Zero Trust Branch : dites adieu au déplacement latéral des menaces

Croissance du réseau et dissémination de la sécurité

Les architectures réseau traditionnelles ont été conçues pour un monde où vos employés étaient tous dans des bureaux et vos applications dans des data centers. Nous avons construit et optimisé des réseaux privés pour connecter les sites distants et les data centers à l’aide de technologies telles que MPLS et les VPN site à site, et plus récemment SD-WAN, et nous avons sécurisé le périmètre avec des pare-feu : tout ce qui se trouvait à l’intérieur du réseau était fiable et tout ce qui se trouvait à l’extérieur ne l’était pas.

À mesure que les applications se déplaçaient vers le cloud que les entreprises se disséminaient, nous avons simplement étendu ce réseau aux sites distants, aux partenaires et au cloud. Ces réseaux ont continué à accorder une confiance trop implicite. Les tentatives de segmentation de ces réseaux à l’aide de pare-feu n’ont fait que contribuer à une extension sans fin des pare-feu, à des projets de segmentation interminables et à une explosion des coûts et de la complexité, laissant les équipes d’infrastructure à court de ressources.

Le SD-WAN traditionnel facilite les attaques de ransomware

Si ces architectures réseau traditionnelles ont facilité la communication entre les utilisateurs, les appareils et les workloads, elles facilitent également le déplacement latéral des menaces. Un seul appareil infecté dans un site distant peut atteindre et infecter vos applications les plus précieuses dans le data center ou dans le cloud. Il s’agit d’un des principaux moyens de propagation des attaques de ransomware. Selon le rapport ThreatLabz 2024 sur les ransomwares, le nombre d’entreprises extorquées au cours de la seule année écoulée a connu une augmentation de 58 %, avec des paiements record qui ont atteint 75 millions de dollars. Les attaques de ransomware continuent de proliférer pour une raison simple : les SD-WAN traditionnels élargissent votre surface d’attaque et permettent les déplacements latéraux.

En continuant à utiliser des architectures obsolètes dans un monde moderne, vous augmentez non seulement les coûts et la complexité, mais également votre vulnérabilité.

Zero Trust Branch : pas de déplacement latéral, pas de pare-feu

Avec une architecture Zero Trust Branch, vous n’avez pas besoin d’étendre votre réseau de manière extensive ; vos sites distants sont semblables à des cafés. Les utilisateurs, les appareils et les applications communiquent via Zero Trust Exchange sur n’importe quelle connexion haut débit ou cellulaire. Il n’y a pas de ports ouverts à l’écoute des connexions VPN que les hackers pourraient exploiter. Un appareil situé sur un site ne peut pas analyser le réseau pour trouver des appareils et des applications sur d’autres sites. Sans réseau routable plat, vous n’avez pas besoin de pare-feu dans chaque site distant.

Zero Trust Branch repose sur trois innovations clés de Zscaler. Tout d’abord, Zscaler Zero Trust SD-WAN remplace votre SD-WAN traditionnel, MPLS ou VPN site à site, et facilite les communications entrantes et sortantes sécurisées depuis votre site distant. À l’aide d’une appliance Zscaler Edge qui interrompt et gère directement vos connexions FAI, Zero Trust SD-WAN optimise les performances des applications tout en offrant une protection complète des données et contre les cybermenaces pour l’ensemble du trafic des utilisateurs, des appareils et des serveurs du site distant. Avec trois appliances physiques (ZT 400, ZT 600 et ZT 800) et une appliance virtuelle (ZT VM), les entreprises peuvent connecter une variété de sites distants, de campus, d’usines et de data centers à Zero Trust Exchange.

Nous sommes heureux d’annoncer de nouvelles appliances Zscaler Edge avec un support cellulaire 5G, en tant que connexion FAI principale ou de secours, pour sécuriser des sites supplémentaires tels que les distributeurs automatiques de billets, les bureaux locaux et les magasins de détail. En outre, nous annonçons également des appliances à plus haut débit qui prendront en charge jusqu’à 5 Gbit/s de débit chiffré pour permettre plusieurs connexions fibre gigabit fonctionnant en mode actif-actif.

Avec le SD-WAN Zero Trust, les menaces ne peuvent pas se déplacer latéralement entre les sites. Au sein des sites, les innovations de Zero Trust Device Segmentation vous aident à segmenter davantage chaque appareil en un réseau unique, ce qui élimine le besoin de pare-feu internes (est-ouest), de NAC et de commutateurs propriétaires coûteux. Déployable en quelques heures, cette solution innovante découvre, identifie et segmente chaque appareil, même les systèmes OT traditionnels, et élimine tout déplacement latéral au sein du site.

L’accès des fournisseurs et des sous-traitants tiers aux systèmes et aux serveurs OT constitue un autre facteur de risque important de déplacement latéral des menaces. Traditionnellement, cela nécessitait une connexion réseau ou un VPN qui amenait des dispositifs non gérés/inconnus sur votre réseau avec un accès direct à vos ressources critiques. Zscaler Privileged Remote Access propose une approche plus sûre qui ne nécessite pas de connexion réseau entre les tiers et votre infrastructure. Avec un accès sans client basé sur un navigateur et la technologie de streaming de pixels avec contrôle du clavier et de la souris, vous pouvez permettre aux techniciens distants d’accéder en toute sécurité à vos systèmes OT, avec une supervision complète, un enregistrement de session et des contrôles du sandboxing de fichiers, afin de minimiser les risques pour vos usines et d’assurer la sécurité de votre personnel.

Réduire les coûts et améliorer la sécurité

Une architecture de site distant de type café présente de nombreux avantages pour les équipes chargées de l’infrastructure et les utilisateurs finaux.

• Coût inférieur : puisque vous n’étendez pas votre réseau de manière extensive, l’empreinte et le coût de votre infrastructure sont considérablement réduits. Vous n’avez pas besoin de sécuriser chaque site distant avec des pare-feu, tout comme vous ne sécurisez pas le réseau domestique de chaque employé. Vous éliminez la complexité du routage et la gestion des politiques de pare-feu.

• Meilleure sécurité : les ransomwares ne peuvent pas se déplacer latéralement entre les sites, ni même entre les appareils d’un même site. De plus, votre surface d’attaque se réduit, les sites distants n’étant plus des cibles valables. Zero Trust Exchange offre une protection complète des données et contre les cybermenaces, en veillant à ce que les appareils ne communiquent pas avec des sites de commande et contrôle connus ou n’exfiltrent pas de données via des canaux tels que le DNS.

• Meilleure expérience utilisateur : puisque vous ne devez plus effectuer le backhauling du trafic par votre data center pour l’inspection de sécurité, les applications s’exécutent plus rapidement et les utilisateurs bénéficient d’une meilleure expérience, plus cohérente, au bureau comme à domicile. Vous éliminez également les compromis de performances et de sécurité : tout le trafic, y compris le trafic chiffré TLS, peut être inspecté dans le Zero Trust Exchange sans dégradation des performances.

La solution Zscaler Zero Trust Branch ne se contente pas de simplifier l’architecture de votre site distant, réduisant jusqu’à 50 % les coûts d’infrastructure ; elle améliore également les performances et fournit une expérience utilisateur exceptionnelle. Et mieux encore, avec une architecture Zero Trust, il élimine le déplacement latéral des menaces et stoppe net les attaques de ransomware.

Pour en savoir plus sur les innovations de Zero Trust Branch, consultez notre page de ressources de lancement.