Ressources > Glossaire des termes de sécurité > Qu’est-ce qu’une architecture de réseau Zero Trust ?

Qu’est-ce qu’une architecture de réseau Zero Trust ?

Qu’est-ce qu’une architecture de réseau Zero Trust ?

Une architecture de réseau Zero Trust est une architecture de sécurité conçue pour réduire la surface d’attaque d’un réseau et empêcher le déplacement latéral des menaces, sur la base des principes fondamentaux de l’approche Zero Trust décrite pour la première fois par John Kindervag chez Forrester Research.

Dans le modèle de sécurité Zero Trust, la notion de « périmètre réseau », à l’intérieur duquel tous les appareils et utilisateurs sont présumés dignes de confiance et bénéficient de larges autorisations d’accès, est écartée. Au lieu de cela, vos données sensibles sont sécurisées par des contrôles d’accès basés sur le principe du moindre privilège, une microsegmentation granulaire et une authentification multifacteur (MFA) qui n’accorde à aucun utilisateur ou appareil une confiance implicite. Cette stratégie de gestion des accès beaucoup plus stricte réduit considérablement le risque de fuite de données pour une entreprise.

Avant d’examiner plus en détail les différentes architectures Zero Trust, résumons le contexte de l’accès réseau Zero Trust (ZTNA) en tant que cadre de sécurité réseau. Appelé périmètre défini par logiciel (SDP) dans sa première itération, le ZTNA est devenu populaire parce que les entreprises doivent offrir aux utilisateurs un accès sécurisé aux applications et aux données lorsque ces utilisateurs et/ou les éléments auxquels ils veulent accéder ne se trouvent pas à l’intérieur d’un périmètre de sécurité traditionnel (ce que les anciens pare-feu ne peuvent pas faire). Les télétravailleurs étant plus nombreux que jamais, cet aspect est devenu particulièrement crucial. Pour permettre cet accès sécurisé, les entreprises doivent rendre leurs systèmes, services, API, données et processus accessibles partout et à tout moment, à partir de n’importe quel appareil sur Internet.

Une architecture de réseau Zero Trust fournit l’accès précis et contextuel nécessaire, tout en protégeant les services des hackers et des logiciels malveillants. Globalement, elle apporte une meilleure expérience utilisateur, une plus grande agilité et adaptabilité, et une gestion simplifiée des politiques. Le modèle ZTNA basé sur le cloud offre encore plus, notamment une considérable évolutivité et une grande facilité d’adoption.

Gartner a défini ZTNA comme un modèle permettant d’éliminer la confiance excessive accordée aux employés et aux partenaires lorsqu’ils se connectent aux applications et aux données à l’aide de technologies traditionnelles telles que les VPN. Au sein de ZTNA, aucun élément n’est fiable tant qu’il n’a pas été prouvé qu’il est digne de confiance, et même dans ce cas, la validation de la confiance est réévaluée en temps réel à mesure que le contexte évolue (emplacement de l’utilisateur, appareil, application, etc.)

 

Deux approches pour la mise en œuvre d’une architecture de réseau Zero Trust

Il existe deux architectures distinctes de ZTNA : celle initiée par le terminal et celle initiée par le service.

La ZTNA initiée par le terminal, où le terminal ou l’utilisateur final initie l’accès à une application, est la plus proche de la spécification SDP originale. Un agent (une application logicielle légère) installé sur les appareils de l’utilisateur final communique avec un contrôleur, qui authentifie l’identité de l’utilisateur et fournit la connectivité à une application spécifique à laquelle l’utilisateur est autorisé à accéder. La ZTNA initié par le terminal est difficile, voire impossible, à mettre en œuvre sur des appareils non gérés (en particulier les appareils IoT), en raison de la nécessité d’installer une forme d’agent ou de logiciel local.

Dans la ZTNA initiée par un service, un courtier ZTNA initie les connexions entre les utilisateurs et les applications. Dans ce cas, un connecteur léger se place devant les applications professionnelles, situées dans le data center ou le cloud d’un client, et établit une connexion sortante de l’application demandée vers le courtier. Une fois l’utilisateur authentifié par le fournisseur, le trafic passe par le fournisseur de services ZTNA, qui isole les applications de l’accès direct via un proxy. Cette approche ne nécessite pas d’agent sur l’appareil de l’utilisateur final, ce qui permet de sécuriser les appareils non gérés (BYOD) et d’accorder un accès aux partenaires et aux clients. Certains services ZTNA initiés par un service peuvent utiliser un accès par navigateur aux applications Web.

Deux modèles d’accès réseau Zero Trust

Au-delà des différences entre les architectures initiées par le terminal et celles initiées par un service, vous pouvez adopter ZTNA en tant que produit autonome ou en tant que service. Gartner recommande les modèles basés sur le service, mais chaque approche présente des caractéristiques uniques. En fin de compte, ce sont les besoins spécifiques de votre entreprise, sa stratégie de sécurité et son écosystème qui déterminent le meilleur choix.
 

ZTNA en tant que produit autonome

Les offres ZTNA autonomes vous obligent à déployer et à gérer tous les éléments du produit. L’infrastructure se situe à la périphérie de votre environnement, que ce soit dans votre data center ou dans un cloud, et assure des connexions sécurisées entre les utilisateurs et les applications. Certains fournisseurs d’infrastructure en tant que service (cloud) proposent également des fonctionnalités ZTNA.
 

Caractéristiques

  • Vous êtes entièrement responsable du déploiement, de la gestion et de la maintenance de l’infrastructure ZTNA.
  • Certains fournisseurs proposent à la fois des offres ZTNA autonomes et des offres de services cloud.
  • Le déploiement autonome convient particulièrement aux entreprises réfractaires au cloud.
Modèle conceptuel de ZTNA initié par un terminal

ZTNA en tant que service cloud

Avec ZTNA en tant que service hébergé dans le cloud, vous utilisez l’infrastructure cloud d’un fournisseur pour l’application des politiques. Vous achetez des licences d’utilisation et déployez des connecteurs légers qui se placent devant vos applications dans tous les environnements, et le fournisseur assure la connectivité, la capacité et l’infrastructure. L’accès est établi par des connexions de l’intérieur vers l’extérieur négociées entre l’utilisateur et l’application, ce qui permet de dissocier efficacement l’accès aux applications de l’accès au réseau sans jamais exposer les adresses IP à Internet.
 

Caractéristiques

  • Le déploiement est plus facile puisque vous n’avez pas besoin d’infrastructure.
  • La gestion est plus simple grâce à un portail d’administration unique qui assure une exécution globale via le service cloud.
  • L’automatisation sélectionne les voies de trafic optimales pour fournir l’accès le plus rapide à tous les utilisateurs à l’échelle mondiale.
Modèle conceptuel de ZTNA initié par un terminal

 

Certains services fournis dans le cloud permettent de déployer un package logiciel sur site. Le logiciel s’exécute sur votre infrastructure mais est toujours fourni dans le cadre du service et géré par le fournisseur.

En savoir plus sur ZTNA sur site.

Comme on peut le constater dans l’interaction avec les clients, la version en tant que service a rapidement surpassé la version autonome. Gartner estime que plus de 90 % des clients adoptent la version en tant que service.

Gartner, Guide du marché pour Zero Trust Network Access, 8 juin 2020

Recommandations de Gartner concernant le déploiement d’une architecture de réseau Zero Trust 

Le Guide du marché de Zero Trust Network Access 2020 de Gartner souligne divers éléments à prendre en compte au moment du choix d’une solution ZTNA pour votre entreprise. Nous résumons ici les plus pertinents :

  1. Le fournisseur exige-t-il l’installation d’un agent endpoint ? Si c’est le cas, comment l’agent se comporte-t-il en présence d’autres agents ? Quels sont les systèmes d’exploitation et les appareils mobiles pris en charge ?
  2. L’offre prend-elle en charge uniquement les applications Web ou également les applications traditionnelles (data center) ?
  3. La méthode de prestation de services répond-elle à vos besoins en matière de sécurité et de résidence ?
  4. Dans quelle mesure la dissimulation partielle ou complète, l’autorisation ou l’interdiction de connexions entrantes, fait-elle partie des conditions de sécurité de l’application isolée ?
  5. Quelles sont les normes d’authentification prises en charge par le courtier de confiance ? Peut-il s’intégrer à un annuaire sur site ou à des services d’identité basés sur le cloud ? S’intègre-t-il à votre fournisseur d’identité actuel ?
  6. Quelle est la répartition géographique des points de présence du fournisseur dans le monde ?
  7. Après l’authentification de l’utilisateur et de l’appareil, le courtier de confiance reste-t-il sur le chemin des données ?
  8. L’offre s’intègre-t-elle aux fournisseurs de gestion unifiée des terminaux (UEM), ou l’agent local peut-il prendre en compte la santé et la sécurité de l’appareil dans les décisions d’accès ? À quels fournisseurs UEM le fournisseur ZTNA est-il associé ?

    Vidéo : Comprendre l’architecture de réseau Zero Trust recommandée par Gartner