Zero Trust Network Access (ZTNA) est un concept mis en lumière par Gartner dans son Market Guide 2019: Zero Trust Network Access.
Le concept se base sur un principe simple, aucune confiance ne doit être accordée à un utilisateur et, de ce fait, aucun accès aux applications ne lui est accordé par défaut. Terminées donc les zones de sécurité : trust, untrust, DMZ, etc… Avec le Zero Trust il n’existe qu’une seule zone : untrust.
Vous devez donc avoir le même niveau d’exigence de sécurité, quel que soit l’endroit, l’équipement, le réseau d’où se connecte votre utilisateur. Nous allons aborder dans les prochains paragraphes les quatre principes fondamentaux du concept ZTNA.
Définition et principes du Zero Trust Network :
Least privilege access
L’idée est de n’autoriser l’accès qu’au strict nécessaire à l’utilisateur pour qu’il puisse travailler, tout en vérifiant un certain nombre de critères : son identité, ses autorisations, son équipement…
Une fois ces critères validés, l’accès à l’application est autorisé. De façon périodique, ces critères sont réévalués afin de continuer à délivrer l’accès à l’application ou au contraire de le révoquer.
Micro-segmentation
À l’inverse d’un Réseau Privé Virtuel (VPN) qui connecte un utilisateur à un réseau, et donc à un sous-ensemble d’application via une segmentation réseau, le ZTNA doit pouvoir fournir un accès granulaire aux applications, aussi appelée “micro-segmentation”. Le ZTNA ne vérifie pas l’accès au réseau comme pourrait le faire une solution NAC, mais vérifie bien l’accès à l’application. On décorrèle donc complètement la notion d’accès à l’application et d’accès au réseau.
Surface d’attaque réduite à zéro
L’application, le réseau sur lequel elle réside et les composants d’accès du ZTNA doivent rester invisibles d’Internet ou des zones d’où viennent les utilisateurs. On parle alors de “réduction de surface d’attaque”. Cette réduction permet de s’affranchir d’exploitations de vulnérabilités sur les concentrateurs VPN exposés sur Internet, comme nous avons pu en voir ces derniers temps.
Chiffrement de bout en bout
Aucun réseau ne doit être de confiance et, de ce fait, quelles que soient leurs natures (Internet, MPLS, SD-WAN, etc.…), toutes les communications doivent être chiffrées avec un mécanisme moderne et robuste.
Grâce à l’expérience de Nomios acquise sur les projets, nous voulons mettre en lumière d’autres éléments essentiels dans vos choix d’outils ZTNA.
UNE SOLUTION ZTNA DOIT, SELON NOUS :
- Être Software Defined et Cloud Based afin d’être agile et duplicable en fonction des évolutions de vos usages
- Pouvoir couvrir tous types d’applications et pas uniquement les applications HTTP/HTTPS. Vous risquez sinon d’être obligé de compléter par un outil supplémentaire.
- Pouvoir s’appuyer sur un ou plusieurs services de fédération d’identité en même temps. Ce qui permet de couvrir plus simplement les cas d’usages d’accès applicatifs entre filiales au sein d’un même grand groupe.
- Être capable de fournir un service “on-premise” pour couvrir les cas où les applications sont proches des utilisateurs (comme c’est souvent le cas sur des réseaux industriels).
- Être supportée sur l’ensemble des OS standards du marché côté client : Windows, MacOS, Linux, Android, iOS.
- Offrir une visibilité et un monitoring des accès aux applications avec la possibilité d’exporter ces informations sur un outil tiers (ex: SIEM).
- Proposer un mécanisme "d’auto discovery" pour aider à la mise en œuvre de la micro-segmentation permettant de savoir quels utilisateurs accèdent à quelles applications. Nous ne sécurisons correctement que ce que nous maîtrisons.
- Proposer des API pour automatiser la création, la modification et la suppression des règles d’accès aux applications, au moyen d’outils ou de workflows tiers interagissant avec le service ZTNA. L’API est notamment indispensable pour une approche de sécurité automatisée, particulièrement avec les outils XDR et SOAR.
La notion de Zero Trust peut s’étendre au-delà de l’accès des utilisateurs aux applications. En effet, ce principe s’applique aussi aux communications entre applications au sein d’un Cloud ou d’un Datacenter, ou bien même de Cloud vers Cloud ou de Cloud vers Datacenter.
Il peut parfois se retrouver sous le terme de “Identity Based Microsegmentation”. L’idée est de trouver un mécanisme permettant de fournir une identité à chaque application/service tournant au sein d’un Cloud ou d’un Datacenter, et de n’autoriser que les communications strictement nécessaires en se basant sur cette identité.
De nouvelles solutions émergent depuis quelques années sur le marché et révolutionnent la micro-segmentation applicative. Elles offrent une efficacité, une granularité, une agilité, une flexibilité et une simplicité d’implémentation bien supérieures à des Next-Generation Firewall ou autres Security Group/Access List proposées nativement par les fournisseurs d’Infrastructure as a Service.
Nomios accompagne ses clients dans la mise en œuvre de mécanisme Zero Trust depuis trois ans avec notamment son partenaire Zscaler qui propose une approche de bout en bout (Microsegmentation Client vers Applications et Applications vers Applications) avec ses services ZPA et ZWS.
ZPA : Zscaler Private Access. Service Cloud de sécurisation des accès à vos applications privées sans la mise en place d’un VPN.
ZWS : Zscaler Workload Segmentation. Visibilité des flux est-ouest et microsegmentation applicative.
Pour en savoir plus sur le service Zero Trust Zscaler: https://www.zscaler.com/solutions/zero-trust-network-access