Quelle est la place de la segmentation zéro confiance dans le nouveau modèle de maturité zéro confiance de la CISA ?

La semaine dernière, la CISA a publié son très attendu modèle de maturité zéro confiance 2.0, une itération actualisée du modèle de maturité zéro confiance (ZTMM) publié pour la première fois en 2021.  

À un niveau élevé, le ZTMM de la CISA décrit comment les organisations modernes peuvent renforcer leur résilience cybernétique "dans un environnement et un paysage technologique qui évoluent rapidement". Il s'agit également d'une extension essentielle du décret de 2021 de l'administration Biden sur l'amélioration de la cybersécurité de la nation, qui exigeait des agences fédérales qu'elles développent et mettent en œuvre une architecture de confiance zéro (ZTA).

Bien que dépourvu de détails spécifiques et, dans l'ensemble, un aperçu plus général des objectifs de résilience à long terme du gouvernement fédéral (comme le sont souvent les guides d'architecture), il est toujours prometteur de voir l'élan Zero Trust du gouvernement fédéral se poursuivre ! Et grâce aux conseils de segmentation disséminés à travers les piliers et les niveaux de maturité, des tactiques actualisées comme celles-ci aideront les agences fédérales à atteindre plus efficacement leurs objectifs en matière de cyber-résilience.

C'est là qu'intervient la segmentation

Souvent, lorsque les informaticiens fédéraux pensent à la segmentation, la première chose qui leur vient à l'esprit est le réseau. La version actualisée du ZTMM n'est pas différente. La segmentation du réseau est incluse en tant que capacité technique à part entière dans la section 5.3 - relative au pilier "réseau" de la ZTA de la CISA. La CISA écrit qu'au stade initial, la segmentation du réseau se présente de la manière suivante : "L'agence commence à déployer l'architecture du réseau en isolant les charges de travail critiques : "L'agence commence à déployer une architecture de réseau en isolant les charges de travail critiques, en limitant la connectivité aux principes de moindre fonction et en effectuant une transition vers des interconnexions spécifiques aux services.  

Concrètement, cela signifie qu'il faut commencer à pratiquer le moindre privilège (c'est-à-dire limiter la confiance implicite) et commencer à segmenter les charges de travail critiques en les éloignant du serveur. Cela semble assez simple, n'est-ce pas ?

La CISA explique ensuite à quoi ressemble la fonctionnalité de segmentation du réseau selon les niveaux de maturité - de la mise en œuvre de la macrosegmentation aux niveaux les plus traditionnels, à l'application d'une microsegmentation plus grossière aux stades avancés et optimaux.

Pour les agences fédérales avancées, l'application de segmentation du réseau peut ressembler à ceci : "L'agence étend le déploiement des mécanismes d'isolation des points d'extrémité et des profils d'application à une plus grande partie de son architecture réseau avec des microperimètres d'entrée et de sortie et des interconnexions spécifiques aux services.  

Avec des solutions comme Illumio Endpoint, Illumio permet aux organisations de tous les niveaux de maturité d'appliquer de façon simple et transparente la segmentation zéro confiance (ZTS) jusqu'au point d'extrémité.  

Les principes ZTS ne se limitent pas au réseau. Dans la section 5.4, qui traite de la sécurité des applications et de la charge de travail, la CISA écrit que dans la phase initiale : "L'agence commence à mettre en œuvre des capacités d'autorisation d'accès aux applications qui intègrent des informations contextuelles (par exemple, l'identité, la conformité de l'appareil, et/ou d'autres attributs) par demande avec expiration".  

Au stade avancé, "l'Agence automatise les décisions d'accès aux applications grâce à des informations contextuelles étendues et à des conditions d'expiration appliquées qui respectent les principes du moindre privilège".  

C'est également dans ces domaines que la visibilité et la segmentation peuvent être utiles - en créant des limites d'application autour des identités et des appareils, en appliquant les principes du moindre privilège et en automatisant les politiques sur la base d'un contexte vérifié.

Autres enseignements clés d'un directeur technique fédéral

Bien qu'elle ne soit pas nécessairement au premier plan dans le nouveau ZTMM, la réalité est que la segmentation s'applique à toutes les catégories - et qu'elle est essentielle (et réalisable) pour les organisations de tous les niveaux de confiance zéro. Franchement, il est prometteur de voir que cette technologie reçoit enfin les éloges qu'elle mérite, mais il reste encore du travail et de l'éducation à faire.  

La visibilité et la segmentation sont d'autant plus importantes que les agences fédérales cherchent à atteindre les stades les plus avancés de la maturité "Zero Trust". La visibilité sur l'ensemble de l'environnement hybride (cloud, sur site, terminal, IT/OT) est essentielle pour comprendre ce que vous avez afin de savoir ce qu'il faut protéger. Une politique sensée peut être mise en place pour autoriser l'accès - sur la base de la conformité des appareils ou d'autres exigences - ce qui permet une application cohérente sans cloisonnement.

Le ZTS n'est pas seulement un contrôle proactif pour les agences fédérales qui cherchent à augmenter leur ZTA. Il s'agit également d'une stratégie proactive essentielle, qui garantit que lorsque les agences fédérales sont victimes d'une intrusion, les missions peuvent se poursuivre sans entrave. En fait, les organisations qui utilisent Illumio ZTS ont constaté une réduction de 66% de l'impact (ou du rayon d'action) d'une violation et ont économisé 3,8 millions de dollars en raison de la diminution des pannes et des temps d'arrêt. En fin de compte, une véritable ZTA tient compte à la fois des organisations en cours de maturation et des menaces avancées et persistantes.

Vous pouvez en savoir plus sur la façon dont le ZTS d'Illumio peut aider votre agence fédérale à atteindre ses objectifs en matière de confiance zéro.

‍