Sept éléments d’une architecture Zero Trust extrêmement performante
Guide de l’architecte pour Zero Trust Exchange de Zscaler
Bref aperçu de la section 1 : Vérifier l’identité et le contexte
L’architecture Zero Trust est conçue de telle sorte que l’accès est complètement bloqué jusqu’à ce qu’il soit explicitement autorisé. Cela diffère de la plupart des environnements traditionnels où l’accès au réseau était implicitement accordé et géré via des contrôles réseau obsolètes. Lorsqu’un initiateur produit l’identité correcte, l’accès ne peut être accordé qu’à l’ensemble spécifique de services autorisés et rien de plus. Cette approche « ne jamais faire confiance, toujours vérifier » est la base de l’architecture Zero Trust. Par conséquent, il est impératif que les entreprises assurent une intégration correcte avec un IdP de confiance.
L’identité et le profil de l’entité faisant la demande sont pris en compte en fonction de la politique granulaire mise en œuvre dans l’Élément 7. Par exemple :
Un utilisateur dont l’identité a été vérifiée et disposant de valeurs de profil adéquates
- aurait besoin d’un accès à SAP ;
- n’aurait pas besoin d’accéder à un capteur IoT ; et
- pourrait avoir besoin d’accéder à YouTube.
Alors qu’un appareil IoT/OT vérifié et disposant de valeurs de profil adéquates
- aurait besoin d’accéder à un moteur IoT ; et
- n’aurait pas besoin d’accéder à YouTube.
En outre, une charge de travail vérifiée
- aurait besoin d’accéder à une charge de travail comparable ; et
- pourrait avoir besoin d’un accès à Internet.
Dans cet exemple simplifié, les politiques d’accès peuvent être déterminées uniquement en différenciant le type d’initiateur. Par la suite, l’identité peut être évaluée et étoffée par le contexte, par exemple, un utilisateur valide se connectant à partir d’un appareil de l’entreprise pour fournir une déclaration d’identité plus complète (voir Élément 2).
À ce stade, l’authentification passe d’un simple oui/non contextuel à une étape d’autorisation, où les valeurs liées à l’identité authentifiée, telles que le rôle, la responsabilité, la localisation, etc., peuvent être utilisées pour renforcer la validation de l’initiateur.
En combinant ces valeurs, le contrôle de l’identité devient assez puissant et chaque identité doit être unique au moment de l’autorisation (la réévaluation sera abordée dans l’Élément 4 avec la notation dynamique des risques).
Les architectures traditionnelles vous exposent aux attaques
Les approches traditionnelles en matière de réseau et de sécurité, telles que les VPN et les pare-feu, perdent de leur efficacité à mesure que les applications migrent vers le cloud et que les utilisateurs travaillent de n’importe quel endroit. Ces approches exigent que les utilisateurs se connectent au réseau, ce qui laisse la porte ouverte aux hackers pour compromettre les données sensibles et infliger des dommages substantiels à votre entreprise.
Architecture Zero trust :
Une sécurité complète pour votre transformation digitale
Pour être performantes dans l’environnement de travail hybride moderne, les équipes informatiques et de sécurité doivent repenser la mise en réseau et la sécurité. C’est là qu’une architecture Zero Trust entre en jeu.
Zero Trust désigne une solution de sécurité globale qui repose sur l’accès sur la base du moindre privilège et l’idée qu’aucun utilisateur ou application ne devrait être intrinsèquement considéré comme fiable. Elle suppose que toutes les connexions sont hostiles et n’accorde l’accès qu’une fois l’identité et le contexte vérifiés, et les contrôles de politique appliqués.
Zscaler fournit une solution Zero Trust par le biais de Zero Trust Exchange : une plateforme intégrée, cloud native, qui connecte en toute sécurité les utilisateurs, les charges de travail et les appareils aux applications, sans se connecter au réseau. Cette approche unique élimine la surface d’attaque, empêche le déplacement latéral des menaces, et protège contre la compromission et la perte de données.
Les sept éléments de Zero Trust
Découvrez une architecture Zero Trust à l’œuvre
Zero Trust est la prochaine évolution de la sécurité qui ne s’appuie plus sur une sécurité cloisonnée pour protéger les réseaux en étoile. Une véritable architecture Zero Trust connecte en toute sécurité les utilisateurs, les charges de travail et les appareils uniquement aux applications auxquelles ils sont autorisés à accéder, sur n’importe quel réseau et depuis n’importe quel endroit, sans placer l’application initiatrice ou de destination sur un réseau routable où elle peut être découverte et exploitée.
Vérifier l’identité et le contexte
À chaque demande de connexion, l’architecture Zero Trust met fin à la connexion et vérifie l’identité et le contexte :
- Qui se connecte ? – Vérifie l’identité de l’utilisateur/appareil, de l’appareil IoT/OT ou de la charge de travail.
- Quel est le contexte de l’accès ? – Valide le contexte du demandeur de connexion, en examinant des attributs tels que le rôle, la responsabilité et le lieu.
- Où va la connexion ? – Confirme que la destination est connue, comprise et catégorisée contextuellement pour l’accès.
Contrôler le contenu et l’accès
Ensuite, l’architecture Zero Trust évalue le risque associé à la demande de connexion et inspecte le trafic à la recherche de cybermenaces et de données sensibles :
- Évaluer le risque – Fait appel à l’IA pour calculer dynamiquement un score de risque pour l’accès demandé.
- Empêcher l'intrusion – Inspecte le trafic entrant pour identifier et bloquer les contenus malveillants.
- Empêcher la perte de données – Déchiffre et inspecte le trafic et le contenu sortant pour empêcher l’exfiltration de données sensibles.
Application de la politique : décision et application par session
Une fois le risque contrôlé, la politique est appliquée, et enfin une connexion à l’application interne ou externe est établie :
- Appliquer la politique – Détermine l’action conditionnelle à prendre concernant la connexion demandée.
Une fois qu’une décision « d’autorisation » est prise, une connexion sécurisée à Internet, à une application SaaS ou à une application interne est établie. Pour les applications internes, il s’agit d’un tunnel chiffré, uniquement sortant, qui élimine toute surface d’attaque.
Les sept éléments de Zero Trust
Découvrez une architecture Zero Trust à l’œuvre
Zero Trust est la prochaine évolution de la sécurité qui ne s’appuie plus sur une sécurité cloisonnée pour protéger les réseaux en étoile. Une véritable architecture Zero Trust connecte en toute sécurité les utilisateurs, les charges de travail et les appareils uniquement aux applications auxquelles ils sont autorisés à accéder, sur n’importe quel réseau et depuis n’importe quel endroit, sans placer l’application initiatrice ou de destination sur un réseau routable où elle peut être découverte et exploitée.
Vérifier l’identité et le contexte
À chaque demande de connexion, l’architecture Zero Trust met fin à la connexion et vérifie l’identité et le contexte :
- Qui se connecte ? – Vérifie l’identité de l’utilisateur/appareil, de l’appareil IoT/OT ou de la charge de travail.
- Quel est le contexte de l’accès ? – Valide le contexte du demandeur de connexion, en examinant des attributs tels que le rôle, la responsabilité et le lieu.
- Où va la connexion ? – Confirme que la destination est connue, comprise et catégorisée contextuellement pour l’accès.
Contrôler le contenu et l’accès
Ensuite, l’architecture Zero Trust évalue le risque associé à la demande de connexion et inspecte le trafic à la recherche de cybermenaces et de données sensibles :
- Évaluer le risque – Fait appel à l’IA pour calculer dynamiquement un score de risque pour l’accès demandé.
- Empêcher l'intrusion – Inspecte le trafic entrant pour identifier et bloquer les contenus malveillants.
- Empêcher la perte de données – Déchiffre et inspecte le trafic et le contenu sortant pour empêcher l’exfiltration de données sensibles.
Application de la politique : décision et application par session
Une fois le risque contrôlé, la politique est appliquée, et enfin une connexion à l’application interne ou externe est établie :
- Appliquer la politique – Détermine l’action conditionnelle à prendre concernant la connexion demandée.
Une fois qu’une décision « d’autorisation » est prise, une connexion sécurisée à Internet, à une application SaaS ou à une application interne est établie. Pour les applications internes, il s’agit d’un tunnel chiffré, uniquement sortant, qui élimine toute surface d’attaque.
Découvrez l’architecture Zero Trust à l’œuvre
Suivez Jane et John Doe dans leur cheminement à travers le processus de Zero Trust d’accès aux applications pour découvrir comment Zscaler Zero Trust Exchange applique les sept éléments.
Explorez les ressources
E-BOOK
Sept éléments d’une architecture Zero Trust extrêmement performante
EN BREF
Les avantages de Zscaler Zero Trust Exchange en bref
Livre blanc
Plateforme Zero Trust par excellence
Vidéo
Dissiper les mythes du Zero Trust en sept étapes simples
ARTICLE
Sur la voie du Zero Trust : par où commencer
CERTIFICATION