Qu’est-ce que l’accès au réseau zéro confiance (ZTNA) ?

 

L’accès au réseau zéro confiance est une solution de sécurité informatique qui fournit un accès sécurisé à distance aux applications, données et services d’une organisation en fonction de politiques de contrôle d’accès clairement définies.

 

Elle n’accorde l’accès qu’à des services ou applications spécifiques, ce qui la distingue des réseaux privés virtuels (VPN) qui octroient l’accès à un réseau entier. Alors qu’un nombre croissant d’utilisateurs accèdent aux ressources depuis leur domicile ou ailleurs, les solutions ZTNA permettent de combler les lacunes dans d’autres technologies et méthodes d’accès à distance sécurisé.

 

 

 

Comment fonctionne l’accès au réseau zéro confiance ?

Lorsque la technologie ZTNA est utilisée, l’accès à des applications ou à des ressources spécifiques n’est accordé qu’après l’authentification de l’utilisateur auprès du service ZTNA.

Une fois qu’il est authentifié, le service ZTNA accorde à l’utilisateur l’accès à une application spécifique via un tunnel sécurisé et crypté qui offre une couche de protection supplémentaire en protégeant les applications et les services des adresses IP qui seraient visibles sans cette barrière.

Zéro confiance

Guide SASE et ZTNA pour les nuls qui permet de comprendre rapidement ces technologies

Télécharger gratuitement 

Quels sont les cas d’usage de l’accès au réseau zéro confiance ?

Authentification et accès : le service ZTNA vise principalement à fournir un mécanisme d’accès hautement granulaire basé sur l’identité de l’utilisateur. Alors que l’accès VPN basé sur adresse IP offre un large accès au réseau une fois l’autorisation accordée, la solution ZTNA offre un accès limité et granulaire à des applications et des ressources spécifiques. La technologie ZTNA peut fournir davantage de niveaux de sécurité avec des politiques de contrôle d'accès spécifiques à l’emplacement ou au terminal, qui peuvent empêcher les terminaux indésirables ou altérés d’accéder aux ressources de l’organisation. Cet accès diffère de certains VPN qui offrent aux terminaux appartenant aux collaborateurs les mêmes privilèges d’accès que ceux des administrateurs on premise.

 

Contrôle et visibilité holistiques : dans la mesure où la solution ZTNA ne contrôle pas le trafic des utilisateurs après l’authentification, il peut y avoir un problème si un collaborateur malveillant utilise son accès à des fins néfastes, ou en cas de perte ou de vol des informations d’authentification d’un utilisateur. En intégrant la technologie ZTNA à une solution SASE (Secure Access Service Edge), une entreprise peut bénéficier des fonctionnalités de sécurité, de scalabilité et de réseau nécessaires à un accès distant sécurisé, ainsi que d’une surveillance post-connexion pour empêcher la perte de données, les actions malveillantes ou la compromission des informations d’authentification de l’utilisateur.

 

 

Avantages de l’accès au réseau zéro confiance

La solution ZTNA offre un moyen de connecter les utilisateurs, les applications et les données, même lorsqu’ils ne se trouvent pas sur le réseau de l’organisation ; en effet, il s’agit d’un scénario de plus en plus courant dans les environnements multicloud actuels où les applications basées sur des micro-services peuvent résider dans plusieurs clouds ainsi que dans un environnement on premise. Les organisations modernes doivent avoir leurs ressources numériques disponibles n’importe où, à tout moment, sur tout type de terminal au service d’une base d’utilisateurs dispersés.

 

Le service ZTNA répond à ce besoin en offrant un accès granulaire et contextuel aux applications stratégiques, sans avoir à exposer d’autres services à d’éventuels pirates.

Le modèle ZTNA a été inventé par Gartner pour éviter d’accorder une confiance excessive aux employeurs, sous-traitants et autres utilisateurs qui n’ont besoin que d’un accès très limité. Ce modèle repose sur le concept selon lequel rien n’est digne de confiance tant qu’il n’est pas prouvé qu’il l’est et, plus important encore, la confiance est remise en cause et doit être prouvée chaque fois qu’un paramètre de la connexion (emplacement, contexte, adresse IP, etc.) change.

 

 

Quelle est la différence entre l’approche VPN et l’approche ZTNA ?

Il existe plusieurs différences entre un VPN et l’accès au réseau zéro confiance. Les VPN sont conçus principalement pour offrir un accès au réseau dans son ensemble, alors que la solution ZTNA accorde l’accès à des ressources spécifiques et nécessite une réauthentification fréquente.

 

Certaines lacunes des VPN par rapport aux solutions ZTNA sont les suivantes :

Utilisation des ressources : à mesure que le nombre d'utilisateurs distants augmente, la charge sur le VPN peut entraîner une latence anormalement élevée et nécessiter l’ajout de nouvelles ressources pour répondre à la demande croissante ou aux pics d’utilisation. Cette situation est également susceptible de mettre à rude épreuve les équipes informatiques.

Flexibilité et agilité : les VPN n’offrent pas la même granularité que les solutions ZTNA. De plus, l’installation et la configuration d’un logiciel VPN sur les terminaux de tous les utilisateurs qui doivent être connectés aux ressources de l’entreprise s’avèrent parfois complexes. Inversement, il est beaucoup plus facile d’ajouter ou de supprimer des règles de sécurité et les autorisations des utilisateurs en fonction de leurs besoins immédiats. La règle de contrôle d’accès basé sur les attributs (ABAC) et le contrôle d’accès basé sur les rôles (RBAC) mis en œuvre dans les solutions ZTNA simplifient cette tâche.

Granularité : une fois dans le périmètre d’un VPN, l’utilisateur accède à l’ensemble du système. Dans le cadre des solutions ZTNA, une approche opposée est adoptée : l’accès n’est accordé que si une ressource (application, données ou service) n’est spécifiquement autorisé pour un utilisateur donné. Contrairement aux VPN, elles assurent une vérification d’identité en continu basée sur l’authentification de l’identité. Chaque utilisateur et chaque terminal sont vérifiés et authentifiés avant d’être autorisés à accéder à des applications, systèmes ou autres ressources spécifiques. Les VPN et les services ZTNA peuvent être utilisés conjointement avec la mise en œuvre d’une couche de sécurité supplémentaire si le VPN est compromis, et ce par exemple pour renforcer la sécurité sur un segment de réseau particulièrement sensible.

 

 

Comment implémenter la solution ZTNA ?

Il existe deux approches pour la mise en œuvre de l’architecture ZTNA : une activation sur le terminal et une activation via le service. Comme son nom l’indique, dans une architecture d’accès au réseau zéro confiance initiée par le terminal, l’utilisateur active l’accès à une application à partir d’un terminal connecté, comme avec une plate-forme SDP. Un agent installé sur le terminal communique avec le contrôleur ZTNA, qui assure l’authentification et établit la connexion au service souhaité.

 

À l’inverse, dans une solution ZTNA activée par un service, la connexion est établie par un courtier entre l’application et l’utilisateur. Dans ce contexte, un connecteur ZTNA léger doit être utilisé en avant-plan des applications d’entreprise situées on premise ou hébergées par les fournisseurs de Cloud. Une fois que la connexion sortante de l’application demandée authentifie l’utilisateur ou une autre application, le trafic passe par le fournisseur de services ZTNA, qui isole les applications d’un accès direct via un proxy. L’avantage de cette méthode est qu’aucun agent n’est requis sur les terminaux des utilisateurs, ce qui la rend plus attrayante pour les terminaux non gérés ou BYOD des consultants ou des partenaires.

 

Les modèles d’accès au réseau zéro confiance existent en deux versions : ZTNA autonome ou ZTNA sous forme de service. Voici les principales différences :

 

À la périphérie de l’environnement (Cloud ou Data Center), la solution ZTNA autonome exige que l’organisation déploie et gère toutes les composantes ZTNA, en négociant des connexions sécurisées. Même si ce scénario convient bien aux organisations réticentes au Cloud, le déploiement, la gestion et la maintenance deviennent des charges supplémentaires.

 

Avec une solution ZTNA sous forme de service hébergé dans le Cloud, les entreprises peuvent tirer parti de l’infrastructure du fournisseur de Cloud pour l’ensemble des opérations, du déploiement à l’application de politiques. Dans ce cas, l’organisation acquiert simplement des licences utilisateur, déploie des connecteurs devant des applications sécurisées et laisse le fournisseur de Cloud/ZTNA assurer la connectivité, gérer la capacité et l’infrastructure. Cela simplifie la gestion et le déploiement, et la solution ZTNA dans le Cloud peut garantir un trajet optimal du trafic qui générera la latence la plus faible pour tous les utilisateurs.


Selon Gartner, plus de 90 % des organisations mettent en œuvre la technologie ZTNA sous forme de service.

Produits, solutions et ressources d’accès au réseau zéro confiance VMware

VMware SD-WAN

VMware SD-WAN va au-delà des fonctionnalités de base pour proposer une véritable solution SASE complète qui prend en charge la transition des entreprises vers le Cloud.

Mettre en œuvre la sécurité zéro confiance

Gagnez en visibilité et en contrôle grâce à une approche intrinsèque de la sécurité zéro confiance qui est modulaire, ce qui facilite la sécurisation de l’ensemble de votre empreinte numérique.

Cas d’usage de VMware SD-WAN édition Enterprise

Les entreprises doivent faire face à une augmentation des coûts de la bande passante et de la complexité des déploiements sur le réseau.

Secure Access Service Edge (SASE)

Secure Access Service Edge, ou SASE, est une solution qui converge la gestion de réseau et la sécurité dans le Cloud dans une logique de simplicité, de scalabilité, de flexibilité et de sécurité constante.

Magic Quadrant 2020 de Gartner relatif à l’infrastructure Edge WAN

Lisez le rapport Magic Quadrant 2020 de Gartner pour en savoir plus.

Solutions Anywhere Workspace

Offrez à vos collaborateurs la possibilité de travailler n’importe où, tout en bénéficiant d’une expérience fluide et sécurisée.