Zero Trust Edge est une solution de sécurité qui autorise le trafic Internet avec des sites distants sur la base des principes d’accès zéro confiance, principalement via l’utilisation de services de sécurité et de réseau dans le Cloud. 

Zero Trust Edge (ZTE) , dans la mesure où les réseaux ZTE sont accessibles depuis pratiquement n’importe où, sécurise davantage l’accès Internet en s’appuyant sur la technologie d’accès au réseau zéro confiance (ZTNA) pour authentifier les connexions des utilisateurs et des terminaux. 

Constatant que le réseau et la cybersécurité sont de plus en plus étroitement liés, Gartner a introduit le concept de SASE (Secure Access Services Edge), qui établit une convergence partielle des services de sécurité et de réseau dans le Cloud. Les solutions SASE sont conçues pour sécuriser le Cloud, le Data Center et la périphérie des réseaux de succursales, et fournir un fabric de SD-WAN sécurisé pour les différents types de connectivité. Récemment, Forrester a documenté un nouveau modèle de SASE dans son rapport intitulé « Introducing The Zero Trust Edge Model For Security And Network Services », qui définit le concept Zero Trust Edge (ZTE), en mettant l’accent sur le composant « zéro confiance ». 

Le périmètre des réseaux d’entreprise, qui s’estompe depuis des décennies, s’est entièrement évaporé lorsque la pandémie mondiale de COVID a poussé les collaborateurs à installer leurs bureaux à domicile. Le télétravail s’est imposé comme la nouvelle normalité, et les entreprises sont constamment à la recherche de nouveaux canaux d’interaction avec leurs clients, avec notamment les applications Web et mobiles. 

Dans la mesure où un nombre croissant d’utilisateurs et de terminaux doivent se connecter aux ressources de l’entreprise pour remplir leurs fonctions ou effectuer des transactions, les professionnels de la sécurité adoptent de plus en plus des approches zéro confiance en matière de réseau pour accompagner leurs collaborateurs dispersés de manière sécurisée. 

Pour la plupart des entreprises, le cas d’usage initial du ZTE consiste donc à protéger les télétravailleurs tout en éliminant le besoin de réseaux privés virtuels (VPN), qui sont souvent surchargés par la pléthore de nouvelles connexions inhérentes au télétravail. 

Les trois principaux moteurs de l’intégration renforcée du réseau et de la sécurité sont les suivants :

• Les professionnels de la sécurité exigent que le trafic autorisé sur le réseau soit conforme à des niveaux de confiance stricts en matière de sécurité, et de surveiller et d’analyser le trafic pour garantir la conformité aux règles.
• Les professionnels du réseau doivent adopter des règles ZTE et utiliser le réseau sous un angle sécuritaire, plutôt que de faire appel aux équipes de sécurité pour superposer les réseaux d’entreprise.
• La nécessité de disposer d’accès Internet sécurisés pour chaque client et chaque terminal, et la capacité de contrecarrer ou de contourner les logiciels malveillants qui peuvent se dresser partout sur la route du réseau.

Bien que de nombreuses entreprises aient virtualisé leurs réseaux en utilisant un SD-WAN (Software-Defined Wide Area Networking), cette approche ne répond pas à de nombreuses obligations de sécurité plus récentes. En combinant les fonctions de sécurité et réseau de cette manière dans le Cloud, la solution ZTE offre les avantages clés suivants :

Réduction des risques. Dans la mesure où la sécurité est intégrée au fabric du réseau et que chaque connexion est contrôlée et sécurisée, les professionnels de l’informatique n’ont pas à se soucier du lieu de connexion des utilisateurs, ni des applications et du type de chiffrement utilisés. Chaque connexion et chaque transaction sont authentifiées. 

Économies. Généralement, la solution ZTE étant fournie sous forme de service automatisé déployé dans le Cloud, les réseaux ZTE sont intrinsèquement scalables. Comme ils font partie du fabric Internet, ils prennent en charge la transformation digitale d’une entreprise sans tenir compte des architectures legacy. 

Amélioration de l’expérience utilisateur. L’amélioration des performances et du débit du réseau s’explique par la disponibilité mondiale des rampes d’accès, ce qui réduit le transit du trafic et la latence. 

Bien que le modèle ZTE soit conçu pour une pile de sécurité hébergée dans le Cloud ou en périphérie, les limitations de bande passante qui affectent de nombreuses régions exigent que certains éléments de la pile résident sur l’infrastructure locale.

Actuellement, les entreprises peuvent adopter trois approches du ZTE.

1. Un service Cloud basé sur un réseau exploité par un fournisseur ou un tiers qui couvre plusieurs à quelques centaines de points de présence dotés de fonctionnalités ZTE. Cette approche adopte l’angle de la solution SaaS (Software as a Service).
2. Une solution ZTE dans le cadre d’un service de connexion WAN, avec un opérateur fournissant la fonctionnalité ZTE ainsi que la sécurité externalisée. Comcast Enterprise et Akami proposent la fonctionnalité ZTE, et de nombreux fournisseurs de SD-WAN collaborent avec des fournisseurs de solutions de sécurité ZTE pour compléter leur offre. Bien que de nombreuses options soient disponibles, les offres on premise n’ont pas l’agilité des systèmes Cloud et les combinaisons SD-WAN/ZTE nécessitent la configuration de règles pour chaque service, faute d’une console unique globale.
3. Une approche développée en interne, viable uniquement pour les grandes entreprises agiles qui ont la capacité de proposer leur propre offre ZTE en faisant appel à des fournisseurs de services Cloud pour les points de présence, les pare-feu hébergés dans le Cloud et d’autres services de sécurité qui résident dans le Cloud public. Bien qu’elle soit flexible, cette approche nécessite une surveillance constante de l’évolution des composants de sécurité, des services Cloud et des compétences informatiques nécessaires pour développer et gérer une telle offre.

On s’attend à ce que la solution ZTE soit plus rentable lorsqu’elle est basée sur le Cloud, dans la mesure où les solutions doivent reposer sur deux principes clés du Cloud :

• Une gestion du réseau et de la sécurité basée dans le Cloud qui fournit un ensemble unique de règles pour l’ensemble des utilisateurs de l’entreprise et des outils de gestion pour le réseau, le pare-feu et d’autres fonctionnalités de SD-WAN. Cette approche réduira les erreurs, augmentera l’efficacité et facilitera la mise en place de règles similaires pour plusieurs systèmes.
• Des outils de surveillance, de gestion et d’analyse qui font le lien entre le réseau et la sécurité. Cette caractéristique du ZTE permet d’optimiser l’utilisation des liaisons, de détecter les anomalies du réseau susceptibles de générer des problèmes de sécurité, et d’intégrer l’ensemble du réseau, y compris les systèmes d’appairage, dans la bulle de surveillance. Le volume considérable de données collectées et analysées nécessite l’utilisation de solutions Cloud pour le stockage et la transformation en données chiffrées souhaitées.

Une fois le déploiement finalisé, les entreprises peuvent centraliser la gestion, la surveillance et l’analyse de l’ensemble des services de sécurité et de réseau intégrés aux solutions ZTE, qu’elles soient hébergées dans le Cloud ou sur un site distant.

Le modèle Zero Trust Edge transforme, mais ne perturbe pas les modes d’utilisation traditionnels des fonctions de sécurité et réseau. En transformation constante, les fonctions de cybersécurité ont rapidement évolué vers le Zero Trust Edge.

Les entreprises se rallient au Zero Trust Edge pour maîtriser les problèmes de sécurité inhérents au télétravail, mais des défis importants doivent être relevés pour concrétiser pleinement les promesses du modèle :

Applications et services legacy. Les applications Web modernes qui prennent en charge la fédération des identités sont plus faciles à configurer dans une solution ZTE, mais ces applications basées sur des protocoles non-Web, notamment RDP/VDI pour l’accès à distance et SIP/VoIP pour les appels vocaux, ne sont pas aussi faciles à intégrer car elles ne sont pas normalisées pour être utilisées dans un environnement ZTE.

Matériel réseau legacy. Une fois que les ordinateurs et les applications sont associés à la solution ZTE, le département informatique doit prendre en compte la multitude de terminaux de technologie opérationnelle (TO) et Internet des objets (IoT), qui peuvent se compter par milliers dans n’importe quelle entreprise.

Capacité. Même si la solution ZTE permet de résoudre les problèmes tactiques d’accès des télétravailleurs, elle n’a pas encore la capacité de remplacer les services de réseau et de sécurité haute capacité qui fournissent actuellement les accès au Data Center. Les entreprises peuvent choisir de migrer vers le Cloud avant de passer à la protection ZTE pour certaines de leurs ressources.

Forrester définit le modèle ZTE comme une amélioration du modèle SASE d’origine, en mettant l’accent sur le composant zéro confiance de ce modèle. Internet ayant été conçu sans considérer la sécurité, il a engendré une multitude de logiciels malveillants et généré des surfaces d’attaque en constante évolution. L’approche ZTE consiste à ignorer les correctifs de sécurité et les mesures palliatives qui ont été appliqués pendant des décennies pour tenter une connexion sécurisée. Elle suppose le pire scénario possible et prend ainsi en charge l’authentification de chaque connexion, même si la seule connexion Internet du terminal consiste à passer par un tunnel vers un autre terminal, isolant ainsi les utilisateurs des zones dangereuses de l’Internet public.