Qu'est-ce que Zero Trust Network Access (ZTNA) ?

Qu'est-ce que ZTNA ?

ZTNA (accès au réseau Zero Trust), également connu sous le nom de périmètre défini par logiciel (SDP), est un ensemble de technologies et de fonctionnalités qui permettent un accès sécurisé aux applications internes pour les utilisateurs à distance. Il fonctionne sur un modèle adaptatif de confiance, où cette dernière n’est jamais implicite, et où l’accès est accordé selon le principe du « besoin de savoir » et du moindre privilège, défini par des politiques granulaires. ZTNA offre aux utilisateurs à distance une connectivité transparente et sécurisée aux applications privées sans jamais leur donner accès au réseau ni exposer des applications à Internet.

La sécurité Zero Trust est un terme à la mode ces temps-ci. Alors que de nombreuses entreprises ont réorienté leurs priorités vers l’adoption de Zero Trust, ZTNA (accès au réseau Zero Trust) est la stratégie qui permet de réaliser un modèle Zero Trust efficace.

Le chemin vers Zero Trust en tant qu’idéologie étant vague, ZTNA fournit un cadre clair et structuré que les entreprises peuvent suivre. Il s’agit également d’un composant du modèle de sécurité SASE (Secure Access Service Edge), qui, outre le modèle ZTNA, comprend un pare-feu de nouvelle génération (NGFW), un réseau SD-WAN et d’autres services dans une plateforme cloud native.

Comment fonctionne ZTNA ?

Alors que le besoin de sécuriser le personnel à distance est devenu crucial, les solutions centrées sur le réseau telles que les réseaux privés virtuels (VPN) et les pare-feu créent une surface d’attaque susceptible d’être exploitée. ZTNA adopte une approche fondamentalement différente pour fournir un accès à distance sécurisé aux applications internes, en se basant sur ces quatre principes fondamentaux.

 

  1. ZTNA dissocie complètement la gestion de l’accès aux applications de l’accès au réseau. Cette isolation réduit les risques pour le réseau, tels que l’infection par des dispositifs infectés, et n’accorde l’accès à des applications spécifiques qu’aux utilisateurs autorisés qui ont été authentifiés.
  2. ZTNA établit uniquement des connexions sortantes, garantissant ainsi que les utilisateurs non autorisés n’ont aucune visibilité sur l’infrastructure du réseau et des applications. Les adresses IP ne sont jamais visibles sur Internet, créant ainsi un « darknet » qui rend le réseau indétectable.
  3. La segmentation native des applications de ZTNA garantit qu’une fois les utilisateurs autorisés, l’accès aux applications est accordé au cas par cas. Les utilisateurs autorisés n’ont accès qu’à des applications spécifiques plutôt qu’à tout le réseau. La segmentation évite un accès trop permissif ainsi que le risque de déplacement latéral de programmes malveillants et d’autres menaces.
  4. ZTNA adopte une approche utilisateur-application plutôt qu’une approche traditionnelle de la sécurité du réseau. Le réseau est relégué au second plan, et Internet devient le nouveau réseau d’entreprise, exploitant les avantages des micro-tunnels TLS chiffrés de bout en bout au lieu de MPLS.

 

ZTNA
ZTNA améliore la flexibilité, l'agilité et l'évolutivité, permettant aux écosystèmes numériques de fonctionner sans exposer les services directement à Internet, réduisant ainsi les risques d'attaques par déni de service distribué.
Gartner, Guide du marché sur Zero Trust Network Access, avril 2019

En ce qui concerne l’architecture, ZTNA fonctionne de manière fondamentalement différente des solutions centrées sur le réseau. ZTNA est le plus souvent défini à 100 % par des logiciels, ce qui élimine les coûts additionnels liés à la gestion d’appliances. ZTNA aide également les entreprises à simplifier les piles entrantes car elles n’ont plus besoin de leurs VPN et concentrateurs VPN, de leur protection DDoS, de leur équilibrage de charge global et de leurs appliances de pare-feu.

Il existe deux principaux modèles d’architecture ZTNA. Cet article met en évidence l’architecture ZTNA initiée par le service. Pour plus de détails, consultez le guide du marché ZTNA de Gartner.

 

Principaux cas d'utilisation du ZTNA

ZTNA propose de nombreux cas d’utilisation de la sécurité du cloud. La plupart des entreprises choisissent de commencer par l’un de ces quatre cas.

 

Alternative VPN

Les VPN sont peu pratiques et lents pour les utilisateurs, offrent une sécurité médiocre et sont difficiles à gérer. C’est pourquoi les entreprises veulent réduire ou éliminer leur dépendance à leur égard. Gartner prévoit que « d’ici 2023, 60 % des entreprises supprimeront progressivement la plupart de leurs VPN d’accès à distance au profit de ZTNA ».

 

Accès multicloud sécurisé

La sécurisation de l’accès hybride et multicloud est le point de départ le plus courant du parcours ZTNA pour les entreprises. Les sociétés étant de plus en plus nombreuses à adopter des applications et des services cloud, 37 % d’entre elles se tournent vers ZTNA pour la sécurité et le contrôle d’accès de leurs stratégies multicloud.

 

Réduction des risques liés aux tiers

La plupart des utilisateurs tiers bénéficient d’un accès trop privilégié et accèdent aux applications en utilisant des appareils non gérés, ce qui introduit des risques. ZTNA réduit considérablement les risques liés aux tiers en s’assurant que les utilisateurs externes n’ont jamais accès au réseau et que seuls les utilisateurs autorisés peuvent accéder aux applications autorisées.

 

Intégration accélérée des fusions et acquisitions

Avec les fusions et acquisitions traditionnelles, l’intégration peut durer plusieurs années, car les entreprises doivent rapprocher les réseaux et gérer les adresses IP qui se chevauchent. ZTNA réduit et simplifie le temps et la gestion nécessaires pour assurer la réussite des fusions et acquisitions, ce qui permet d’apporter une valeur immédiate à l’entreprise.

Considérations relatives au ZTNA

Dans le récent Guide du marché pour Zero Trust Network Access de Gartner, Steve Riley, Neil MacDonald et Lawrence Orans décrivent plusieurs éléments que les entreprises doivent prendre en compte lors du choix d’une solution ZTNA :

  1. Le fournisseur exige-t-il l’installation d’un agent d’endpoint ? Quels sont les systèmes d’exploitation pris en charge ? Quels appareils mobiles sont concernés ? Dans quelle mesure l’agent s’adapte-t-il en présence d’autres agents ? Remarque : les technologies ZTNA qui ne prennent pas en charge l’usage sans client sont souvent incapables de prendre en charge les cas d’utilisation d’appareils non gérés (par exemple l’accès de tiers, les appareils personnels à usage professionnel, ou BYOD).
  2. L'offre prend-elle en charge uniquement les applications Web, ou les applications traditionnelles (data center) peuvent-elles bénéficier des mêmes avantages en matière de sécurité?
  3. Certains produits ZTNA sont fournis en partie ou en totalité sous forme de services basés sur le cloud. Répondent-ils aux exigences de sécurité et de résidence de l’entreprise ? Remarque : Gartner recommande aux entreprises de privilégier les fournisseurs qui proposent ZTNA en tant que service, car les services sont plus faciles à déployer, plus disponibles et offrent une meilleure sécurité contre les attaques DDoS.
  4. Dans quelle mesure la dissimulation partielle ou complète, l’autorisation ou l’interdiction de connexions entrantes, fait-elle partie des exigences de sécurité de l’application isolée?
  5. Quelles sont les normes d'authentification prises en charge par le courtier de confiance? L'intégration avec un annuaire local ou des services d'identité basés sur le cloud est-elle disponible? Le courtier de confiance s'intègre-t-il au fournisseur d'identité existant de l'organisation?
  6. Quelle est la diversité géographique des points d'entrée et de sortie du fournisseur (appelés emplacements périphériques et / ou points de présence) dans le monde?
  7. Après l’authentification de l’utilisateur et du mot de passe de son appareil, le courtier de confiance reste-t-il sur le chemin d’accès aux données ?
  8. L'offre s'intègre-t-elle aux fournisseurs de gestion unifiée des terminaux (UEM), ou l'agent local peut-il déterminer l'état de santé et la sécurité des appareils en tant que facteurs dans la décision d'accès? À quels fournisseurs UEM le fournisseur ZTNA est-il associé?

Il s’agit là de points importants à considérer lorsque vous recherchez le fournisseur ZTNA qui répond aux objectifs et à la vision à long terme de votre entreprise. Pour en savoir plus sur ZTNA, consultez notre principal service ZTNA, Zscaler Private Access. Vous pouvez même tester ZPA gratuitement pendant 7 jours.

Rapport d'adoption Zero Trust Cybersecurity Insiders 2019

Lire le rapport
Icône de confiance

Guide de l'architecte réseau pour l'adoption de ZTNA

Lire le guide
Icône de confiance

Accès Réseau "Zero Trust" : Une bonne idée pour les responsables IT

Lire notre livre blanc
Accès Réseau "Zero Trust" : Une bonne idée pour les responsables IT

Infographie Zscaler Security Service Edge (SSE)

Découvrir comment
Accès Réseau "Zero Trust" : Une bonne idée pour les responsables IT