Zero Trust est un terme inventé par John Kindervag alors qu'il était analyste chez Forrester Research pour décrire un cadre stratégique dans lequel rien sur le réseau n'est fiable par défaut - ni l'appareil, ni l'utilisateur final, ni le processus. Tout doit être authentifié, autorisé, vérifié et contrôlé en permanence.
Les approches traditionnelles de la sécurité sont basées sur le concept “faire confiance, mais vérifier”. La faiblesse de cette approche est qu'une fois qu'une personne est authentifiée, elle est considérée comme fiable et peut se déplacer latéralement pour accéder à des données et des systèmes sensibles qui devraient être interdits.
Le principe de la confiance zéro change cela en “ne jamais faire confiance, toujours vérifier”. L'objectif d'une architecture de confiance zéro n'est pas de rendre un système fiable ou sûr, mais d'éliminer complètement le concept de confiance. Le modèle de sécurité "Zero Trust" part du principe que les attaquants sont toujours présents dans l'environnement. La confiance n'est jamais accordée de manière inconditionnelle ou permanente, mais doit être évaluée en permanence. Routeur industriel 4G
L'approche de la confiance zéro a été développée en réponse à des années de méthodes traditionnelles d'accès aux actifs, aux ressources et aux données de l'entreprise. Dans les premiers temps de l'informatique, les entreprises ont pu protéger leurs données en utilisant des pare-feu et d'autres technologies de sécurité qui créaient un “périmètre de sécurité” autour des données. À l'instar des remparts des villes médiévales, ces techniques permettent de protéger ce qui se trouve à l'intérieur (pour l'essentiel).
Mais les frontières ont rapidement changé lorsque les employés, les entrepreneurs et les partenaires commerciaux ont commencé à travailler à distance - en accédant aux ressources via des réseaux basés sur le cloud ou en utilisant des appareils appartenant à des particuliers qui n'ont pas toujours été vérifiés pour être entièrement sécurisés de. En outre, on a assisté à une augmentation du déploiement des appareils de l'Internet des objets (IoT), qui fournissent souvent un accès automatisé aux ressources du réseau.
Pour permettre aux employés d'accéder aux ressources du réseau, une architecture de confiance zéro nécessite une combinaison de technologies, notamment la gestion des identités, la gestion des actifs, l'authentification des applications, le contrôle d'accès, la segmentation du réseau et la veille sur les menaces.
L'équilibre de la confiance zéro consiste à renforcer la sécurité sans sacrifier l'expérience de l'utilisateur. Après authentification et autorisation, les utilisateurs se voient accorder l'accès, mais uniquement aux ressources dont ils ont besoin pour effectuer leur travail. Si un appareil ou une ressource est compromis, la confiance zéro permet de limiter les dégâts.
La bonne nouvelle pour de nombreuses entreprises est qu'elles ont peut-être déjà investi dans plusieurs technologies permettant la confiance zéro. Lorsqu'elles adoptent une approche de confiance zéro, les entreprises sont plus susceptibles d'avoir besoin d'adopter et de mettre en œuvre de nouvelles politiques que d'installer du nouveau matériel.
Quel est le concept de base de ZTNA ?
Avant de commencer à déployer une architecture de confiance zéro, il existe quelques règles de base que l'ensemble de l'entreprise doit respecter pour que le système fonctionne correctement.
- Toutes les sources de données, tous les services informatiques et tous les appareils sont considérés comme des ressources. Même les appareils appartenant aux employés doivent être considérés comme des ressources s'ils peuvent accéder à des ressources appartenant à l'entreprise.
- Toutes les communications doivent être protégées, quel que soit l'emplacement du réseau. Les appareils et les utilisateurs à l'intérieur du réseau ne sont pas plus dignes de confiance que ceux qui se trouvent à l'extérieur du périmètre du réseau.
- Accorder l'accès aux ressources par session avec les autorisations minimales requises pour accomplir la tâche. L'authentification à une ressource ne donne pas automatiquement accès à une autre ressource.
- L'accès aux ressources est déterminé par une politique dynamique qui inclut l'identité du client, l'état de l'application et éventuellement d'autres attributs comportementaux et environnementaux.
- Les entreprises doivent contrôler et mesurer l'intégrité et la sécurité de tous les biens qu'elles possèdent et de ceux qui y sont liés. Des systèmes de diagnostic et d'atténuation continus (CDM) ou des systèmes similaires sont nécessaires pour surveiller les appareils et les applications. Les correctifs doivent être appliqués rapidement. Les actifs présentant des vulnérabilités connues peuvent être traités différemment (y compris en refusant les connexions) que les appareils ou les actifs considérés comme les plus sûrs.
- L'authentification et l'autorisation seront strictement appliquées avant que l'accès ne soit autorisé et sont susceptibles d'être modifiées. L'autorisation pour un jour ne garantit pas l'autorisation pour le jour suivant.
- Les organisations doivent recueillir autant d'informations que possible sur l'état actuel de leurs actifs, de leur infrastructure de réseau, de leurs communications, de leurs utilisateurs finaux et de leurs appareils afin d'améliorer leur position en matière de sécurité. Ce n'est qu'à partir de ces informations que des stratégies peuvent être créées, mises en œuvre et améliorées.
Comment mettre en œuvre la confiance zéro ?
Une fois ces principes compris et appliqués, les entreprises peuvent commencer à mettre en œuvre une stratégie de confiance zéro. Cette stratégie comprend les cinq étapes suivantes :
Identifier les ressources à protéger. La terminologie varie : certains parlent de “surface de protection”, d'autres de “zone de confiance implicite”. Mais il s'agit essentiellement d'une zone bien définie où les processus de confiance zéro se dérouleront, en fonction de l'entreprise et de ses besoins. Le fait de donner la priorité aux zones protégées permet de limiter ces zones, du moins dans un premier temps.
Cartographier les flux de transactions pour ces ressources. Les entreprises doivent déterminer qui a généralement besoin d'accéder à ces ressources, comment ils se connectent et quels appareils ils utilisent pour se connecter.
Construire l'architecture. Il s'agit notamment d'ajouter des composants qui autorisent ou refusent l'accès à ces ressources protégées.
Créer une politique de confiance zéro qui dicte les rôles des utilisateurs, les autorisations et la manière dont les utilisateurs s'authentifient (l'authentification multifactorielle est indispensable).
Contrôler et maintenir les systèmes, en apportant des changements et des améliorations si nécessaire.
Qu'est-ce qu'une architecture de confiance zéro ?
Après avoir identifié une ressource comme protégée, les entreprises doivent mettre en place des “points de contrôle” chargés de décider si l'accès doit être autorisé ou refusé. Il existe trois composantes principales, basées sur la terminologie inventée par le NIST dans son document d'août 2020 sur l'architecture de confiance zéro (Zero Trust Architecture).
Moteur de politique (PE). Le moteur de politique (PE) est chargé de prendre les décisions d'accorder ou de refuser l'accès aux ressources. Il prend généralement ses décisions sur la base des politiques de l'entreprise, mais aussi à partir de sources externes (notamment les systèmes CDM, les services de renseignement sur les menaces) et d'algorithmes de confiance. Une fois qu'une décision est prise, elle est enregistrée et l'administrateur de la politique met en œuvre l'action.
Administrateur de politiques (AP) : L'administrateur de politique est chargé d'établir ou de fermer les voies de communication entre les demandeurs (personnes ou machines) et les ressources (données, services, applications). Il peut générer une authentification spécifique à la session (ou utiliser des jetons, des informations d'identification, des mots de passe) dans le cadre de son processus. Si la demande est acceptée, PA configure le point d'application de la politique (PEP) pour permettre à la session de démarrer. Si la demande est rejetée, PA demande au PEP de fermer la connexion.
Point d'application de la politique (PEP) : Un PEP active, surveille et, en dernier ressort, met fin aux connexions entre les demandeurs et les ressources. Il communique avec l'AP pour transmettre les demandes et recevoir les mises à jour de la politique de l'AP.
D'autres systèmes peuvent fournir des données et/ou des règles politiques, notamment les systèmes CDM, les systèmes de conformité industrielle (pour s'assurer que ces systèmes sont alignés sur les organismes de réglementation) et les services de renseignement sur les menaces (pour fournir des informations sur les logiciels malveillants, les défauts logiciels ou d'autres attaques signalées nouvellement identifiés).
Nombre de ces systèmes alimentent en données des algorithmes de confiance qui aident à prendre les décisions finales concernant les demandes d'accès aux ressources du réseau. L'algorithme de confiance prend en compte les données du demandeur, ainsi que de nombreux autres paramètres, dans le cadre de sa prise de décision. Les exemples de questions comprennent, mais ne sont pas limités à :
Qui est ce type ? S'agit-il d'une personne réelle ou d'une machine ? (capteurs IoT, par exemple)
L'ont-ils déjà demandé auparavant ?
Quel est le matériel utilisé ?
La version du système d'exploitation a-t-elle été mise à jour et corrigée ?
Où se trouve le demandeur ? (dans le pays, à l'étranger, etc.)
Cette personne a-t-elle le droit de consulter ce bien ?
Plan de déploiement de ZTNA
Chaque entreprise étant différente, la façon dont elle aborde la question de la confiance zéro varie. Voici quelques scénarios courants :
Les entreprises disposant de bureaux satellites. Les entreprises dont les employés travaillent dans des lieux éloignés ou les travailleurs à distance peuvent avoir besoin d'héberger le PE/PA en tant que service en nuage. Cette solution offre une meilleure disponibilité et n'oblige pas les travailleurs distants à s'appuyer sur l'infrastructure de l'entreprise pour accéder aux ressources en nuage. Dans ce scénario, des agents seront installés sur les ressources de l'utilisateur final ou l'accès au réseau se fera par l'intermédiaire du portail de ressources.
Entreprise multi-cloud ou cloud-to-cloud : Les entreprises qui utilisent plusieurs fournisseurs de services en nuage peuvent voir des applications hébergées sur des services en nuage qui sont indépendants de la source de données. Dans ce cas, les applications hébergées dans un nuage devraient pouvoir se connecter directement aux sources de données du second nuage, plutôt que de forcer l'application à repasser par le réseau de l'entreprise. Dans ce cas, le PEP sera placé aux points d'accès de chaque application/service et source de données. Ceux-ci peuvent être situés dans un service en nuage ou même chez un troisième fournisseur en nuage. Les clients ont un accès direct au PEP et les entreprises peuvent gérer les droits d'accès. L'une des difficultés réside dans le fait que les différents fournisseurs de services en nuage ont leurs propres méthodes pour réaliser la même fonctionnalité.
Les entreprises avec un accès pour les sous-traitants ou les non-employés : Pour les invités sur site ou les prestataires de services sous contrat qui ont besoin d'un accès limité, l'architecture zéro confiance peut également déployer PE et PA en tant que services en nuage gérés, ou sur le réseau local s'il y a peu de services d'hébergement en nuage ou s'ils n'en utilisent pas.) L'AP garantit que les actifs non liés à l'entreprise ne peuvent pas accéder aux ressources locales, mais qu'ils ont accès à l'internet pour que les visiteurs et les sous-traitants puissent effectuer leur travail.
Le défi de la confiance zéro
Outre certains problèmes de migration liés au passage de la confiance implicite à la confiance zéro, les responsables de la sécurité doivent prendre en compte plusieurs autres questions. Tout d'abord, les composants PE et PA doivent être configurés et maintenus correctement. Les administrateurs d'entreprise ayant accès aux règles de configuration de l'EP pourraient être en mesure d'apporter des modifications non approuvées ou de commettre des erreurs susceptibles de perturber le fonctionnement de l'entreprise. Une AP compromise peut permettre l'accès à des ressources qui n'auraient pas été approuvées autrement. Ces composants doivent être configurés et surveillés correctement, et toute modification doit être enregistrée et vérifiée.
Deuxièmement, étant donné que PA et PEP prennent des décisions pour toutes les demandes d'accès aux ressources, ces composants sont vulnérables aux attaques par déni de service ou par interruption du réseau. Toute perturbation du processus de prise de décision peut avoir un effet négatif sur les activités de l'entreprise. L'application de la politique peut résider dans un environnement en nuage convenablement sécurisé ou être répliquée à un autre endroit pour aider à réduire cette menace, mais cela ne l'élimine pas complètement.
Troisièmement, les informations d'identification volées et les initiés malveillants peuvent toujours endommager les ressources de l'entreprise. Toutefois, une architecture de confiance zéro correctement développée et mise en œuvre limitera les dommages causés par cette approche, car le système sera en mesure de déterminer qui fait la demande et si la demande est correcte. Par exemple, un système de surveillance sera en mesure de détecter si un concierge dont les informations d'identification ont été volées tente soudainement d'accéder à une base de données contenant des numéros de cartes de crédit.
Quatrièmement, les responsables de la sécurité doivent veiller à ce que l'adoption d'une stratégie de confiance zéro ne crée pas une lassitude massive à l'égard de la sécurité, dans laquelle les utilisateurs sont constamment sollicités pour des identifiants, des mots de passe et des vérifications de correctifs du système d'exploitation, ce qui finit par avoir un impact négatif sur la productivité. Il faut donc trouver un équilibre entre la capacité des employés et des sous-traitants à faire leur travail et la garantie qu'ils ne sont pas des attaquants.