BLOG

Aux États-Unis Agences fédérales, le moment est venu d’adopter le Zero Trust

Bill Church miniature
Bill Église
Publié le 28 janvier 2022

Le défi toujours croissant de protéger les données critiques, en particulier à l’ère des environnements de travail mobiles et basés sur le cloud, a poussé un nombre croissant d’agences fédérales vers un modèle de sécurité Zero Trust qui répond mieux à leurs besoins dans ce monde numériquement robuste.

Selon une enquête récente , près de la moitié des dirigeants informatiques du gouvernement fédéral ont déclaré que leurs agences s'orientaient vers des stratégies de sécurité centrées sur l'identité, ou Zero Trust, pour protéger leurs ressources numériques. L'étude, réalisée par FedScoop et financée par Duo Security, a révélé que les agences fédérales s'éloignent des tactiques traditionnelles de défense du périmètre du réseau et deviennent plus ouvertes à un environnement de données sans périmètre qui utilise des outils d'identité et d'authentification comme principal moyen d'accès.

Rien n’est plus révélateur de l’élan accéléré du Zero Trust et de son adoption ultérieure que le récent décret exécutif sur la cybersécurité soulignant son caractère critique, en particulier alors que la Maison Blanche a récemment publié une version finale de sa stratégie d’architecture Zero Trust, visant à améliorer considérablement la cybersécurité des systèmes des agences gouvernementales au cours des deux prochaines années. Ce changement a coïncidé avec une augmentation spectaculaire des environnements multi-cloud et des travailleurs à distance, deux composantes d’un environnement de travail moderne que le modèle Zero Trust répond très bien.

L’utilisation accélérée du modèle Zero Trust, tant au sein des agences fédérales que dans le monde des affaires en général, coïncide avec la prise de conscience croissante que les méthodes traditionnelles de sécurisation du périmètre d’un réseau ne sont plus suffisantes. Parce qu’il n’existe plus de réseau de confiance à l’intérieur d’un périmètre défini, l’approche « Faire confiance, mais vérifier » est devenue obsolète. Au lieu de cela, les équipes de sécurité fédérales devront adhérer à trois principes plus efficaces :

  • Ne faites jamais confiance, sauf lorsque les utilisateurs et les terminaux méritent réellement cette confiance.

  • Toujours vérifier : une ligne directrice qui s’applique au contexte, à l’application, à l’analyse du comportement de l’emplacement et à d’autres composants nécessaires pour dériver une approche basée sur les risques adaptée à l’activité du point de terminaison.

  • Surveillez en permanence, en sachant qu’il ne suffit pas de s’authentifier une seule fois et de supposer que le risque sera faible à partir de ce moment-là. Seule une authentification continue garantira une sécurité permanente.

F5 a récemment été nommé comme l'un des 18 fournisseurs à collaborer avec le NCCoE du NIST sur le projet de mise en œuvre d'une architecture Zero Trust pour développer des approches pratiques et interopérables pour la conception et la construction d'architectures Zero Trust. Notre expertise approfondie en matière de collaboration avec les principales organisations fédérales en première ligne de l’adoption du Zero Trust contribue à résoudre ces questions importantes. Le vaste portefeuille de sécurité des applications de F5 comprend quatre points de contrôle clés au sein d'une architecture Zero Trust, comme décrit ci-dessous :

Points finaux : Accès aux applications de confiance

F5 Labs a signalé que les violations liées à l'accès en 2020 représentaient la plus grande proportion des causes de violation connues, soit 34 %. Une solution d’accès aux applications fiable est essentielle à une époque où les violations liées à l’accès sont en augmentation.

F5 BIG-IP Access Policy Manager (APM) fournit une authentification moderne pour toutes les applications, simplifiant et centralisant l'accès aux applications, aux API et aux données, quel que soit l'endroit où se trouvent les utilisateurs et leurs applications. Que l'application soit située sur site ou dans le cloud, le résultat est une meilleure expérience utilisateur avec SSO et une expérience utilisateur commune dans un environnement plus sécurisé utilisant l'architecture Zero Trust.

Avec Identity Aware Proxy (IAP), APM déploie une validation de modèle Zero Trust qui sécurise chaque demande d'accès aux applications. Dans les agences fédérales, le processus d'authentification des utilisateurs privilégiés commence par l'affichage d'un code postal américain sur l'APM. Bannière d'avertissement du gouvernement à l'utilisateur, qui nécessite une acceptation avant de procéder à l'authentification. APM demande également des informations d'identification solides à l'utilisateur à l'aide d'un certain nombre d'options différentes, telles que leur vérification par rapport à une liste de révocation de certificats ou à un serveur de protocole d'état de certificat en ligne pour garantir que les informations d'identification n'ont pas été révoquées.

Une fois que l'utilisateur privilégié est autorisé à accéder au système, APM interrogera des attributs supplémentaires pour déterminer à quelles ressources l'utilisateur peut accéder. Il existe également plusieurs fonctionnalités avancées pour garantir l'intégrité du client, telles que la vérification que le client utilise un équipement fourni par le gouvernement (GFE), qu'il est conforme au système de sécurité basé sur l'hôte (HBSS) et/ou qu'il exécute un système d'exploitation pris en charge.

Infrastructure réseau : Sécurité des applications

Une infrastructure réseau est nécessaire pour garantir que les applications sont sécurisées et disponibles pour atteindre le Zero Trust. Les recherches de F5 Labs révèlent que près de 90 % des chargements de pages sont cryptés avec SSL/TLS, ce qui signifie que le cryptage est devenu la norme de nos jours. Néanmoins, les menaces cryptées persistent. En fait, il est courant que les attaquants utilisent le chiffrement pour masquer des charges utiles malveillantes et contourner les contrôles de sécurité.

Envisagez une solution de visibilité SSL pour éliminer les menaces en fournissant un décryptage/cryptage robuste du trafic SSL/TLS entrant et sortant avec un contrôle de cryptage centralisé. Cette solution doit fournir une orchestration basée sur des politiques pour éliminer les angles morts et fournir une orchestration basée sur des politiques qui permet une visibilité rentable sur l'ensemble de la chaîne de sécurité pour toute topologie de réseau, périphérique ou application.

Applications : Sécurité de la couche applicative pour la protection des agences

Notre étude F5 Labs révèle que les organisations déploient en moyenne 765 applications. Les cyberattaquants ayant de si nombreuses cibles potentielles, les agences devront rester vigilantes pour protéger ces applications dans le cadre de leur stratégie Zero Trust.

Vos solutions de sécurité au niveau de la couche applicative, que les applications soient dans le cloud, sur site, basées sur SaaS ou entièrement gérées, doivent assurer la sécurité au niveau ou à proximité de l'application et protéger la pile d'applications dans une architecture Zero Trust.

Vos solutions WAF fédérales doivent également protéger contre les attaques DoS de couche 7 avec des analyses comportementales qui surveillent en permanence la santé des applications. D’autres fonctionnalités devraient inclure la protection des informations d’identification pour empêcher l’accès non autorisé aux comptes d’utilisateurs et protéger les applications contre les attaques d’API.

Service d'identité : Partenariats

Envisagez de déployer une solution d’un fournisseur ayant établi des partenariats étroits avec des organisations telles que Microsoft , Okta et Ping . En intégrant des solutions d'accès aux applications fiables à ces fournisseurs d'identité en tant que service (IDaaS), vous comblez le fossé d'identité entre les applications basées sur le cloud, SaaS et les applications critiques et personnalisées pour offrir une expérience d'accès unifiée et sécurisée aux utilisateurs.

Les agences fédérales doivent également développer des partenariats solides pour garantir un déploiement réussi de Zero Trust. Nous vous invitons à nous contacter pour l'expertise et les solutions dont vous avez besoin. Notre objectif est de vous aider à passer au Zero Trust de la manière la plus transparente possible afin que vous puissiez commencer à récolter les bénéfices pour l'amélioration de votre agence.


Bill Église
Directeur de la technologie – F5 US Federal Solutions

(Une version précédente de ce contenu a été publiée fin 2020. (Mis à jour début 2022.)