Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Pourquoi ZTNA laisse des lacunes en matière de sécurité - et comment ZTS les comble

Aditya Krishnan
Responsable de la ligne de produits techniques
Illumio Editorial
Décembre 13, 2022
23 min. lire

Bien que de nombreux fournisseurs de solutions de confiance zéro veuillent vous le faire croire, la confiance zéro n'est pas un produit ou une technologie unique, mais plutôt une stratégie globale pour l'ensemble de l'environnement informatique.

La confiance zéro, comme son nom l'indique, est un modèle qui refuse par défaut l'accès aux ressources numériques d'une entreprise et n'accorde des autorisations qu'en fonction des besoins, sur la base de l'identité et du type de ressource.

Pour protéger les charges de travail critiques d'une organisation, les trois éléments essentiels de la confiance zéro sont les suivants :

  • Gouvernance de l'identité
  • Segmentation zéro confiance (ZTS)
  • Accès au réseau sans confiance (ZTNA)

Bien que la plupart des organisations aient déjà adopté la gouvernance des identités, les deux dernières composantes de la confiance zéro vont de pair et jouent un rôle majeur dans la sécurisation de l'infrastructure d'une organisation.

Qu'est-ce que le ZTNA et pourquoi est-il important ?

Le ZTNA a été largement adopté au cours des deux dernières années pour sécuriser le périmètre d'une organisation et le trafic nord-sud. ZTNA fournit un mécanisme simple mais robuste permettant aux utilisateurs d'accéder aux applications dans le nuage ou le centre de données en authentifiant les utilisateurs sur la base de leurs identités et de leurs rôles.

En outre, lorsque les utilisateurs se voient accorder l'accès, contrairement à un VPN traditionnel, ils n'ont accès qu'à l'application dont ils ont besoin et se voient refuser l'accès au réseau de l'entreprise lui-même. Cela réduit la surface d'attaque du réseau exposée au périmètre.

Les 3 principaux domaines dans lesquels la ZTNA n'est pas à la hauteur

Bien que ZTNA présente de nombreux avantages, il ne s'agit pas d'une solution à toute épreuve pour votre réseau.

En réalité, les violations se produisent toujours.

À mesure que la complexité des attaques augmente, il devient imminent d'adopter un état d'esprit "assume breach" où l'objectif de l'organisation devrait être de réduire la surface d'attaque interne et de limiter les brèches à un nombre de ressources aussi réduit que possible.

ZTNA est très efficace pour sécuriser l'accès externe aux applications des utilisateurs distants, mais il existe de nombreux scénarios dans lesquels ZTNA ne peut pas apporter d'avantages. C'est pourquoi une approche de défense en profondeur est essentielle.

Il y a trois grands domaines dans lesquels ZTNA n'offre aucune protection :

  • mouvement latéral entre les points d'extrémité: Les solutions ZTNA permettent aux utilisateurs distants d'accéder aux ressources des applications. Cependant, lorsqu'un utilisateur est au bureau, cela n'empêche pas ou ne régule pas l'accès à partir de divers appareils d'utilisateurs finaux. Un terminal infecté dans l'environnement de l'entreprise peut se déplacer latéralement à travers de nombreux terminaux et serveurs, accédant ainsi aux données sensibles des utilisateurs, tout en étant sujet à des attaques de ransomware à grande échelle.
  • Les mouvements latéraux entre les serveurs: ZTNA n'a pas la capacité de protéger contre les vecteurs d'attaque qui proviennent de l'intérieur du centre de données. Un bon exemple serait l'attaque de la chaîne d'approvisionnement de SolarWinds en 2020, au cours de laquelle les attaquants ont accédé aux réseaux et aux systèmes où SolarWinds était déployé.
  • Défaillance des fournisseurs de services d'identité: Les solutions ZTNA font confiance aux fournisseurs de services d'identité (IDP) pour authentifier les utilisateurs dans leur environnement. Les attaquants ont profité de cette situation en usurpant les IDP et en contournant les MFA. Une fois à l'intérieur, les attaquants sont libres de faire des ravages, d'exfiltrer des données et d'infecter les actifs critiques d'une organisation.

Comment le ZTS peut-il aider lorsque le ZTNA tombe en panne ?

Le ZTS et le ZTNA sont des éléments fondamentaux de toute démarche de confiance zéro. Il est clair qu'une organisation ne peut pas compter uniquement sur ZTNA pour se protéger contre les acteurs malveillants.

ZTS comble cette lacune en sécurisant le trafic est-ouest laissé libre par ZTNA et fournit la visibilité nécessaire sur le trafic réseau pour poursuivre votre parcours Zero Trust.

Il est de notoriété publique que l'on ne peut sécuriser que ce que l'on voit. Outre la sécurisation du trafic est-ouest, le ZTS offre une visibilité de bout en bout, depuis les points d'extrémité (distants et au bureau) jusqu'aux applications dans le centre de données ou le nuage. Les organisations peuvent tirer parti de cette visibilité lors de la mise en œuvre d'autres solutions Zero Trust.

Avec ZTS, une approche "assume breach" est appliquée à l'ensemble de l'environnement, de sorte que les nœuds ne peuvent communiquer les uns avec les autres que si cela est explicitement autorisé. Cela permet d'endiguer les brèches et d'éviter qu'elles ne se propagent à l'ensemble du réseau.

Le passage d'un état d'esprit de prévention des brèches à un état d'esprit d'endiguement des brèches a été validé par le décret 14028 de la Maison Blanche, publié en 2021. Le décret appelle les agences fédérales - et toutes les organisations - à s'orienter vers une stratégie de sécurité "Zero Trust", dont l'un des principaux piliers est la "Zero Trust Segmentation" (également appelée "microsegmentation").

Pour en savoir plus sur les points essentiels du décret 14028, consultez cet article.

ZTS répond aux trois principales lacunes de ZTNA

Les points de terminaison autorisés à communiquer avec d'autres points de terminaison sont un cadeau pour n'importe quel attaquant, qui peut ainsi se propager rapidement. Par conséquent, les points d'extrémité à l'intérieur ou à l'extérieur du réseau de l'entreprise doivent être sécurisés à l'aide de ZTS. Lorsque les ports sont laissés ouverts, les terminaux deviennent un vecteur d'attaque attrayant et une source majeure de propagation des ransomwares au sein du réseau. Une fois les terminaux infectés, les attaquants peuvent s'attaquer aux actifs critiques du centre de données.

Grâce à la visibilité offerte par le ZTS, vous pouvez simplement créer des règles de segmentation où des politiques granulaires peuvent être appliquées sur les serveurs d'application, autorisant seulement certains serveurs à communiquer les uns avec les autres par le biais de protocoles spécifiques. Par exemple, nous pouvons vouloir autoriser la communication entre un serveur web et un serveur de base de données sur le port 3306 (MySQL), mais restreindre l'accès de la base de données au serveur web.

Le ZTS s'avère être une sécurité précieuse dans le cas où les attaquants contournent le mécanisme d'authentification de l'IDP. Même si un attaquant parvient à entrer, il ne pourra pas se déplacer latéralement dans l'environnement, ce qui réduira le rayon d'action d'une attaque.

La grande majorité des cyberattaques dépendent de la découverte du réseau et des mouvements latéraux. Sans ZTS en plus de ZTNA, une organisation est vulnérable à l'exploitation répétée de ces tactiques.

Illumio + Appgate : Atteignez le cyber nirvana en mettant en œuvre à la fois ZTS et ZTNA

Les ZTS et les ZTNA jouent un rôle majeur dans la mise en place d'une infrastructure moderne. C'est en les combinant que vous redonnerez de la vigueur à vos réseaux et que vous atteindrez le cyber nirvana !

Illumio et Appgate ouvrent la voie en aidant les organisations à mettre en œuvre une protection efficace et efficiente de la sécurité Zero Trust. Illumio et Appgate ont été classés parmi les leaders de la Forrester Wave'Ñ¢ : Zero Trust eXtended Ecosystem Platform Providers (fournisseurs de plates-formes d'écosystèmes étendus à confiance zéro).

Avec Illumio et Appgate, vous pouvez rapidement mettre en place une sécurité Zero Trust pour protéger à la fois le périmètre et le trafic intérieur dans vos environnements informatiques hybrides.

Pour en savoir plus sur Illumio + Appgate, consultez cet article. Et obtenez l'approche des meilleures pratiques en trois étapes pour mettre en œuvre la sécurité Zero Trust avec Illumio et Appgate dans le guide de la solution.

Sujets connexes

terminal

Articles connexes

Les principales actualités d'avril 2024 en matière de cybersécurité
Segmentation sans confiance

Les principales actualités d'avril 2024 en matière de cybersécurité

Rattrapez les principaux articles sur la cybersécurité du mois d'avril, notamment sur les risques liés à la sécurité des infrastructures critiques, sur la manière de sécuriser l'IdO avec la segmentation zéro confiance et sur les raisons pour lesquelles la sécurité traditionnelle nous fait défaut dans l'informatique dématérialisée.

Read more
RSAC 2024 : 3 conversations que vous avez peut-être manquées
Segmentation sans confiance

RSAC 2024 : 3 conversations que vous avez peut-être manquées

Récapitulez les trois sujets les plus fréquemment abordés au RSAC cette année.

Read more
Ce que les organisations attendent de leurs fournisseurs de segmentation sans confiance
Segmentation sans confiance

Ce que les organisations attendent de leurs fournisseurs de segmentation sans confiance

La confiance zéro gagne du terrain dans le monde entier en tant que meilleure pratique pour atténuer les risques cybernétiques graves.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more