La solution ZTNA offre un moyen de connecter les utilisateurs, les applications et les données, même lorsqu’ils ne se trouvent pas sur le réseau de l’entreprise ; en effet, il s’agit d’un scénario de plus en plus courant dans les environnements multicloud actuels où les applications basées sur des micro-services peuvent résider dans plusieurs Clouds ainsi que dans un environnement on premise. Les entreprises modernes doivent avoir leurs ressources numériques disponibles n’importe où, à tout moment, sur tout type de terminal au service d’une base d’utilisateurs dispersés.

Le service ZTNA répond à ce besoin en offrant un accès granulaire et contextuel aux applications stratégiques, sans avoir à exposer d’autres services à d’éventuels pirates.

Le modèle ZTNA a été inventé par Gartner pour éviter d’accorder une confiance excessive aux employeurs, sous-traitants et autres utilisateurs qui n’ont besoin que d’un accès très limité. Ce modèle repose sur le concept selon lequel rien n’est digne de confiance tant qu’il n’est pas prouvé qu’il l’est et, plus important encore, la confiance est remise en cause et doit être prouvée chaque fois qu’un paramètre de la connexion (emplacement, contexte, adresse IP, etc.)change.

Il existe plusieurs différences entre un VPN et l’accès au réseau zéro confiance. Les VPN sont conçus principalement pour offrir un accès au réseau dans son ensemble, alors que la solution ZTNA accorde l’accès à des ressources spécifiques et nécessite une réauthentification fréquente.

Voici quelques lacunes qu’ont les VPN par rapport aux solutions ZTNA :

Utilisation des ressources : à mesure que le nombre d’utilisateurs distants augmente, la charge sur le VPN peut entraîner une latence anormalement élevée et nécessiter l’ajout de nouvelles ressources pour répondre à la demande croissante ou aux pics d’utilisation. Cette situation est également susceptible de mettre à rude épreuve les équipes informatiques.

Flexibilité et agilité : les VPN n’offrent pas la même granularité que les solutions ZTNA. De plus, l’installation et la configuration d’un logiciel VPN sur les terminaux de tous les utilisateurs qui doivent être connectés aux ressources de l’entreprise s’avèrent parfois complexes. Inversement, il est beaucoup plus facile d’ajouter ou de supprimer des règles de sécurité et les autorisations des utilisateurs en fonction de leurs besoins immédiats. La règle de contrôle d’accès basé sur les attributs (ABAC) et le contrôle d’accès basé sur les rôles (RBAC) mis en œuvre dans les solutions ZTNA simplifient cette tâche.

Granularité : une fois dans le périmètre d’un VPN, l’utilisateur accède à l’ensemble du système. Dans le cadre des solutions ZTNA, une approche opposée est adoptée : l’accès n’est accordé que si une ressource (application, données ou service) n’est spécifiquement autorisé pour un utilisateur donné. Contrairement aux VPN, elles assurent une vérification d’identité en continu basée sur l’authentification de l’identité. Chaque utilisateur et chaque terminal sont vérifiés et authentifiés avant d’être autorisés à accéder à des applications, systèmes ou autres ressources spécifiques. Les VPN et les services ZTNA peuvent être utilisés conjointement avec la mise en œuvre d’une couche de sécurité supplémentaire si le VPN est compromis, et ce par exemple pour renforcer la sécurité sur un segment de réseau particulièrement sensible.

Il existe deux approches pour la mise en œuvre de l’architecture ZTNA : une activation sur le terminal et une activation via le service. Comme son nom l’indique, dans une architecture d’accès au réseau zéro confiance initiée par le terminal, l’utilisateur active l’accès à une application à partir d’un terminal connecté, comme avec une plate-forme SDP. Un agent installé sur le terminal communique avec le contrôleur ZTNA, qui assure l’authentification et établit la connexion au service souhaité.

À l’inverse, dans une solution ZTNA activée par un service, la connexion est établie par un courtier entre l’application et l’utilisateur. Dans ce contexte, un connecteur ZTNA léger doit être utilisé en avant-plan des applications d’entreprise situées on premise ou hébergées par les fournisseurs de Cloud. Une fois que la connexion sortante de l’application demandée authentifie l’utilisateur ou une autre application, le trafic passe par le fournisseur de services ZTNA, qui isole les applications d’un accès direct via un proxy. L’avantage de cette méthode est qu’aucun agent n’est requis sur les terminaux des utilisateurs, ce qui la rend plus attrayante pour les terminaux non gérés ou BYOD des consultants ou des partenaires.

Les modèles d’accès au réseau zéro confiance existent en deux versions : ZTNA autonome ou ZTNA sous forme de service. Voici les principales différences :

À la périphérie de l’environnement (Cloud ou Data Center), la solution ZTNA autonome exige que l’entreprise déploie et gère toutes les composantes ZTNA, en négociant des connexions sécurisées. Même si ce scénario convient bien aux entreprises réticentes au Cloud, le déploiement, la gestion et la maintenance deviennent des charges supplémentaires.

Avec une solution ZTNA sous forme de service hébergé dans le Cloud, les entreprises peuvent tirer parti de l’infrastructure du fournisseur de Cloud pour l’ensemble des opérations, du déploiement à l’application de règles. Dans ce cas, l’entreprise acquiert simplement des licences utilisateur, déploie des connecteurs devant des applications sécurisées et laisse le fournisseur de Cloud/ZTNA assurer la connectivité, gérer la capacité et l’infrastructure. Cela simplifie la gestion et le déploiement, et la solution ZTNA dans le Cloud peut garantir un trajet optimal du trafic qui générera la latence la plus faible pour tous les utilisateurs.

Selon Gartner, plus de 90 % des entreprises mettent en œuvre la technologie ZTNA sous forme de service.