We couldn't find a match for given <KEYWORD>, please try again.

En quoi consiste le ZTNA ?

L’accès au réseau zéro confiance est une solution de sécurité informatique qui fournit un accès distant sécurisé aux applications, données et services d’une entreprise en fonction de politiques de contrôle d’accès clairement définies. Elle n’accorde l’accès qu’à des services ou applications spécifiques, ce qui la distingue des réseaux privés virtuels (VPN) qui octroient l’accès à un réseau entier. Alors qu’un nombre croissant d’utilisateurs accèdent aux ressources depuis leur domicile ou ailleurs, les solutions ZTNA permettent de combler les lacunes dans d’autres technologies et méthodes d’accès distant sécurisé.

Comment passer à une stratégie zéro confiance

Simplifiez votre transition vers le modèle zéro confiance

Comment fonctionne le ZTNA ?

Lorsque la technologie ZTNA est utilisée, l’accès à des applications ou à des ressources spécifiques n’est accordé qu’après l’authentification de l’utilisateur auprès du service ZTNA. Une fois qu’il est authentifié, le service ZTNA accorde à l’utilisateur l’accès à une application spécifique via un tunnel sécurisé et crypté qui offre une couche de protection supplémentaire en protégeant les applications et les services des adresses IP qui seraient visibles sans cette barrière.

De cette manière, les ZTNA agissent comme des périmètres software-defined (SDP), s’appuyant sur la même idée de « Cloud noir » pour empêcher les utilisateurs d’avoir une visibilité sur les autres applications et services auxquels ils ne sont pas autorisés à accéder. Cela offre également une protection contre les attaques latérales, car même si un cybercriminel obtenait un accès, il ne serait pas en mesure d’analyser les autres services.

Quels sont les cas d’usage des ZTNA ?

Authentification et accès : le service ZTNA vise principalement à fournir un mécanisme d’accès hautement granulaire basé sur l’identité de l’utilisateur. Alors que l’accès VPN basé sur adresse IP offre un large accès au réseau une fois l’autorisation accordée, la solution ZTNA offre un accès limité et granulaire à des applications et des ressources spécifiques. La technologie ZTNA peut fournir davantage de niveaux de sécurité avec des politiques de contrôle d’accès spécifiques à l’emplacement ou au terminal, qui peuvent empêcher les terminaux indésirables ou altérés d’accéder aux ressources de l’entreprise. Cet accès diffère de certains VPN qui offrent aux terminaux appartenant aux collaborateurs les mêmes privilèges d’accès que ceux des administrateurs on premise.

Contrôle et visibilité holistiques : dans la mesure où la solution ZTNA ne contrôle pas le trafic des utilisateurs après l’authentification, il peut y avoir un problème si un collaborateur malveillant utilise son accès à des fins néfastes, ou en cas de perte ou de vol des informations d’authentification d’un utilisateur. En intégrant la technologie ZTNA à une solution SASE (Secure Access Service Edge), une entreprise peut bénéficier des fonctionnalités de sécurité, de scalabilité et de réseau nécessaires à un accès distant sécurisé, ainsi que d’une surveillance post-connexion pour empêcher la perte de données, les actions malveillantes ou la compromission des informations d’authentification de l’utilisateur.

Avantages de la technologie ZTNA

La solution ZTNA offre un moyen de connecter les utilisateurs, les applications et les données, même lorsqu’ils ne se trouvent pas sur le réseau de l’entreprise ; en effet, il s’agit d’un scénario de plus en plus courant dans les environnements multicloud actuels où les applications basées sur des micro-services peuvent résider dans plusieurs Clouds ainsi que dans un environnement on premise. Les entreprises modernes doivent avoir leurs ressources numériques disponibles n’importe où, à tout moment, sur tout type de terminal au service d’une base d’utilisateurs dispersés.

Le service ZTNA répond à ce besoin en offrant un accès granulaire et contextuel aux applications stratégiques, sans avoir à exposer d’autres services à d’éventuels pirates.

Le modèle ZTNA a été inventé par Gartner pour éviter d’accorder une confiance excessive aux employeurs, sous-traitants et autres utilisateurs qui n’ont besoin que d’un accès très limité. Ce modèle repose sur le concept selon lequel rien n’est digne de confiance tant qu’il n’est pas prouvé qu’il l’est et, plus important encore, la confiance est remise en cause et doit être prouvée chaque fois qu’un paramètre de la connexion (emplacement, contexte, adresse IP, etc.)change.

Quelle est la différence entre l’approche VPN et l’approche ZTNA ?

Il existe plusieurs différences entre un VPN et l’accès au réseau zéro confiance. Les VPN sont conçus principalement pour offrir un accès au réseau dans son ensemble, alors que la solution ZTNA accorde l’accès à des ressources spécifiques et nécessite une réauthentification fréquente.

Voici quelques lacunes qu’ont les VPN par rapport aux solutions ZTNA :

Utilisation des ressources : à mesure que le nombre d’utilisateurs distants augmente, la charge sur le VPN peut entraîner une latence anormalement élevée et nécessiter l’ajout de nouvelles ressources pour répondre à la demande croissante ou aux pics d’utilisation. Cette situation est également susceptible de mettre à rude épreuve les équipes informatiques.

Flexibilité et agilité : les VPN n’offrent pas la même granularité que les solutions ZTNA. De plus, l’installation et la configuration d’un logiciel VPN sur les terminaux de tous les utilisateurs qui doivent être connectés aux ressources de l’entreprise s’avèrent parfois complexes. Inversement, il est beaucoup plus facile d’ajouter ou de supprimer des règles de sécurité et les autorisations des utilisateurs en fonction de leurs besoins immédiats. La règle de contrôle d’accès basé sur les attributs (ABAC) et le contrôle d’accès basé sur les rôles (RBAC) mis en œuvre dans les solutions ZTNA simplifient cette tâche.

Granularité : une fois dans le périmètre d’un VPN, l’utilisateur accède à l’ensemble du système. Dans le cadre des solutions ZTNA, une approche opposée est adoptée : l’accès n’est accordé que si une ressource (application, données ou service) n’est spécifiquement autorisé pour un utilisateur donné. Contrairement aux VPN, elles assurent une vérification d’identité en continu basée sur l’authentification de l’identité. Chaque utilisateur et chaque terminal sont vérifiés et authentifiés avant d’être autorisés à accéder à des applications, systèmes ou autres ressources spécifiques. Les VPN et les services ZTNA peuvent être utilisés conjointement avec la mise en œuvre d’une couche de sécurité supplémentaire si le VPN est compromis, et ce par exemple pour renforcer la sécurité sur un segment de réseau particulièrement sensible.

Comment implémenter la solution ZTNA ?

Il existe deux approches pour la mise en œuvre de l’architecture ZTNA : une activation sur le terminal et une activation via le service. Comme son nom l’indique, dans une architecture d’accès au réseau zéro confiance initiée par le terminal, l’utilisateur active l’accès à une application à partir d’un terminal connecté, comme avec une plate-forme SDP. Un agent installé sur le terminal communique avec le contrôleur ZTNA, qui assure l’authentification et établit la connexion au service souhaité.

À l’inverse, dans une solution ZTNA activée par un service, la connexion est établie par un courtier entre l’application et l’utilisateur. Dans ce contexte, un connecteur ZTNA léger doit être utilisé en avant-plan des applications d’entreprise situées on premise ou hébergées par les fournisseurs de Cloud. Une fois que la connexion sortante de l’application demandée authentifie l’utilisateur ou une autre application, le trafic passe par le fournisseur de services ZTNA, qui isole les applications d’un accès direct via un proxy. L’avantage de cette méthode est qu’aucun agent n’est requis sur les terminaux des utilisateurs, ce qui la rend plus attrayante pour les terminaux non gérés ou BYOD des consultants ou des partenaires.

Les modèles d’accès au réseau zéro confiance existent en deux versions : ZTNA autonome ou ZTNA sous forme de service. Voici les principales différences :

À la périphérie de l’environnement (Cloud ou Data Center), la solution ZTNA autonome exige que l’entreprise déploie et gère toutes les composantes ZTNA, en négociant des connexions sécurisées. Même si ce scénario convient bien aux entreprises réticentes au Cloud, le déploiement, la gestion et la maintenance deviennent des charges supplémentaires.

Avec une solution ZTNA sous forme de service hébergé dans le Cloud, les entreprises peuvent tirer parti de l’infrastructure du fournisseur de Cloud pour l’ensemble des opérations, du déploiement à l’application de règles. Dans ce cas, l’entreprise acquiert simplement des licences utilisateur, déploie des connecteurs devant des applications sécurisées et laisse le fournisseur de Cloud/ZTNA assurer la connectivité, gérer la capacité et l’infrastructure. Cela simplifie la gestion et le déploiement, et la solution ZTNA dans le Cloud peut garantir un trajet optimal du trafic qui générera la latence la plus faible pour tous les utilisateurs.


Selon Gartner, plus de 90 % des entreprises mettent en œuvre la technologie ZTNA sous forme de service.

 

Solutions et produits connexes

Mettre en œuvre la sécurité zéro confiance

Protégez vos données et applications avec une vérification continue.

Solutions Anywhere Workspace

Offrez à vos collaborateurs la possibilité de travailler partout.