Zpedia 

/ Qu’est-ce qu’une architecture Zero Trust ?

Qu’est-ce qu’une architecture Zero Trust ?

L’architecture Zero Trust désigne une architecture de sécurité conçue pour réduire la surface d’attaque d’un réseau, empêcher le déplacement latéral des menaces et réduire le risque de violation des données basée sur le modèle de sécurité Zero Trust. Un tel modèle délaisse le « périmètre réseau » traditionnel, à l’intérieur duquel tous les appareils et utilisateurs sont considérés comme fiables et bénéficient d’autorisations étendues, au profit de contrôles d’accès sur la base du moindre privilège, d’une microsegmentation granulaire et d’une authentification multifacteur (MFA).

7 éléments de l’architecture Zero trust

Architecture Zero Trust et Accès réseau Zero Trust : quelle est la différence ?

Avant d’examiner plus en détail les différentes architectures Zero Trust, faisons la distinction entre ces deux termes intimement liés :

  • Une architecture Zero Trust (ZTA) est une conception qui répond aux principes de Zero Trust, tels que la gestion hermétique des accès, l’authentification stricte des appareils et des utilisateurs, et une solide segmentation. Elle se distingue d’une architecture cloisonnée qui fait confiance par défaut à tout ce qui se trouve à l’intérieur du périmètre.
  • L’accès réseau Zero Trust (ZTNA) est un cas d’utilisation de Zero Trust qui garantit aux utilisateurs un accès sécurisé aux applications et aux données lorsque les utilisateurs, les applications ou les données ne se trouvent pas à l’intérieur d’un périmètre de sécurité traditionnel, situation de plus en plus courante à l’ère du cloud et du travail hybride.

En associant les deux, l’architecture Zero Trust fournit la base permettant aux entreprises de proposer un ZTNA et rendre leurs systèmes, services, API, données et processus accessibles de n’importe où, à tout moment et depuis n’importe quel appareil.

Comprendre la nécessité d’une architecture Zero Trust

Pendant des décennies, les entreprises ont conçu et reconfiguré des réseaux en étoile complexes et étendus. Dans ces environnements, les utilisateurs et les filiales se connectent au data center par le biais de connexions privées. Les utilisateurs doivent se trouver sur le réseau pour accéder aux applications dont ils ont besoin. Les réseaux en étoile sont sécurisés par des piles d’appliances telles que des VPN et des pare-feu de « nouvelle génération », selon une architecture de sécurité réseau cloisonnée.

Cette approche a bien servi les entreprises lorsque leurs applications étaient hébergées dans leurs data centers, mais aujourd’hui, avec l’essor des services cloud, les technologies émergentes et les préoccupations croissantes en matière de sécurité, elle les ralentit.

Désormais, la transformation numérique s’accélère à mesure que les entreprises adoptent le cloud, la mobilité, l’IA, l’Internet des objets (IoT) et la technologie opérationnelle (OT) pour devenir plus agiles et compétitives. Les utilisateurs sont partout, et les données des entreprises ne se trouvent plus exclusivement dans leurs data centers. Pour pouvoir collaborer et rester productifs, les utilisateurs veulent un accès direct aux applications, de n’importe où et à tout moment.

Le routage du trafic vers le data center pour atteindre en toute sécurité les applications dans le cloud n’a pas de sens. C’est pourquoi les entreprises abandonnent le modèle de réseau en étoile au profit d’un modèle qui assure une connectivité directe au cloud : une architecture Zero Trust.

Cette vidéo donne un aperçu concis de la transformation numérique sécurisée.

Quels sont les principes fondamentaux du Zero Trust ?

Zero Trust ne se résume pas à l’identité de l’utilisateur, la segmentation et l’accès sécurisé. Il s’agit d’une stratégie de sécurité sur laquelle repose un écosystème de cybersécurité complet. Elle repose sur trois principes fondamentaux :

  1. Mettre fin à chaque connexion : contrairement aux techniques d’inspection passthrough communes aux technologies existantes (par exemple, les pare-feu), une architecture Zero Trust efficace met fin à chaque connexion pour permettre à une architecture proxy inline d’inspecter tout le trafic, y compris le trafic chiffré, en temps réel, avant qu’il n’atteigne sa destination.
  2. Protéger les données à l’aide de politiques contextuelles granulaires : les politiques Zero Trust vérifient les demandes et les droits d’accès en fonction du contexte, notamment l’identité de l’utilisateur, l’appareil, l’emplacement, le type de contenu et l’application demandée. Les politiques sont adaptatives, de sorte que la validation et les privilèges d’accès des utilisateurs sont continuellement réévalués à mesure que le contexte change.
  3. Réduire les risques en éliminant la surface d’attaque : avec une approche Zero Trust, les utilisateurs se connectent directement aux applications et aux ressources, jamais aux réseaux (voir ZTNA). Les connexions directes éliminent le risque de déplacement latéral et empêchent les appareils compromis d’infecter d’autres ressources. De plus, les utilisateurs et les applications sont invisibles sur Internet ; ils ne peuvent donc pas être découverts ni attaqués.

Quels sont les 5 piliers de l’architecture Zero Trust ?

Les cinq « piliers » du Zero Trust ont été définis pour la première fois par l’agence américaine Cybersecurity and Infrastructure Security Agency (CISA) afin d’orienter les principales capacités du Zero Trust que les agences gouvernementales (et d’autres organismes) devraient mettre en œuvre dans le cadre de leurs stratégies Zero Trust.

Les cinq piliers sont les suivants :

  • Identité : adoptez une approche d’accès sur la base du moindre privilège pour la gestion des identités.
  • Appareils : garantissez l’intégrité des appareils utilisés pour accéder aux services et aux données.
  • Réseaux : alignez la segmentation et les protections du réseau en fonction des besoins des flux de travail de leurs applications au lieu de la confiance implicite inhérente à la segmentation réseau traditionnelle.
  • Applications et workloads : intégrez plus étroitement les protections aux flux de travail des applications en accordant un accès aux applications en fonction de l’identité, de la conformité des appareils et d’autres attributs.
  • Données : passez à une approche de la cybersécurité centrée sur les données, en commençant par identifier, classer et inventorier les ressources de données.

Chaque capacité peut progresser à son propre rythme et peut être plus avancée que les autres ; à un moment donné, une coordination entre les piliers (mettant l’accent sur l’interopérabilité et les dépendances) est nécessaire pour garantir la compatibilité. Cela facilite une évolution progressive vers le Zero Trust, et permet de répartir les coûts et les efforts dans le temps.

Comment fonctionne l’architecture Zero Trust ?

Basé sur une idée simple, « ne jamais faire confiance, toujours vérifier », le Zero Trust part du principe que tout ce qui se trouve sur le réseau est hostile ou compromis, et l’accès à une application n’est accordé qu’après vérification de l’identité de l’utilisateur, de la posture de l’appareil utilisé et du contexte opérationnel, et après application des règles et politiques. L’ensemble du trafic doit être journalisé et inspecté, ce qui exige un degré de visibilité que les contrôles de sécurité traditionnels ne peuvent satisfaire.

Une véritable approche Zero Trust est déployée avec une architecture basée sur un proxy qui connecte les utilisateurs directement aux applications plutôt qu’au réseau, ce qui permet d’appliquer des contrôles supplémentaires avant que les connexions ne soient autorisées ou bloquées.

Avant d’établir une connexion, une architecture Zero Trust soumet chaque connexion à un processus en trois étapes :

  1. Vérifier l’identité et le contexte. Dès que l’utilisateur/appareil, le workload ou l’appareil IoT/OT sollicite une connexion, quel que soit le réseau sous-jacent, l’architecture Zero Trust met d’abord fin à la connexion, puis vérifie l’identité et le contexte en analysant l’initiateur, le motif et la destination de la demande.
  2. Contrôler le risque. Une fois l’identité et le contexte de l’initiateur de la demande vérifiés, et les règles de segmentation appliquées, l’architecture Zero Trust évalue le risque associé à la demande de connexion et inspecte le trafic à la recherche de cybermenaces ou de données sensibles.
  3. Appliquer la politique. Enfin, un score de risque est calculé pour l’utilisateur, le workload ou l’appareil afin de déterminer s’il peut être autorisé ou restreint. Si l’entité est autorisée, l’architecture Zero Trust établit une connexion sécurisée à Internet, à l’application SaaS ou à l’environnement IaaS/PaaS.

Sept éléments d’une architecture Zero Trust extrêmement performante

Obtenez un aperçu détaillé du Zero Trust avec Nathan Howe, vice-président en charge des technologies émergentes chez Zscaler.

Avantages d’une architecture Zero Trust

Une architecture Zero Trust fournit l’accès utilisateur précis et contextuel dont vous avez besoin pour évoluer à la vitesse de l’entreprise moderne tout en protégeant vos utilisateurs et vos données des programmes malveillants et autres cyberattaques. En tant que fondement de ZTNA, une architecture Zero Trust performante vous aide à :

  • Accorder un accès sûr et rapide aux données et aux applications pour les télétravailleurs, y compris les employés et les partenaires, où qu’ils se trouvent, en améliorant l’expérience utilisateur.
  • Fournir un accès à distance fiable, ainsi que gérer et appliquer plus facilement la politique de sécurité et de manière plus cohérente que vous ne le pourriez avec les technologies traditionnelles telles que les VPN.
  • Protéger les données et les applications sensibles sur site ou dans un environnement cloud, en transit ou au repos, avec des contrôles de sécurité stricts, notamment le chiffrement, l’authentification, les vérifications de l’état, etc.
  • Mettre fin aux menaces internes en n’accordant plus une confiance implicite par défaut à tout utilisateur ou appareil se trouvant dans le périmètre de votre réseau.
  • Limiter les déplacements latéraux grâce à des politiques d’accès granulaires jusqu’au niveau des ressources, réduisant ainsi la probabilité d’une violation.
  • Détecter, répondre et récupérer plus rapidement et plus efficacement des violations réussies afin d’en atténuer l’impact.
  • Obtenir une meilleure visibilité sur le quoi, le quand, le comment et le où des activités des utilisateurs et des entités grâce à la surveillance et à la journalisation détaillées des sessions et des actions entreprises.
  • Évaluer en temps réel le risque auquel vous êtes exposé grâce à des journaux d’authentification détaillés, des vérifications de l’état des appareils et des ressources, des analyses du comportement des utilisateurs et des entités, etc.

(Adapté de « Implementing a Zero Trust Architecture », une publication spéciale du National Institute of Standards and Technology [NIST])

Comment l’architecture Zero Trust surpasse-t-elle les modèles de sécurité traditionnels ?

L’architecture Zero Trust surpasse les modèles de sécurité traditionnels grâce à son approche proactive, adaptative et centrée sur les données. Les modèles traditionnels s’appuient sur des défenses basées sur le périmètre, tandis que le Zero Trust reconnaît que les menaces peuvent provenir aussi bien de l’intérieur que de l’extérieur du réseau, et valide en permanence l’identité et la posture de sécurité des utilisateurs et des appareils.

En appliquant des contrôles d’accès granulaires basés sur le moindre privilège, le modèle Zero Trust n’accorde aux utilisateurs et aux appareils que l’accès minimum nécessaire. La surveillance continue, l’authentification multifacteur et l’analyse comportementale détectent les menaces en temps réel, avant qu’elles ne se muent en attaques réussies. Son adaptabilité rend le modèle Zero Trust plus agile, et donc mieux adapté que les modèles traditionnels pour sécuriser les vastes surfaces d’attaque et les nouvelles vulnérabilités inhérentes au télétravail et au monde moderne du cloud.

Chose essentielle, le Zero Trust se concentre sur la protection des données, et non du réseau, en sécurisant les données partout où elles se trouvent ou circulent : sur le réseau, dans le cloud ou sur des appareils distants.

Architecture One True Zero Trust : Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™ est une plateforme cloud native intégrée, fondée sur le principe d’un accès sur la base du moindre privilège et sur l’idée qu’aucun utilisateur, workload ou appareil n’est intrinsèquement fiable. Au lieu de cela, la plateforme accorde un accès basé sur l’identité et le contexte, tel que le type d’appareil, l’emplacement, l’application et le contenu afin de négocier une connexion sécurisée entre un utilisateur, un workload ou un appareil, sur n’importe quel réseau, de n’importe où, en fonction de la politique de l’entreprise.

Zero Trust Exchange aide votre entreprise à :

  • Éliminer la surface d’attaque d’Internet et le déplacement latéral des menaces. Le trafic des utilisateurs ne touche jamais votre réseau. Au lieu de cela, les utilisateurs se connectent directement aux applications via des tunnels chiffrés un à un, empêchant ainsi leur découverte et les attaques ciblées.
  • Améliorer l’expérience utilisateur. Contrairement aux architectures réseau statiques et traditionnelles dotées d’une « porte d’entrée » qui effectue le backhauling des données vers les centres de traitement, Zero Trust Exchange gère et optimise intelligemment les connexions directes vers n’importe quel cloud ou n’importe quelle destination Internet tout en appliquant des politiques et des protections adaptatives inline à la périphérie, aussi près que possible de l’utilisateur.
  • S’intégrer de manière homogène avec les principaux fournisseurs de cloud, d’identité, de protection des terminaux et SecOps. Notre plateforme globale combine les fonctions de sécurité essentielles (par exemple, SWG, DLP, CASB, pare-feu, sandboxing) avec des technologies émergentes telles que l’isolation du navigateur, la surveillance de l’expérience numérique et ZTNA pour fournir une pile de sécurité du cloud complète.
  • Réduire les coûts et la complexité. Zero Trust Exchange est simple à déployer et à gérer, sans avoir besoin de VPN ni de politiques complexes de pare-feu de périmètre réseau.
  • Fournir une sécurité cohérente à grande échelle. Zscaler exploite le plus grand cloud de sécurité au monde, réparti dans plus de 150 data centers à travers le monde, traitant plus de 240 milliards de transactions en période de pointe et prévenant 8,4 milliards de menaces chaque jour.

Image

Zero Trust Exchange connecte et sécurise les utilisateurs, les workloads et les appareils sur n’importe quel réseau, depuis n’importe quel emplacement.

Ressources suggérées

Sept éléments d’une architecture Zero Trust extrêmement performante
Obtenir l'e-book
Les pare-feu et les VPN ne sont pas conçus pour Zero Trust
Vidéo à la demande
Une brève histoire de Zero Trust : les grandes étapes de la refonte de la sécurité des entreprises
Télécharger le livre blanc
Rapport sur l’adoption de Zero Trust | Cybersecurity Insiders
Télécharger le rapport complet
Qu’est-ce que le Zero Trust ?
En savoir plus
Guide du marché Gartner pour le Zero Trust Network Access
Télécharger le rapport complet

01 / 04

Foire aux questions