Tôt ou tard, l’approche ZTNA (Zero-Trust Network Access) jouera un rôle important pour de nombreuses entreprises.
Que vous ayez à gérer une augmentation soudaine du nombre de vos utilisateurs distants ou que vous souhaitiez adopter le framework SASE (Secure Access Service Edge), le ZTNA jouera un rôle de plus en plus important au sein de votre paysage de cybersécurité.
Les clients nous ont déjà dit qu’ils ne souhaitaient pas déployer plusieurs agents sur leurs systèmes endpoint. En parallèle, la pénurie de talents dans le secteur de la cybersécurité reste un défi permanent pour la plupart des entreprises. C’est pourquoi Sophos ZTNA tire parti de l’écosystème Sophos existant afin de simplifier la vie de nos clients au niveau du déploiement et de la gestion quotidienne. Cette intégration réduit à la fois les efforts d’administration et l’encombrement de l’appareil : il s’agit vraiment d’une relation de type gagnant-gagnant.
Une technologie enfin prête à être déployée
L’approche ZTNA a été largement mise en avant récemment, et je ne suis pas surpris. En effet, l’univers IT est véritablement à une croisée des chemins en matière de défi de sécurité, et ce modèle peut véritablement aider.
De toute évidence, tous les signes montrent que le travail hybride est là pour durer. Les équipes IT devront prendre en charge davantage d’utilisateurs, qui auront besoin d’accéder à encore plus d’applications et de données, et ce à partir d’un nombre d’emplacements en constante évolution situés en dehors des locaux physiques de l’entreprise. Il ne s’agit pas seulement des bureaux à domicile, mais aussi des cafés et d’autres espaces partagés. Les données seront également de plus en plus stockées à de multiples endroits différents : sur-site (on-premise), dans des Clouds publics et privés et des applications SaaS.
Pendant ce temps, il est clair que les ransomwares ne disparaitront pas. Il s’agit d’une menace persistante et omniprésente, et le véritable défi réside dans la manière avec laquelle elle se propage latéralement au sein de votre réseau. Ce n’est pas seulement l’appareil initial qui est pris en otage car au final les acteurs de ransomwares cherchent véritablement des moyens de maximiser leur impact. Par exemple, la famille Ryuk est connue pour se propager sur des serveurs d’applications, contrôleurs de domaine, serveurs de terminaux, etc. Ainsi, limiter la possibilité d’accéder largement au réseau permet de réduire les dommages causés et l’emprise des ransomwares.
En conséquence, les entreprises tentent de sécuriser les modèles de travail hybride, tout en minimisant les dommages potentiels liés à la confiance qui aura été accordée à un appareil isolé. Le modèle ZTNA est un parfait compromis.
Accès simplifié, sans donner forcément les “clés du château”
Fondamentalement, l’approche ZTNA (Zero-Trust Network Access) résout la problématique qui est de donner aux bons utilisateurs et appareils l’accès aux applications dont ils ont besoin, sans pour autant leur ouvrir en grand votre réseau. Une passerelle ZTNA donne à une entité nommée, un utilisateur, un accès distinct à une application distincte.
La passerelle valide trois éléments : l’identité de l’utilisateur, l’identité de l’appareil et la santé de l’appareil. Et surtout, elle le fait à chaque fois, pour chaque demande de session. Ainsi, si un appareil a été volé ou infecté, l’accès peut être révoqué instantanément.
Pour réduire davantage votre exposition, vous pouvez définir des politiques granulaires de style ‘feu tricolore’, basées sur les rôles, les besoins et l’état de validation de l’utilisateur. Par exemple, un appareil dans un état “rouge“, parce qu’il est infecté par un malware, pourrait avoir son accès limité à toutes les applications, à l’exception d’un site Web de support technique, permettant à l’utilisateur de demander de l’aide ou de résoudre le problème.
Par exemple, avec une solution VPN, l’utilisateur final peut avoir besoin de déterminer à quelle passerelle se connecter, de s’assurer qu’il ne sera pas expulsé du réseau lorsqu’il passera d’une connexion filaire à une connexion sans fil et qu’il sera invité à se réauthentifier à chaque fois. Le ZTNA fait en sorte que toute cette complexité ait lieu en coulisse uniquement, améliorant ainsi considérablement l’expérience utilisateur.
Avec le ZTNA, tout ce que l’utilisateur final a besoin de faire c’est d’entrer son authentification multifacteur, en partant du principe bien sûr que cette option soit bien activée. Les vérifications de l’état de l’appareil et les validations d’identité tierces sont essentiellement invisibles.
Un rôle mieux défini pour le VPN
Alors que les équipes IT étaient encore engagées dans cette lutte contre la pandémie, l’utilisation du VPN a de son côté grimpé en flèche. Cette évolution est logique car c’est un moyen fiable de fournir un accès à distance.
Mais 18 mois plus tard, un nombre croissant de personnes se demandent si l’approche ZTNA ne serait pas une meilleure réponse à leur problème. En effet, si vous connectez uniquement des utilisateurs distants et que vous fournissez une prise en charge d’applications modernes (utilisant généralement les protocoles TCP et UDP), un remplacement global pourrait être une bonne solution.
Cependant, pour la plupart des entreprises, une solution VPN pourrait être encore utilisée en fonction du moment et du lieu. Vous voudrez peut-être relier deux réseaux de bureau ensemble, par exemple, ou utiliser un logiciel plus ancien avec ses protocoles propriétaires. En tant que tel, le ZTNA ne remplacera généralement pas purement et simplement les VPN ; au lieu de cela, ils seront très probablement des options complémentaires dans votre boîte à outils de cybersécurité.
Soutenir le framework SASE (Secure Access Service Edge)
Il s’agit en fait de la situation actuelle. Mais le tableau devient de plus en plus complexe, avec des applications sur-site, des Clouds publics et privés, des applications SaaS, et des utilisateurs se connectant de partout, en utilisant tous types d’appareils.
Pour donner un sens à ces changements, la cybersécurité évolue vers une approche écosystémique centralisée, plus cohérente et contrôlée. Et le modèle ZTNA, avec les services d’identité tiers qu’il utilise, sera un élément clé de ce framework.
Il existe plusieurs noms pour décrire cette approche ; l’un des plus populaires est SASE (Secure Access Service Edge). Il s’agit d’un framework qui vous permet d’appliquer des politiques de sécurité unifiées au niveau d’un paysage au départ plutôt confus. Vous pouvez vous concentrer sur les autorisations d’accès et la protection de vos utilisateurs, sans vous soucier de l’endroit et de la manière de placer et de configurer tout un patchwork de solutions ponctuelles afin que l’ensemble puisse fonctionner correctement. Et comme il est basé dans le Cloud, le travail d’inspection de votre trafic met moins de pression sur vos appliances de cybersécurité, vous permettant ainsi de vous adapter plus facilement à de nouveaux utilisateurs, applications et données.
Cette capacité va modifier considérablement la charge de travail des administrateurs IT. Vous aurez moins d’efforts à fournir pour installer des correctifs et définir des politiques au niveau des appliances et des endpoints individuels. Mais il sera très important de surveiller de plus près vos applications et de comprendre quels sont les logiciels utilisés par votre entreprise et pourquoi.
Il existe quelques éléments clés qui permettront aux frameworks SASE d’appliquer des politiques au niveau de votre paysage de manière cohérente. L’un d’eux est le SD-WAN, et le ZTNA en est un autre. Nous envisageons un monde où le SASE fournira une politique unifiée pour l’accès et la protection Web, l’accès aux applications privées, l’accès aux applications SaaS et la protection et l’inspection globales du trafic réseau.
La licence et l’installation doivent également être simples
Avec tous ces changements à gérer, les équipes IT et celles de sécurité ont besoin de liberté pour déterminer la meilleure façon d’exploiter le ZTNA au maximum de ses capacités. En effet, vous ne souhaitez certainement pas que votre partenaire de cybersécurité rende les choses bien plus compliquées qu’elles ne devraient l’être.
Ainsi, chez Sophos, nous adoptons une approche différente et gardons les choses aussi simples que possible.
La valeur du ZTNA réside dans vos utilisateurs et les applications auxquelles vous leur permettez d’accéder, nos licences sont donc basées uniquement sur le nombre d’utilisateurs. Nos passerelles Zero Trust sont disponibles via des configurations de haute disponibilité et de clustering. Ainsi, vous pourrez faire autant de déploiements que vous le souhaitez, comme vous le souhaitez, et ce sans frais.
De plus, si vous décidez de réorganiser votre centre de données, de modifier vos applications ou d’exploiter les technologies de résilience existantes au sein de votre environnement, telles que le clustering VMware, ne craignez pas d’être pénalisé.
L’approche ZTNA doit également être simple à déployer. C’est pourquoi nous utilisons le même agent d’installation qui est utilisé par tous nos produits endpoint, qu’il s’agisse de Sophos Device Encryption ou bien d’Intercept X. Si vous avez déjà un emplacement Sophos sur vos systèmes endpoint, vous n’avez besoin de rien d’autre ; le ZTNA c’est ni plus, ni moins qu’une case à cocher au niveau de la plateforme de gestion Sophos Central.
Après tout, vos défis actuels sont suffisamment compliqués. L’approche ZTNA doit être là pour vous simplifier la vie, et non l’inverse.
Pour finir, je pense que c’est un ensemble de fonctionnalités plutôt intéressant et jusqu’à présent, les utilisateurs de notre programme d’accès anticipé (EAP) semblent confirmer cette tendance. Nous prévoyons de rendre Sophos ZTNA disponible de manière globale d’ici la fin de 2021. En attendant, vous pouvez contacter votre représentant Sophos pour discuter de la manière avec laquelle Sophos ZTNA peut prendre en charge votre entreprise.
Billet inspiré de How Sophos ZTNA fits in your security ecosystem, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.