Les périmètres traditionnels des réseaux ont disparu. L'accès aux applications et aux actifs numériques d'une organisation se fait depuis des endroits éloignés, et le contrôle de ces accès devient un défi de taille. L'époque où les frontières du réseau pouvaient être protégées est révolue depuis longtemps. Il est maintenant temps d'adopter de nouvelles stratégies de sécurité sans confiance.
Lorsque les actifs numériques d'une entreprise doivent parcourir de longues distances sur les chemins non sécurisés d'Internet, les enjeux sont si importants que vous ne pouvez faire confiance à rien ni à personne. C'est pourquoi vous devez adopter le modèle de réseau de confiance zéro pour restreindre l'accès de tous les utilisateurs à toutes les ressources du réseau à tout moment.
In réseaux sans confiance, toute tentative d'accès à une ressource est restreinte à partir d'un utilisateur ou d'un appareil, qu'ils aient ou non précédemment accédé à la même ressource. Tout utilisateur ou appareil doit toujours passer par un processus d'authentification et de vérification pour accéder aux ressources, même lorsqu'ils sont physiquement au sein de l'organisation. Ces authentifications et vérifications doivent être rapides pour éviter que les politiques de sécurité dégradent les performances des applications et l'expérience des utilisateurs.
Zero-trust vs VPN
Le modèle de réseau de confiance zéro est remplacement du VPN modèle traditionnellement utilisé par les entreprises pour permettre à leurs employés d'accéder à leurs actifs numériques à distance. Les VPN sont remplacés car ils présentent une faille majeure que les réseaux de confiance zéro peuvent résoudre. Dans les VPN, toute violation qui se produit dans le canal crypté qui connecte un utilisateur au réseau de l'organisation accorde aux attaquants potentiels un accès illimité à toutes les ressources de l'entreprise connectées au réseau.
Sur les anciennes infrastructures sur site, les VPN fonctionnaient bien, mais ils génèrent plus de risques que les solutions sur le cloud ou les infrastructures mixtes.
Les réseaux Zero Trust corrigent cette lacune des VPN mais ajoutent un inconvénient potentiel : ils peuvent entraîner une complexité supplémentaire en termes de mise en œuvre et de maintenance, car les autorisations doivent être tenues à jour pour tous les utilisateurs, appareils et ressources. Cela nécessite un travail supplémentaire, mais les services informatiques obtiennent un meilleur contrôle des ressources et une réduction des vulnérabilités en retour.
Heureusement, les avantages d'un réseau sans confiance peuvent être réalisés sans nécessiter des efforts de maintenance et de déploiement supplémentaires, grâce à des outils qui automatisent et facilitent les tâches d'administration du réseau. Les outils décrits ci-dessous vous aident à appliquer des politiques de confiance zéro avec un minimum d'efforts et de coûts.
NordLayer
NordCouche propose une solution adaptative de sécurité d'accès au réseau basée sur le framework Security Service Edge. Livré en tant que solution de sécurité réseau SaaS (Software as a Service), il incarne les principes clés de Zero Trust et fournit un accès à distance sécurisé, minimisant les risques de l'organisation.
La confiance implicite est supprimée de toute l'infrastructure, en utilisant des passerelles Web sécurisées comme portails vers le réseau interne de l'entreprise. Le lien entre le point de terminaison de l'utilisateur et le SWG est crypté avec le chiffrement AES 256 bits, tandis que la passerelle elle-même applique les politiques de sécurité mises en place pour prévenir diverses menaces. Aucune connexion non supervisée ne se faufilera au-delà des mécanismes de défense de NordLayer.
Le trafic entre le SWG et l'appareil de l'utilisateur est également facilité par des protocoles de tunnellisation de pointe comme NordLynx (une version propriétaire de WireGuard développée par Nord Security). Pendant ce temps, d'autres options comme les versions IKEv2 et OpenVPN (UDP et TCP) augmentent la compatibilité entre les appareils. De cette façon, il est possible de configurer NordLayer sur des routeurs et d'autres périphériques matériels.
L'identité d'un utilisateur peut être vérifiée plusieurs fois avant d'accéder à des données sensibles ou à des ressources de travail. NordLayer prend également en charge l'authentification unique (SSO) avec Azure AD, OneLogin, Okta et G Suite, facilitant la transition entre vos outils actuellement utilisés et le réseau Zero Trust. Tirant parti des capacités du courtier de sécurité d'accès au cloud, NordLayer améliore la visibilité du réseau et conserve un meilleur contrôle d'accès aux ressources critiques de l'organisation.
La solution n'oblige pas non plus les entreprises à se débarrasser des outils actuellement utilisés - NordLayer peut être combiné avec l'infrastructure existante. Le produit ne limite pas le nombre d'utilisateurs, ce qui le rend hautement évolutif sans augmenter considérablement le prix de l'abonnement. Cela rend la segmentation des utilisateurs plus facile et plus efficace en fournissant un aperçu clair des participants au réseau. De plus, les licences peuvent être facilement transférées entre les utilisateurs, s'adaptant à la dynamique rapide de l'environnement de travail.
Perimeter 81
Périmètre 81 propose deux approches pour gérer et assurer la sécurité des applications et des réseaux d'une organisation, à la fois dans les environnements cloud et sur site. Les deux propositions partent de l'offre de réseaux sans confiance en tant que service. Pour ce faire, Perimeter 81 utilise une architecture de périmètre définie par logiciel, qui offre une grande flexibilité aux nouveaux utilisateurs et offre une plus grande visibilité sur le réseau. De plus, le service est compatible avec les principaux fournisseurs d'infrastructure cloud.
Zero Trust Application Access est basé sur l'hypothèse que chaque entreprise dispose d'applications et de services critiques auxquels la plupart des utilisateurs n'ont pas besoin d'accéder. Le service permet d'élever des barrières à des utilisateurs spécifiques en fonction de leurs rôles, appareils, emplacements et autres identifiants.
Pendant ce temps, Accès au réseau Zero Trust définit une segmentation du réseau de l'organisation par zones de confiance, ce qui permet la création de limites de confiance qui contrôlent le flux de données avec un niveau de granularité élevé. Les zones de confiance sont constituées d'ensembles d'éléments d'infrastructure avec des ressources qui fonctionnent au même niveau de confiance et fournissent des fonctionnalités similaires. Cela réduit le nombre de canaux de communication et minimise la possibilité de menaces.
Le service Zero Trust Network Access (ZTNA) de Perimeter 81 offre une vue complète et centralisée du réseau de l'organisation, garantissant l'accès le moins privilégié possible pour chaque ressource. Ses fonctionnalités de sécurité répondent au modèle SASE de Gartner, car la sécurité et la gestion du réseau sont unifiées sur une seule plate-forme.
Les deux services Permiter 81 sont inclus dans une grille tarifaire avec un large éventail d'options. Ces options vont d'un plan de base avec les éléments essentiels pour sécuriser et gérer un réseau à un plan d'entreprise qui peut évoluer à l'infini et fournit une assistance dédiée 24h/7 et XNUMXj/XNUMX.
Dernièrement, le périmètre 81 a été nommé chef de file de la ZTNA.
ZScaler Private Access
Accès privé ZScaler (ZPA) est un service réseau de confiance zéro basé sur le cloud qui contrôle l'accès aux applications privées d'une organisation, qu'elles soient situées dans un centre de données propriétaire ou dans un nuage public. Avec ZPA, les applications sont totalement invisibles pour les utilisateurs non autorisés.
Dans ZPA, la connexion entre les applications et les utilisateurs se fait selon une stratégie à l'envers. Plutôt que d'étendre le réseau pour inclure les utilisateurs (comme cela devrait être fait si vous utilisez un VPN), les utilisateurs ne sont jamais à l'intérieur du réseau. Cette approche minimise considérablement les risques en évitant la prolifération des malwares et les risques de mouvements latéraux. De plus, la portée de ZPA ne se limite pas aux applications Web mais à toute application privée.
ZPA utilise une technologie de micro-tunnel qui permet aux administrateurs réseau de segmenter le réseau par application, évitant ainsi la nécessité de créer une segmentation artificielle dans le réseau ou d'appliquer le contrôle en pare-feu politiques ou la gestion des listes de contrôle d'accès (ACL). Les micro-tunnels utilisent le cryptage TLS et des clés privées personnalisées qui renforcent la sécurité lors de l'accès aux applications d'entreprise.
Grâce à ses améliorations API et ML (machine learning), ZPA permet aux services informatiques d'automatiser les mécanismes de confiance zéro en découvrant les applications et en créant des politiques d'accès pour celles-ci et en générant automatiquement une segmentation pour chaque charge de travail d'application différente.
Cloudflare Access
Cloudflare's Le service réseau de confiance zéro est pris en charge par un réseau propriétaire avec des points d'accès répartis dans le monde entier. Cela permet aux services informatiques de fournir un accès haut débit et sécurisé à toutes les ressources d'une organisation : appareils, réseaux et applications.
Le service de Cloudflare remplace les périmètres de sécurité traditionnels centrés sur le réseau, en utilisant à la place des accès sécurisés à courte portée qui garantissent une vitesse optimale pour les groupes de travail distribués.
L'accès zéro confiance de Cloudflare exploite des applications globales dans une organisation, authentifiant les utilisateurs via son propre réseau mondial. Cela permet aux responsables informatiques d'enregistrer chaque événement et chaque tentative d'accès à une ressource. De plus, cela facilite la gestion des utilisateurs et l'ajout d'utilisateurs supplémentaires.
Avec Cloudflare Access, l'entreprise peut conserver son identité, ses fournisseurs de protection, la posture de l'appareil, les exigences de localisation par application et même son infrastructure cloud existante. Pour le contrôle d'identité, Cloudflare s'intègre à Azure AD, Okta, Ping et la posture de l'appareil, avec Tanium, Crowdstrike et Carbon Black.
Cloudflare propose une version gratuite de son service qui fournit les principaux outils et vous permet de protéger jusqu'à 50 utilisateurs et applications. Vous devez choisir les versions payantes du service pour s'adapter à de nombreux utilisateurs ou applications, ce qui ajoute d'autres avantages tels que l'assistance téléphonique et par chat 24x7x365.
Wandera
Accès privé à Wandera La solution de mise en réseau zéro confiance offre un accès à distance rapide, simple et sécurisé aux applications d'une organisation, qu'elles fonctionnent en SaaS ou soient déployées en interne. Le service se distingue par sa simplicité, avec des procédures d'installation qui peuvent être effectuées en quelques minutes et ne nécessitent pas de matériel spécialisé, de certificats ou de dimensionnement.
Wandera Private Access offre une flexibilité pour les équipes de travail distribuées, fonctionnant sur des plates-formes hétérogènes, avec des appareils gérés ou possédés (BYOD). La solution offre une visibilité en temps réel de l'accès aux applications, identifie le shadow IT et restreint automatiquement l'accès des appareils infectés ou non sécurisés, grâce à des politiques d'accès sensibles aux risques.
Avec Wandera Private Access, des modèles de sécurité centrés sur l'identité peuvent être mis en œuvre, garantissant que seuls les utilisateurs autorisés peuvent se connecter aux applications de l'organisation. L'utilisation de micro-tunnels basés sur des applications connecte les utilisateurs uniquement aux applications auxquelles ils sont autorisés à accéder. L'application des politiques de sécurité reste cohérente dans toutes les infrastructures, qu'il s'agisse d'applications cloud, de centre de données ou SaaS.
Le système de protection de Wandera est alimenté par un moteur de détection des menaces intelligent appelé MI: RIAM. Ce moteur est alimenté quotidiennement par les informations fournies par 425 millions de capteurs mobiles, ce qui assure une protection contre la plus large gamme de menaces connues et zero-day.
Okta
Okta offre un modèle de sécurité sans confiance qui englobe une large gamme de services, y compris la protection des applications, des serveurs et des API; un accès utilisateur unifié et sécurisé aux applications sur site et dans le cloud; authentification adaptative, contextuelle, multifactorielle et désactivation automatique pour atténuer les risques liés aux comptes orphelins.
Le service d'annuaire universel d'Okta fournit une vue unique et consolidée de chaque utilisateur d'une organisation. Grâce à l'intégration de groupes d'utilisateurs avec AD et LDAP, et aux connexions avec les systèmes RH, les applications SaaS et les fournisseurs d'identité tiers, Okta Universal Directory intègre toutes sortes d'utilisateurs, qu'ils soient employés de l'entreprise, partenaires, sous-traitants ou clients.
Okta se démarque par son service de protection des API puisque les API sont considérées comme une nouvelle forme de shadow IT. La gestion de l'accès aux API d'Okta réduit les heures de conception et d'application de politiques basées sur XML à quelques minutes, ce qui facilite onboarding de nouvelles API et intégration avec des partenaires pour l'utilisation des API. Le moteur de politique d'Okta permet de mettre en œuvre les meilleures pratiques en matière de sécurité des API, en s'intégrant facilement aux frameworks d'identité tels que OAuth. Les politiques d'autorisation d'API sont créées en fonction des applications, du contexte utilisateur et de l'appartenance à un groupe pour garantir que seuls les bons utilisateurs peuvent accéder à chaque API.
Le réseau d'intégration d'Okta évite le blocage des fournisseurs, donnant aux entreprises la liberté de choisir parmi plus de 7,000 XNUMX intégrations prédéfinies avec des systèmes cloud et sur site.
CrowdStrike Falcon
La Protection de l'identité CrowdStrike Falcon La solution de sécurité zéro confiance arrête rapidement les failles de sécurité dues à des identités compromises, protégeant les identités de tous les utilisateurs, emplacements et applications d'une organisation à l'aide de politiques de confiance zéro.
Falcon Identity Protection vise à réduire les coûts et les risques et à augmenter le retour sur investissement des outils utilisés en réduisant les besoins en ressources d'ingénierie et en éliminant les processus de sécurité redondants.
Le contrôle unifié de toutes les identités facilite la mise en œuvre des stratégies d'accès conditionnel et d'authentification adaptative, tout en garantissant une meilleure expérience utilisateur et une plus grande couverture de l'authentification multifacteur (MFA), même pour les systèmes hérités.
La solution d'accès à distance CrowdStrike offre une visibilité complète sur l'activité d'authentification de tous les comptes et points de terminaison, en fournissant des données de localisation, source / destination, type de connexion (compte humain ou de service), entre autres. À son tour, il protège le réseau contre les menaces internes, telles que les comptes privilégiés obsolètes, les comptes de service mal attribués, les comportements anormaux et les informations d'identification compromises par des attaques de mouvement parallèle.
En s'intégrant aux solutions de sécurité existantes, le déploiement de Falcon Identity Protection est réalisé en un minimum de temps et sans frictions. En plus d'offrir une intégration directe avec des solutions de sécurité pour les actifs critiques, tels que CyberArk et Axonius, CrowdStrike propose des API hautes performances qui permettent aux entreprises de s'intégrer à pratiquement n'importe quel système.
Conclusion
La nouvelle norme semble rester et les administrateurs informatiques doivent s'y habituer. Travail à distance continuera d'être une réalité quotidienne et les réseaux d'organisation n'auront plus jamais de frontières clairement définies.
Dans ce contexte, les administrateurs informatiques doivent adopter le plus rapidement possible des solutions réseau et applicatives sans confiance s'ils ne veulent pas mettre le plus précieux de leurs organisations actifs numériques en danger.
