La sécurité zéro confiance est un concept créé sur la conviction que la confiance implicite est toujours une vulnérabilité, et par conséquent la sécurité doit être conçue avec la stratégie « Ne jamais faire confiance, toujours vérifier ». Dans sa forme la plus simple, le modèle zéro confiance limite l’accès aux ressources informatiques à l’aide de processus stricts de vérification de l’identité et des terminaux.
L’identité zéro confiance (ZTI) et l’accès zéro confiance (ZTA) garantissent tous deux qu’aucun terminal ni utilisateur n’est approuvé par défaut, quels que soient l’emplacement et le type, et l’accès au réseau zéro confiance (ZTNA) limite les utilisateurs et les terminaux vérifiés à des segments de réseau spécifiques, plutôt que d’accorder l’accès à l’échelle du réseau.
L’approche zéro confiance renforce les contrôles de sécurité stricts pour les utilisateurs et les terminaux, avant qu’ils n’accèdent aux ressources protégées. L’authentification et l’autorisation d’identité zéro confiance utilisent le principe du privilège minimum (PoLP, Principle of Least Privilege), qui accorde les droits minimum absolus requis pour une fonction donnée, avant qu’un paquet ne soit transféré.
Cela est devenu nécessaire en raison de l’évolution des modes d’accès aux ressources réseau. L’époque du périmètre réseau ou de l’accès par VPN uniquement est révolue. La mobilité croissante du personnel d’aujourd’hui et l’augmentation télétravail exigent de nouvelles méthodes de sécurité les utilisateurs, tandis que la nature de plus en plus distribuée de l’informatique avec des conteneurs et des microservices signifie que les connexions entre terminaux augmentent également.
Ainsi, le modèle zéro confiance nécessite une authentification mutuelle pour confirmer l’identité et l’intégrité des terminaux, quel que soit leur emplacement, afin d’accorder l’accès en fonction de la fiabilité de l’identité du terminal, de l’intégrité du terminal et de l’authentification de l’utilisateur.
L’architecture réseau zéro confiance résout deux faiblesses qui ont évolué parallèlement à l’évolution des topologies et de l’utilisation des réseaux. Traditionnellement, la sécurité réseau était définie par un périmètre comportant des points de démarcation clairs entre « l’intérieur » et « l’extérieur » du réseau d’entreprise. Cette approche accordait souvent aux utilisateurs et aux terminaux un accès étendu « à l’intérieur » du périmètre du réseau, de sorte qu’un terminal sur un segment de réseau pouvait voir tous les autres segments de réseau dans le périmètre de l’entreprise.
Aujourd’hui, les terminaux et les accès informatiques sont largement distribués avec le Cloud, la mobilité, la périphérie et l’IoT, des composants qui ont brouillé les points de démarcation, rendant ainsi de plus en plus difficile la défense du périmètre. L’approche ZTNA suppose que tout ce qui se trouve à l’intérieur ou à l’extérieur du périmètre du réseau n’est pas fiable, chaque transaction et connexion est donc authentifiée pour chaque accès. Une fois l’authentification faite, l’approche ZTNA crée un réseau micro-segmenté avec un accès extrêmement limité. L’identité zéro confiance n’est pas basée sur l’adresse IP, mais sur des attributs logiques tels que les noms de machine virtuelle.
Il existe de nombreux cas d’usage du modèle zéro confiance, notamment la limitation de l’accès à des tiers externes tels que les fournisseurs et les sous-traitants, l’isolation des terminaux IoT et la fourniture d’une connectivité à distance sécurisée pour un personnel de plus en plus mobile.
Zéro confiance pour les fournisseurs et les sous-traitants.
De nombreuses violations de sécurité notables ont été causées par des tiers « de confiance », comme la fameuse attaque de Target. Offrir un accès étendu à des entreprises extérieures pourrait s’avérer désastreux. Le modèle zéro confiance résout ce problème de deux manières, d’abord avec une authentification stricte à l’aide de l’authentification multifacteur ou d’une autre plate-forme de gestion des identités et des accès (IAM) qui permet à chaque partie externe de se voir attribuer une catégorie d’autorisation qui définit son accès au sein du réseau. De plus, la segmentation peut limiter l’accès à la seule partie du réseau requise pour effectuer la tâche ou la transaction avec le tiers.
Zéro confiance et IoT.
Il y aura de plus en plus de terminaux IoT, avec près de 15 milliards prévus à l’horizon 2023. Leur omniprésence (et leurs capacités de sécurité souvent limitées) exigent l’adoption d’une approche zéro confiance lors pour l’accès IoT aux ressources réseau. Par exemple, les terminaux IoT peuvent être isolés sur un seul segment de réseau conçu à cette fin, limitant l’accès d’un terminal IoT compromis et sa propagation latérale à d’autres ressources réseau plus sensibles.
Zéro confiance pour les télétravailleurs.
Alors que de plus en plus de collaborateurs travaillent en dehors des périmètres réseau traditionnels, que ce soit en raison d’une politique d’entreprise ou d’une pandémie, la solution ZTNA fournit un accès sécurisé aux collaborateurs et limite la surface d’attaque en garantissant que tous les collaborateurs, qu’ils travaillent avec un VPN ou un réseau Wi-Fi public chez Starbucks, se connectent en toute sécurité aux données de l’entreprise, les services et les ressources dont ils ont besoin.
Le principe de base du zéro confiance est « ne jamais faire confiance, toujours vérifier ». Aucun terminal ou utilisateur n’est digne de confiance, quels que soient son emplacement, son adresse IP ou sa méthode d’accès au réseau. Chaque interaction sur le réseau nécessite toujours une vérification, peu importe où se trouve la source. De plus, l’accès au réseau doit être limité au segment le plus petit possible pour atteindre l’objectif souhaité, car la plupart des réseaux sont composés de zones interconnectées, avec une infrastructure on premise, des utilisateurs Cloud, distants et mobiles.
Pour VMware, la sécurité zéro confiance signifie créer une architecture de sécurité moderne, conçue pour être beaucoup plus robuste et dynamique, et qui renforce la confiance de manière plus approfondie et complète.
Pour mettre en œuvre cette approche zéro confiance plus complète, VMware propose 5 piliers de l’architecture zéro confiance.
Le principe de base du zéro confiance est « ne jamais faire confiance, toujours vérifier ». Aucun terminal ou utilisateur n’est digne de confiance, quels que soient son emplacement, son adresse IP ou sa méthode d’accès au réseau. Chaque interaction sur le réseau nécessite toujours une vérification, peu importe où se trouve la source. De plus, l’accès au réseau doit être limité au segment le plus petit possible pour atteindre l’objectif souhaité, car la plupart des réseaux sont composés de zones interconnectées, avec une infrastructure on premise, des utilisateurs Cloud, distants et mobiles.
Pour VMware, la sécurité zéro confiance signifie créer une architecture de sécurité moderne, conçue pour être beaucoup plus robuste et dynamique, et qui renforce la confiance de manière plus approfondie et complète.
Pour mettre en œuvre cette approche zéro confiance plus complète, VMware propose 5 piliers de l’architecture zéro confiance.
1. Confiance dans le terminal
En mettant en place des solutions comme la gestion, l’inventaire des terminaux et l’authentification des terminaux, les entreprises peuvent limiter le risque qu’un utilisateur non autorisé accède au terminal à des fins néfastes.
2. Confiance dans l’utilisateur
La confiance dans l’utilisateur se compose de l’authentification par mot de passe, de l’authentification multifacteur, de l’accès conditionnel et de l’estimation des risques. Tous ces éléments visent à « prouver » que l’utilisateur est autorisé et validé.
3. Confiance dans le transport/la session
Les paramètres de transport/session se basent sur le principe du privilège minimum pour accéder aux ressources en limitant les droits des utilisateurs et en appliquant les permissions minimum pour effectuer une tâche donnée.
4. Confiance dans l’application
Le renforcement des paramètres de confiance dans l’application sont disponibles sur les outils. Il s’agit notamment de l’authentification unique (SSO), de l’isolation et de l’accès aux terminaux.
5. Confiance dans les données
La confiance dans les données constitue le dernier pilier du modèle zéro confiance de VMware. Les stratégies de confiance dans les données incluent la protection des données inactives via le chiffrement ou l’immutabilité, l’intégrité des données (vérification fréquente de l’intégrité des données), la prévention des pertes de données (DLP) et la classification des données.
Chacun de ces cinq piliers du modèle zéro confiance est pris en charge par une couche d’architecture de visibilité et de données chiffrées, ainsi que par l’automatisation et l’orchestration.
Plusieurs outils et technologies contribuent aux meilleures pratiques pour une approche zéro confiance. Voici une liste de ceux qui sont les plus essentiels à la réussite :
Pour accéder à des segments individuels, les utilisateurs sont soumis à des procédures strictes de vérification de l’identité et des terminaux. Chaque session doit être authentifiée, autorisée et prise en compte (note AAA) pour qu’une session de communication soit établie.
Pour obtenir une identité zéro confiance, les identités réseau doivent être basées sur des attributs logiques tels que l’authentification multifacteur (MFA), un certificat TLS (Transport Layer Security), un service applicatif ou l’utilisation d’un libellé/d’une balise logique.
L’authentification ne se produit qu’après que deux (ou plus) des facteurs valident l’utilisateur comme légitime.
Pour maintenir un réseau zéro confiance, le département informatique doit :
Avec le pare-feu service-defined VMware, les entreprises bénéficient d’une visibilité étendue et de contrôles exhaustifs des règles à partir d’une console unique.
Pour la mise en œuvre complète d’une architecture d’accès au réseau zéro confiance, VMware propose un pare-feu service-defined VMware interne, distribué, à scalabilité horizontale et basé sur VMware NSX, qui sécurise le trafic est-ouest dans les environnements multicloud.
Plate-forme de l’espace de travail numérique adoptant un modèle « zéro confiance ».
Mettez en œuvre une stratégie zéro confiance avec moins d’outils et de silos, un meilleur contexte et une sécurité optimale.