Qu’est-ce qu’un périmètre zéro confiance ?

 

Le périmètre zéro confiance est une solution de sécurité qui autorise le trafic Internet avec des sites distants sur la base des principes d’accès zéro confiance, principalement via l’utilisation de services de sécurité et de réseau dans le Cloud.

 

Le périmètre zéro confiance (Zero Trust Edge ou ZTE), dans la mesure où les réseaux ZTE sont accessibles depuis pratiquement n’importe où, sécurise davantage l’accès Internet en s’appuyant sur la technologie d’accès au réseau zéro confiance (ZTNA) pour authentifier les connexion des utilisateurs et des terminaux.

 

Constatant que le réseau et la cybersécurité sont de plus en plus étroitement liés, Gartner a introduit le concept de SASE (Secure Access Services Edge), qui établit une convergence partielle des services de sécurité et de réseau dans le Cloud. Les solutions SASE sont conçues pour sécuriser le Cloud, le Data Center et la périphérie des réseaux de succursales, et fournir un fabric de SD-WAN sécurisé pour les différents types de connectivité. Récemment, Forrester a documenté un nouveau modèle de SASE dans son rapport intitulé « Introducing The Zero Trust Edge Model For Security And Network Services », qui définit le concept de périmètre zéro confiance (ZTE), en mettant l’accent sur le composant « zéro confiance ».

SASE & ZTNA pour les nuls

SASE & ZTNA pour les nuls

Télécharger gratuitement 

Pourquoi le périmètre zéro confiance est-il une solution importante ?

Le périmètre des réseaux d’entreprise, qui s’estompe depuis des décennies, s’est entièrement évaporé lorsque la pandémie mondiale de COVID a poussé les collaborateurs à installer leurs bureaux à domicile. Le télétravail s’est imposé comme la nouvelle normalité, et les entreprises sont constamment à la recherche de nouveaux canaux d’interaction avec leurs clients, avec notamment les applications Web et mobiles.

 

Dans la mesure où un nombre croissant d’utilisateurs et de terminaux doivent se connecter aux ressources de l’entreprise pour remplir leurs fonctions ou effectuer des transactions, les professionnels de la sécurité adoptent de plus en plus des approches zéro confiance en matière de réseau pour accompagner leurs collaborateurs dispersés en toute sécurité.

 

Pour la plupart des entreprises, le cas d’usage initial du ZTE consiste donc à protéger les collaborateurs distants tout en éliminant le besoin de réseaux privés virtuels (VPN), qui sont souvent surchargés par la pléthore de nouvelles connexions inhérentes au télétravail.

 

Les trois principaux moteurs de l’intégration renforcée du réseau et de la sécurité sont les suivants :

 

  • Les professionnels de la sécurité exigent que le trafic autorisé sur le réseau soit conforme à des niveaux de confiance stricts en matière de sécurité, et de surveiller et d’analyser le trafic pour garantir la conformité aux règles.
  • Les professionnels du réseau doivent adopter des règles ZTE et utiliser le réseau sous un angle sécuritaire, plutôt que de faire appel aux équipes de sécurité pour superposer les réseaux d’entreprise.
  • La nécessité de disposer d’accès Internet sécurisés pour chaque client et chaque terminal, et la capacité de contrecarrer ou de contourner les logiciels malveillants qui peuvent se dresser partout sur la route du réseau.

 

Quels sont les avantages du périmètre zéro confiance ?

Bien que de nombreuses entreprises aient virtualisé leurs réseaux en utilisant un SD-WAN (Software-Defined Wide Area Networking), cette approche ne répond pas à de nombreuses obligations de sécurité plus récentes. En combinant les fonctions de sécurité et réseau de cette manière dans le Cloud, la solution ZTE offre les avantages clés suivants :

 

Réduction des risques.Dans la mesure où la sécurité est intégrée au fabric du réseau et que chaque connexion est contrôlée et sécurisée, les professionnels de l’informatique n’ont pas à se soucier du lieu de connexion des utilisateurs, ni des applications et du type de chiffrement utilisés. Chaque connexion et chaque transaction sont authentifiées.

 

Économies.Généralement, la solution ZTE étant fournie sous forme de service automatisé déployé dans le Cloud, les réseaux ZTE sont intrinsèquement scalables. Comme ils font partie du fabric Internet, ils prennent en charge la transformation digitale d’une entreprise sans tenir compte des architectures legacy.

 

Amélioration de l’expérience utilisateur.L’amélioration des performances et du débit du réseau s’explique par la disponibilité mondiale des rampes d’accès, ce qui réduit le transit du trafic et la latence.

 

Principes de fonctionnement du périmètre zéro confiance

Bien que le modèle ZTE soit conçu pour une pile de sécurité hébergée dans le Cloud ou en périphérie, les limitations de bande passante qui affectent de nombreuses régions exigent que certains éléments de la pile résident sur l’infrastructure locale.
Actuellement, les entreprises peuvent adopter trois approches du ZTE.

  1. Un service Cloud basé sur un réseau exploité par un fournisseur ou un tiers qui couvre plusieurs à quelques centaines de points de présence dotés de fonctionnalités ZTE. Cette approche adopte l’angle de la solution SaaS (Software as a Service).

  2. Une solution ZTE dans le cadre d’un service de connexion WAN, avec un opérateur fournissant la fonctionnalité ZTE ainsi que la sécurité externalisée. Comcast Enterprise et Akami proposent la fonctionnalité ZTE, et de nombreux fournisseurs de SD-WAN collaborent avec des fournisseurs de solutions de sécurité ZTE pour compléter leur offre. Bien que de nombreuses options soient disponibles, les offres on premise n’ont pas l’agilité des systèmes Cloud et les combinaisons SD-WAN/ZTE nécessitent la configuration de règles pour chaque service, faute d’une console unique globale.

  3. Une approche développée en interne, viable uniquement pour les grandes entreprises agiles qui ont la capacité de proposer leur propre offre ZTE en faisant appel à des fournisseurs de services Cloud pour les points de présence, les pare-feu hébergés dans le Cloud et d’autres services de sécurité qui résident dans le Cloud public. Bien qu’elle soit flexible, cette approche nécessite une surveillance constante de l’évolution des composants de sécurité, des services Cloud et des compétences informatiques nécessaires pour développer et gérer une telle offre.

 

On s’attend à ce que la solution ZTE soit plus rentable lorsqu’elle est basée sur le Cloud, dans la mesure où les solutions doivent reposer sur deux principes clés du Cloud :

  • Une gestion du réseau et de la sécurité basée dans le Cloud qui fournit un ensemble unique de règles pour l’ensemble des utilisateurs de l’entreprise et des outils de gestion pour le réseau, le pare-feu et d’autres fonctionnalités de SD-WAN. Cette approche réduira les erreurs, augmentera l’efficacité et facilitera la mise en place de règles similaires pour plusieurs systèmes.

  • Des outils de surveillance, de gestion et d’analyse qui font le lien entre le réseau et la sécurité. Cette caractéristique du ZTE permet d’optimiser l’utilisation des liaisons, de détecter les anomalies du réseau susceptibles de générer des problèmes de sécurité, et d’intégrer l’ensemble du réseau, y compris les systèmes d’appairage, dans la bulle de surveillance. Le volume considérable de données collectées et analysées nécessite l’utilisation de solutions Cloud pour le stockage et la transformation en données chiffrées souhaitées.

Une fois le déploiement finalisé, les entreprises peuvent centraliser la gestion, la surveillance et l’analyse de l’ensemble des services de sécurité et de réseau intégrés aux solutions ZTE, qu’elles soient hébergées dans le Cloud ou sur un site distant.

 

Quels sont les défis liés à l’utilisation d’un périmètre zéro confiance ?

Le modèle de périmètre zéro confiance transforme mais ne perturbe pas les modes d’utilisation traditionnels des fonctions de sécurité et réseau. En transformation constante, les fonctions de cybersécurité ont rapidement évolué vers le périmètre zéro confiance.

 

Les entreprises se rallient au périmètre zéro confiance pour maîtriser les problèmes de sécurité inhérents au télétravail, mais des défis importants doivent être relevés pour concrétiser pleinement les promesses du modèle :

 

Applications et services legacy.Les applications Web modernes qui prennent en charge la fédération des identités sont plus faciles à configurer dans une solution ZTE, mais ces applications basées sur des protocoles non-Web, notamment RDP/VDI pour l’accès à distance et SIP/VoIP pour les appels vocaux, ne sont pas aussi faciles à intégrer car elles ne sont pas normalisées pour être utilisées dans un environnement ZTE.

 

Matériel réseau legacy.Une fois que les ordinateurs et les applications sont associés à la solution ZTE, le département informatique doit prendre en compte la multitude de terminaux de technologie opérationnelle (TO) et Internet des objets (IoT), qui peuvent se compter par milliers dans n’importe quelle entreprise.

 

Capacité.Même si la solution ZTE permet de résoudre les problèmes tactiques d’accès des collaborateurs distants, elle n’a pas encore la capacité de remplacer les services de réseau et de sécurité haute capacité qui fournissent actuellement les accès au Data Center. Les entreprises peuvent choisir de migrer vers le Cloud avant de passer à la protection ZTE pour certaines de leurs ressources.

 

 

Quelle est la différence entre le périmètre zéro confiance et les solutions SASE ?

Forrester définit le modèle ZTE comme une amélioration du modèle SASE d’origine, en mettant l’accent sur le composant zéro confiance de ce modèle. Internet ayant été conçu sans considération relative à la sécurité, il a engendré une multitude de logiciels malveillants et généré des surfaces d’attaque en constante évolution. L’approche ZTE consiste à ignorer les correctifs de sécurité et les mesures palliatives qui ont été appliqués pendant des décennies pour tenter une connexion sécurisée. Elle suppose le pire scénario possible et prend ainsi en charge l’authentification de chaque connexion, même si la seule connexion Internet du terminal consiste à passer par un tunnel vers un autre terminal, isolant ainsi les utilisateurs des zones dangereuses de l’Internet public.

Périmètre zéro confiance : produits associés, solutions et ressources VMware

VMware SD-WAN

VMware SD-WAN va au-delà des fonctionnalités de base pour proposer une véritable solution SASE complète qui prend en charge la transition des entreprises vers le Cloud.

Solutions de sécurité zéro confiance

Gagnez en visibilité et en contrôle grâce à une approche intrinsèque de la sécurité zéro confiance qui est modulaire, ce qui facilite la sécurisation de l’ensemble de votre empreinte numérique.

Solutions Anywhere Workspace

Offrez à vos collaborateurs la possibilité de travailler n’importe où, tout en bénéficiant d’une expérience fluide et sécurisée.

Rapport du Magic Quadrant 2020 de Gartner

VMware SD-WAN™ by VeloCloud® poursuit son rôle de pionnier sur le marché de l’infrastructure Edge WAN.

Qu’est-ce qu’une solution SASE ?

Secure Access Service Edge, ou SASE, est une solution qui converge la gestion de réseau et la sécurité dans le Cloud dans une logique de simplicité, de scalabilité, de flexibilité et de sécurité constante.

VMware SD-WAN - Cas d’usage de l’édition Enterprise

Les entreprises doivent faire face à une augmentation des coûts de la bande passante et de la complexité des déploiements sur le réseau. VMware SD-WAN by VeloCloud résout ces problématiques.