral d’utilisateurs malveillants. De plus, les connexions des utilisateurs étant directes, les conditions d’utilisation sont considérablement améliorées en utilisant un cadre ZTNA.

Avantages de ZTNA

Aujourd’hui plus que jamais, les entreprises découvrent les avantages qu’un modèle ZTNA peut offrir. Voici quelques-unes des principales raisons pour lesquelles les entreprises optent pour ce changement.

  • Nul besoin d’appliances traditionnelles : le ZTNA permet aux entreprises d’abandonner les appliances d’accès à distance traditionnelles, telles que les VPN, et de tirer parti d’une solution de contrôle 100 % logicielle.
  • Expériences utilisateur homogènes : avec le ZTNA, le trafic utilisateur n’est pas soumis au backhauling via le data center. Au lieu de cela, les utilisateurs bénéficient d’un accès rapide et direct à l’application souhaitée. 
  • Évolutivité sans effort : un service cloud ZTNA facilite la mise à l’échelle de la capacité. Une entreprise exploitera simplement des licences supplémentaires.
  • Déploiement rapide : contrairement à d’autres solutions dont le déploiement peut prendre des semaines, voire des mois, le ZTNA peut être déployé de n’importe où et en à peine quelques jours.

 

Avantages de ZTNA en matière de sécurité

Le ZTNA ne contribue pas uniquement à la flexibilité des entreprises ; il améliore également considérablement leur sécurité globale en offrant les avantages suivants :

  • Infrastructure invisible : le ZTNA permet aux utilisateurs d’accéder aux applications sans les connecter au réseau de l’entreprise. Cela élimine les risques pour le réseau tout en maintenant l’infrastructure complètement invisible.
  • Davantage de contrôle et de visibilité : la gestion des solutions ZTNA est simple grâce à un portail d’administration centralisé assorti de contrôles granulaires. Visualisez tous les utilisateurs et l’activité des applications en temps réel, et créez des politiques d’accès pour les groupes d’utilisateurs ou les utilisateurs individuels.
  • Segmentation des applications simplifiée : étant donné que le ZTNA n’est pas lié au réseau, les entreprises peuvent segmenter l’accès à des applications individuelles plutôt que d’avoir à effectuer une segmentation complexe du réseau.

Principaux cas d'utilisation du ZTNA

ZTNA propose de nombreux cas d’utilisation de la sécurité du cloud. La plupart des entreprises choisissent de commencer par l’un de ces quatre cas.

Alternative au VPN

Les VPN sont peu pratiques et lents pour les utilisateurs, offrent une sécurité médiocre et sont difficiles à gérer. C’est pourquoi les entreprises veulent réduire ou éliminer leur dépendance à leur égard. Gartner prévoit que « d’ici 2023, 60 % des entreprises supprimeront progressivement la plupart de leurs VPN d’accès à distance au profit de ZTNA ».

Accès multicloud sécurisé

La sécurisation de l’accès hybride et multicloud est le point de départ le plus courant du parcours ZTNA des entreprises. Les sociétés étant de plus en plus nombreuses à adopter des applications et des services cloud, 37 % d’entre elles se tournent vers le ZTNA pour la sécurité et le contrôle d’accès de leurs stratégies multicloud.

Réduire les risques liés aux tiers

La plupart des utilisateurs tiers bénéficient d’un accès trop privilégié et accèdent aux applications en utilisant des appareils non gérés, ce qui introduit des risques. Le ZTNA réduit considérablement les risques liés aux tiers en s’assurant que les utilisateurs externes n’ont jamais accès au réseau et que seuls les utilisateurs autorisés peuvent accéder aux applications autorisées.

Accélérer les fusion et acquisitions

Dans le cadre des fusions et acquisitions traditionnelles, l’intégration peut durer plusieurs années, car les entreprises doivent rapprocher les réseaux et gérer les adresses IP qui se chevauchent. Le ZTNA réduit et simplifie le temps et la gestion nécessaires pour assurer la réussite des fusions et acquisitions, ce qui permet d’apporter une valeur immédiate à l’entreprise.

Types de ZTNA

Le modèle ZTNA est flexible dans le sens où il peut évoluer pour protéger toutes les facettes importantes de votre entreprise. Examinons plus en détail ces différents modèles de ZTNA.

  • ZTNA pour la protection des utilisateurs : ce modèle garantit que lorsqu’un utilisateur se connecte à une application, il est dirigé directement vers celle-ci sans entrer en contact avec Internet et, potentiellement, avec des menaces dommageables. Pour ce faire, il s’assure que l’utilisateur répond aux critères d’authentification établis.
  • ZTNA pour la protection des charges de travail : la sécurité est souvent négligée lors de la création d’applications ou de la définition de cadres de communication. Le ZTNA empêche la compromission de ces charges de travail en neutralisant tout déplacement latéral des menaces et toute perte de données. Vous pourrez ainsi protéger les applications depuis leur conception jusqu’à leur exécution et leur communication en toute sécurité.
  • ZTNA pour la protection des appareils : les terminaux sont plus menacés que jamais, tout particulièrement avec l’avènement du BYOD (utilisation d’appareils personnels). Grâce à un cadre ZTNA complet, vous pouvez vous assurer que les données transmises vers et depuis ces appareils sont protégées tout au long de leur parcours, et que les menaces sont incapables de trouver un moyen de s’infiltrer.

Comment mettre en œuvre ZTNA

La transformation Zero Trust prend du temps, mais c’est une nécessité pour les entreprises hybrides modernes. Examinons trois éléments fondamentaux de la mise en œuvre du modèle Zero Trust.

  • Connaissance et conviction : vous devez comprendre les nouvelles et meilleures façons d’utiliser la technologie pour réduire les coûts, réduire la complexité et faire progresser vos objectifs.
  • Technologies révolutionnaires : renoncez aux solutions traditionnelles qui ne sont plus adaptées après toutes les transformations qu’ont connues Internet, les menaces et les effectifs au cours des trois dernières décennies.
  • Changement de culture et d’état d’esprit : favorisez le succès en faisant participer vos équipes. Lorsque les professionnels de l’informatique comprennent les avantages de Zero Trust, ils commencent également à y adhérer.

Considérations relatives au ZTNA

Dans le Guide du marché pour le Zero Trust Network Access, Steve Riley, Neil MacDonald, et Lawrence Orans soulignent plusieurs éléments que les entreprises doivent prendre en compte lors du choix d’une solution ZTNA :

  1. Le fournisseur exige-t-il l’installation d’un agent endpoint ? Quels sont les systèmes d’exploitation pris en charge ? Quels appareils mobiles sont concernés ? Dans quelle mesure l’agent s’adapte-t-il en présence d’autres agents ? Remarque : les technologies ZTNA qui ne prennent pas en charge l’usage sans client sont souvent incapables de prendre en charge les cas d’utilisation d’appareils non gérés (par exemple l’accès de tiers, les appareils personnels à usage professionnel, ou BYOD).
  2. L’offre prend-elle en charge uniquement les applications Web, ou les applications traditionnelles (data center) peuvent-elles bénéficier des mêmes avantages en matière de sécurité ?
  3. Certains produits ZTNA sont fournis en partie ou en totalité sous forme de services basés sur le cloud. Répondent-ils aux exigences de sécurité et de résidence de l’entreprise ? Remarque : Gartner recommande aux entreprises de privilégier les fournisseurs qui proposent ZTNA en tant que service, car les services sont plus faciles à déployer, plus disponibles et offrent une meilleure sécurité contre les attaques DDoS.
  4. Dans quelle mesure la dissimulation partielle ou complète, l’autorisation ou l’interdiction de connexions entrantes, fait-elle partie des exigences de sécurité de l’application isolée ?
  5. Quelles sont les normes d’authentification prises en charge par le courtier de confiance ? L’intégration avec un annuaire local ou des services d’identité basés sur le cloud est-elle disponible ? Le courtier de confiance s’intègre-t-il au fournisseur d’identité existant de l’entreprise ?
  6. Quelle est la diversité géographique des points d’entrée et de sortie du fournisseur (appelés emplacements périphériques et/ou points de présence) dans le monde ?
  7. Après l’authentification de l’utilisateur et du mot de passe de son appareil, le courtier de confiance demeure-t-il sur le chemin d’accès aux données ?
  8. L’offre s’intègre-t-elle aux fournisseurs de gestion unifiée des terminaux (UEM), ou l’agent local peut-il déterminer l’état de santé et la sécurité des appareils en tant que facteurs dans la décision d’accès ? À quels fournisseurs UEM le fournisseur ZTNA est-il associé ?

Il s’agit là de points importants à considérer lorsque vous recherchez le fournisseur ZTNA qui répond aux objectifs et à la vision à long terme de votre entreprise. Pour en savoir plus sur le ZTNA, consultez notre principal service ZTNA, Zscaler Private Access

Zscaler Zero Trust Network Access

Nous sommes fiers de proposer Zscaler Private Access™, la plateforme ZTNA la plus déployée au monde, conçue sur l’architecture Zero Trust unique de Zscaler. ZPA applique les principes du moindre privilège pour offrir aux utilisateurs des connexions directes et sécurisées aux applications privées tout en éliminant les accès non autorisés et les déplacements latéraux. En tant que service cloud natif, ZPA peut être déployé en quelques heures pour remplacer les VPN et outils d’accès à distance traditionnels par une plateforme Zero Trust globale.

Zscaler Private Access fournit les avantages suivants :

  • Sécurité sans égal, au-delà des VPN et des pare-feu traditionnels : les utilisateurs se connectent directement aux applications, et non au réseau, minimisant ainsi la surface d’attaque et éliminant les déplacements latéraux.
  • Fin de la compromission des applications privées : une protection des applications unique en son genre, avec prévention, tromperie et isolation des menaces inline, minimise le risque de compromission des utilisateurs.
  • Productivité supérieure pour le personnel hybride moderne : l’accès ultra-rapide aux applications privées s’étend de manière homogène aux utilisateurs distants, au siège, aux sites distants et aux partenaires tiers
  • Plateforme ZTNA unifiée pour les utilisateurs, les charges de travail et les appareils : les employés et les partenaires peuvent se connecter en toute sécurité aux applications privées, aux services et aux dispositifs OT/IoT grâce à la plateforme ZTNA la plus complète du marché.
promotional background

Découvrez Zscaler Private Access à l’œuvre.

Solliciter une démo

Ressources suggérées

Guide du marché Gartner pour le Zero Trust Network Access
Télécharger le rapport complet
Guide de l’architecte réseau pour l’adoption de ZTNA
Lire le guide
Infographie Zscaler Security Service Edge (SSE)
Consulter cette ressource
Pourquoi les leaders informatiques devraient-ils considérer une stratégie ZTNA (Zero Trust Network Access)
Lire notre livre blanc
Rapport d’adoption Zero Trust Cybersecurity Insiders 2019
Lire le rapport
Sécuriser la transformation cloud avec une approche Zero Trust
Lire le livre blanc
01 / 04