Qu’est-ce que Zero Trust Network Access ? ZTNA (accès au réseau Zero Trust), également connu sous le nom de périmètre défini par logiciel (SDP pour « software-defined perimeter »), désigne un ensemble de technologies et de fonctionnalités qui permettent un accès sécurisé aux applications internes pour les utilisateurs à distance. Il fonctionne sur un modèle adaptatif de confiance, où celle-ci n’est jamais implicite, et où l’accès est accordé selon le principe du « besoin de savoir » et du moindre privilège, défini par des politiques granulaires. ZTNA apporte aux utilisateurs distants une connectivité sécurisée aux applications privées sans leur donner accès au réseau ni exposer des applications à Internet.

Comment fonctionne ZTNA ?

La sécurité Zero Trust est un terme à la mode ces temps-ci. Alors que de nombreuses entreprises ont réorienté leurs priorités vers l’adoption de Zero Trust, ZTNA (accès au réseau Zero Trust) représente la stratégie qui permet de mettre en œuvre un modèle Zero Trust efficace.

Le chemin vers le Zero Trust en tant qu’idéologie est vague ; c’est pourquoi ZTNA fournit un cadre clair et défini destiné aux entreprises. Il s’agit également d’un composant du modèle de sécurité SASE (Secure Access Service Edge), qui, outre le modèle ZTNA, comprend un pare-feu de nouvelle génération (NGFW), un réseau SD-WAN et d’autres services dans une plateforme cloud native.

Alors que le besoin de sécuriser le personnel à distance est devenu crucial, les solutions centrées sur le réseau, telles que les réseaux privés virtuels (VPN) et les pare-feu, créent une surface d’attaque susceptible d’être exploitée. ZTNA adopte une approche fondamentalement différente pour fournir un accès à distance sécurisé aux applications internes, en se basant sur quatre principes fondamentaux :

1. ZTNA dissocie complètement la gestion de l’accès aux applications de l’accès au réseau. Cette isolation réduit les risques pour le réseau, tels que l’infection par des dispositifs infectés, et n’accorde l’accès à des applications spécifiques qu’aux utilisateurs autorisés qui ont été authentifiés.
2. ZTNA établit uniquement des connexions sortantes, garantissant ainsi que les utilisateurs non autorisés n’ont aucune visibilité sur l’infrastructure du réseau et des applications. Les adresses IP ne sont jamais visibles sur Internet, créant ainsi un « darknet » qui rend le réseau indétectable.
3. La segmentation native des applications de ZTNA garantit qu’une fois les utilisateurs autorisés, l’accès aux applications est accordé au cas par cas. Les utilisateurs autorisés n’ont accès qu’à des applications spécifiques plutôt qu’à tout le réseau. La segmentation évite un accès trop permissif ainsi que le risque de déplacement latéral de programmes malveillants et d’autres menaces.
4. ZTNA adopte une approche utilisateur-application plutôt qu’une approche traditionnelle de la sécurité du réseau. Le réseau est relégué au second plan, et Internet devient le nouveau réseau d’entreprise, exploitant les avantages des micro-tunnels TLS chiffrés de bout en bout au lieu de MPLS.

En ce qui concerne l’architecture, ZTNA fonctionne de manière fondamentalement différente des solutions centrées sur le réseau. Le modèle ZTNA s’exécute sur un périmètre défini par logiciel, ou SDP, qui distribue l’accès aux applications internes en fonction de l’identité de l’utilisateur. Cela supprime les frais généraux liés à la gestion des appareils. ZTNA aide également les entreprises à simplifier les piles entrantes car elles n’ont plus besoin de leurs VPN et concentrateurs VPN, de leur protection DDoS, de leur équilibrage de charge global et de leurs appliances de pare-feu.

Il existe deux principaux modèles d’architecture ZTNA. Cet article met en évidence l’architecture ZTNA initiée par le service.

Lire le Guide du marché Gartner pour le Zero Trust Network Access pour de plus amples informations.

Quelle est la différence entre un VPN et ZTNA ?

Parmi les solutions de sécurité traditionnelles les plus populaires utilisées aujourd’hui, les VPN sont censés simplifier la gestion des accès en permettant aux utilisateurs finaux d’accéder en toute sécurité à un réseau, et donc aux ressources de l’entreprise, via un tunnel désigné, généralement avec une authentification unique (SSO).

Pendant de nombreuses années, les VPN se sont révélés efficaces pour les employés qui devaient travailler à distance pendant un jour ou deux. Cependant, alors que de plus en plus de personnes ont adopté le télétravail à long terme, le manque d’évolutivité combiné aux coûts élevés et aux exigences de maintenance ont rendu les VPN inefficaces. De plus, l’adoption rapide du cloud public a non seulement compliqué l’application des politiques de sécurité à ce nouvel éventail de télétravailleurs, mais a également impacté l’expérience utilisateur.

Toutefois, le principal problème des VPN réside dans la surface d’attaque qu’ils créent. Tout utilisateur ou entité disposant des bonnes informations d’identification SSO peut se connecter à un VPN et se déplacer latéralement sur le réseau, ce qui lui donne accès à toutes les ressources et données que le VPN était censé protéger.

ZTNA sécurise l’accès des utilisateurs en l’accordant selon le principe du moindre privilège. Plutôt que d’accorder la confiance sur la base d’informations d’identification correctes, Zero Trust ne permet l’authentification que si le contexte est correct, c’est-à-dire si l’utilisateur, l’identité, l’appareil et l’emplacement concordent tous.

En outre, ZTNA fournit un accès granulaire plutôt qu’un accès au réseau. Les utilisateurs sont connectés directement et en toute sécurité aux applications et aux données dont ils ont besoin, ce qui empêche tout déplacement latéral d’utilisateurs malveillants. De plus, les connexions des utilisateurs étant directes, les conditions d’utilisation sont grandement améliorées en utilisant un cadre ZTNA.

Avantages de ZTNA

Aujourd’hui plus que jamais, les entreprises découvrent les avantages que peut leur procurer un modèle ZTNA. Voici quelques-unes des principales raisons pour lesquelles les entreprises franchissent le pas.

• Plus besoin d’appareils traditionnels : le modèle ZTNA permet aux entreprises de se libérer des appareils d’accès à distance traditionnels, tels que les VPN, et de tirer parti d’une solution d’accès 100 % logicielle. 
• Expériences utilisateur homogènes : avec ZTNA, le trafic utilisateur n’est pas soumis au backhauling via le data center. Au lieu de cela, les utilisateurs bénéficient d’un accès rapide et direct à l’application souhaitée. 
• Évolutivité sans heurts : un service ZTNA cloud facilite l’extension de la capacité. Une entreprise peut simplement utiliser des licences supplémentaires.
• Déploiement rapide : contrairement à d’autres solutions dont le déploiement peut prendre des semaines, voire des mois, ZTNA peut être déployé de n’importe où et en quelques jours seulement. 

Avantages de ZTNA en matière de sécurité

La solution ZTNA ne contribue pas simplement à la flexibilité des entreprises ; elle améliore aussi considérablement leur position globale en matière de sécurité. Pour ce faire, elle fournit les avantages suivants :

• Infrastructure invisible : ZTNA permet aux utilisateurs d’accéder aux applications sans les connecter au réseau de l’entreprise. Cela élimine les risques auxquels est exposé le réseau tout en maintenant l’infrastructure totalement invisible.
• Davantage de contrôle et de visibilité : les solutions ZTNA sont faciles à gérer grâce à un portail d’administration centralisé doté de contrôles granulaires. Visualisez tous les utilisateurs et l’activité des applications en temps réel, et créez des politiques d’accès pour des groupes d’utilisateurs ou des utilisateurs individuels.
• Segmentation simplifiée des applications : ZTNA n’étant pas lié au réseau, les entreprises peuvent segmenter l’accès jusqu’aux applications individuelles, plutôt que de devoir procéder à une segmentation complexe du réseau.

Principaux cas d'utilisation du ZTNA

ZTNA propose de nombreux cas d’utilisation de la sécurité du cloud. La plupart des entreprises choisissent de commencer par l’un de ces quatre cas.

Alternative VPN

Les VPN sont peu pratiques et lents pour les utilisateurs, offrent une sécurité médiocre et sont difficiles à gérer. C’est pourquoi les entreprises veulent réduire ou éliminer leur dépendance à leur égard. Gartner prévoit que « d’ici 2023, 60 % des entreprises supprimeront progressivement la plupart de leurs VPN d’accès à distance au profit de ZTNA ».

Accès multicloud sécurisé

La sécurisation de l’accès hybride et multicloud est le point de départ le plus courant du parcours ZTNA pour les entreprises. Les sociétés étant de plus en plus nombreuses à adopter des applications et des services cloud, 37 % d’entre elles se tournent vers ZTNA pour la sécurité et le contrôle d’accès de leurs stratégies multicloud.

Réduction des risques liés aux tiers

La plupart des utilisateurs tiers bénéficient d’un accès trop privilégié et accèdent aux applications en utilisant des appareils non gérés, ce qui introduit des risques. ZTNA réduit considérablement les risques liés aux tiers en s’assurant que les utilisateurs externes n’ont jamais accès au réseau et que seuls les utilisateurs autorisés peuvent accéder aux applications autorisées.

Intégration accélérée des fusions et acquisitions

Avec les fusions et acquisitions traditionnelles, l’intégration peut durer plusieurs années, car les entreprises doivent rapprocher les réseaux et gérer les adresses IP qui se chevauchent. ZTNA réduit et simplifie le temps et la gestion nécessaires pour assurer la réussite des fusions et acquisitions, ce qui permet d’apporter une valeur immédiate à l’entreprise.

Types de ZTNA

Le modèle ZTNA est flexible dans la mesure où il peut évoluer pour protéger toutes les facettes importantes de votre entreprise. Examinons plus en détail ces différents modèles de ZTNA.

• ZTNA pour la protection des utilisateurs : ce modèle garantit que lorsqu’un utilisateur se connecte à une application, il y est dirigé directement sans entrer en contact avec Internet et, potentiellement, avec des menaces dommageables. Pour ce faire, il s’assure que l’utilisateur répond aux critères d’authentification établis.
• ZTNA pour la protection de la charge de travail : la sécurité est souvent négligée lors de la création d’applications ou de la définition de cadres de communication. ZTNA empêche la compromission de ces charges de travail en neutralisant tout déplacement latéral des menaces et toute perte de données. Vous pourrez ainsi protéger les applications depuis leur conception jusqu’à leur exécution et leur communication en toute sécurité.
• ZTNA pour la protection des appareils : les terminaux sont plus menacés que jamais, tout particulièrement avec l’avènement du BYOD (utilisation d’appareils personnels). Grâce à un cadre ZTNA complet, vous pouvez vous assurer que les données transmises vers et depuis ces appareils sont protégées tout au long de leur parcours, et que les menaces sont incapables de trouver un moyen de s’infiltrer.

Comment mettre en œuvre ZTNA

La transformation vers le Zero Trust prend du temps, mais c’est un impératif pour les entreprises hybrides modernes. Examinons trois éléments fondamentaux de la mise en œuvre du Zero Trust.

• Connaissance et conviction : comprendre les nouvelles et meilleures façons d’utiliser la technologie pour réduire les coûts, diminuer la complexité et faire avancer vos objectifs.
• Technologies révolutionnaires : renoncer aux solutions traditionnelles qui ne sont plus adaptées après toutes les transformations qu’ont connues Internet, les menaces et les effectifs au cours des trois dernières décennies.
• Changement de culture et d’état d’esprit : favoriser le succès en impliquant vos équipes. Lorsque les professionnels de l’informatique comprennent les avantages de Zero Trust, ils commencent à y adhérer également.

Considérations relatives au ZTNA

Dans le Guide du marché pour Zero Trust Network Access de Gartner, Steve Riley, Neil MacDonald et Lawrence Orans décrivent plusieurs éléments que les entreprises doivent prendre en compte lors du choix d’une solution ZTNA :

1. Le fournisseur exige-t-il l’installation d’un agent endpoint ? Quels sont les systèmes d’exploitation pris en charge ? Quels appareils mobiles sont concernés ? Dans quelle mesure l’agent s’adapte-t-il en présence d’autres agents ? Remarque : les technologies ZTNA qui ne prennent pas en charge l’usage sans client sont souvent incapables de prendre en charge les cas d’utilisation d’appareils non gérés (par exemple l’accès de tiers, les appareils personnels à usage professionnel, ou BYOD).
2. L'offre prend-elle en charge uniquement les applications Web, ou les applications traditionnelles (data center) peuvent-elles bénéficier des mêmes avantages en matière de sécurité?
3. Certains produits ZTNA sont livrés en partie ou en totalité sous forme de services basés sur le cloud. Cela répond-il aux exigences de sécurité et de résidence de l’organisation ? Remarque : Gartner recommande aux entreprises de privilégier les fournisseurs qui proposent ZTNA en tant que service, car les services sont plus faciles à déployer, plus disponibles et offrent une meilleure sécurité contre les attaques DDoS.
4. Dans quelle mesure la dissimulation partielle ou complète, l’autorisation ou l’interdiction de connexions entrantes, fait-elle partie des exigences de sécurité de l’application isolée?
5. Quelles sont les normes d'authentification prises en charge par le courtier de confiance? L'intégration avec un annuaire local ou des services d'identité basés sur le cloud est-elle disponible? Le courtier de confiance s'intègre-t-il au fournisseur d'identité existant de l'organisation?
6. Quelle est la diversité géographique des points d'entrée et de sortie du fournisseur (appelés emplacements périphériques et / ou points de présence) dans le monde?
7. Après l’authentification de l’utilisateur et du mot de passe de son appareil, le courtier de confiance reste-t-il sur le chemin d’accès aux données ?
8. L'offre s'intègre-t-elle aux fournisseurs de gestion unifiée des terminaux (UEM), ou l'agent local peut-il déterminer l'état de santé et la sécurité des appareils en tant que facteurs dans la décision d'accès? À quels fournisseurs UEM le fournisseur ZTNA est-il associé?

Il s’agit là de points importants à considérer lorsque vous recherchez le fournisseur ZTNA qui répond aux objectifs et à la vision à long terme de votre entreprise. Pour en savoir plus sur ZTNA, consultez notre principal service ZTNA, Zscaler Private Access. 

Zscaler Zero Trust Network Access

Nous sommes fiers de proposer Zscaler Private Access™, la plateforme ZTNA la plus déployée au monde, conçue sur l’architecture Zero Trust exclusive de Zscaler. ZPA applique les principes du moindre privilège pour offrir aux utilisateurs des connexions directes et sécurisées aux applications privées tout en éliminant les accès non autorisés et les déplacements latéraux. En tant que service cloud natif, ZPA peut être déployé en quelques heures pour remplacer les anciens VPN et outils d’accès à distance par une plateforme globale Zero Trust.

Zscaler Private Access assure :

• Une sécurité sans égal, au-delà des VPN et des pare-feu traditionnels : les utilisateurs se connectent directement aux applications, et non au réseau, ce qui minimise la surface d’attaque et élimine les déplacements latéraux.
• La fin de la compromission des applications privées : une protection des applications unique en son genre, avec prévention inline, tromperie et isolation des menaces, minimise le risque de compromission des utilisateurs.
• Une productivité supérieure pour les équipes hybrides modernes : l’accès ultra-rapide aux applications privées s’étend de manière transparente aux utilisateurs distants, au siège, aux filiales et aux partenaires tiers.
• Une plateforme ZTNA unifiée pour les utilisateurs, les charges de travail et les appareils : les employés et les partenaires peuvent se connecter en toute sécurité aux applications privées, aux services et aux appareils OT/IoT grâce à la plateforme ZTNA la plus complète du marché.