BLOG

Sécuriser votre entreprise sans frontières

Miniature de Lori MacVittie
Lori MacVittie
Publié le 6 septembre 2016

Vous avez peut-être entendu un certain nombre de personnes ici chez F5 dire : « L’identité est le nouveau pare-feu. » Cela peut sembler une simple phrase, mais il y a beaucoup de choses derrière cette simple déclaration. Beaucoup de sécurité et une nouvelle façon d’aborder les perturbations numériques actuelles.

l'application est le périmètre

Qu'il s'agisse du cloud ou des menaces qui se propagent progressivement dans la pile application , ou de la dissolution d'applications monolithiques en API et microservices, la réalité est que ces perturbations ont un effet d'entraînement vers l'extérieur. Cet effet a ébranlé le sol sur lequel les centres de données sont construits et provoque des changements peu inattendus dans les architectures des centres de données . Ces changements sont actuellement fortement motivés par l’émergence d’un secteur d’activité sans frontières. Une entreprise qui s'appuie sur des applications, dont beaucoup sont déployées là-bas (SaaS) et quelques-unes là-bas (IaaS) et certaines encore ici (dans le centre de données).

Ces changements résultent de la reconnaissance du fait qu’une entreprise sans frontières ne peut pas être efficacement sécurisée par des architectures traditionnelles centrées sur un pare-feu comme point de contrôle stratégique de l’entreprise.

Cela ne fonctionne plus de cette façon car le périmètre sécurisé n’est plus le centre de données. Le périmètre est maintenant cette application, et cette application, et cette autre application. Les pare-feu traditionnels basés sur IP sont inefficaces non seulement en raison de leur compréhension limitée des applications , mais également en raison de leur nature connectée. Les pare-feu IP traditionnels, toujours nécessaires dans les centres de données, sont largement inefficaces dans les environnements réseau très volatils comme le cloud, car l'espace d'adressage des applications qu'il est censé protéger change souvent rapidement. L’introduction des conteneurs a également accru le problème de volatilité du contrôle d’accès aux applications basé sur le réseau en raison de leur durée de vie (souvent beaucoup) plus courte. Avec des durées de vie mesurées en minutes plutôt qu'en jours ou en semaines (ou en mois), la pression exercée sur les pare-feu IP traditionnels est incroyablement élevée.

Le contrôle d'accès aux applications basé sur l'identité, quant à lui, s'intéresse à la correspondance entre les utilisateurs et les applications, et non aux adresses IP, et offre un meilleur moyen de contrôler l'accès aux applications en fonction du contexte plutôt que de la configuration. Cela signifie qu'au lieu de se concentrer sur les adresses IP, les demandes d'accès des utilisateurs peuvent être évaluées en fonction du client, de l'emplacement, de l'appareil, de l'heure de la journée, de la vitesse du réseau et de application en plus de l'adresse IP, si vous voulez vraiment y regarder de plus près. Cet accès offre un meilleur moyen de déterminer qui (ou quoi) devrait (ou ne devrait pas) avoir accès à une application donnée. Et il est beaucoup plus facile de fournir ce service pour les applications, quel que soit leur emplacement de déploiement. Un service de contrôle d'accès basé sur l'identité peut voyager avec une application depuis le centre de données vers le cloud et inversement si nécessaire, car son contrôle est basé sur la compréhension du client et de l' application et sur l'application de politiques en temps réel, quel que soit le réseau qui transporte ces demandes et réponses.

Une option de contrôle d’accès basée sur l’identité signifie également assurer la parité entre des environnements disparates. Bien que s'appuyer sur un pare-feu IP traditionnel pour contrôler l'accès aux applications implique d'utiliser un système dans le centre de données et un autre dans le cloud, le même service de contrôle d'accès basé sur l'identité peut être déployé dans les deux environnements, ce qui signifie des politiques cohérentes qui offrent une meilleure conformité avec les politiques de l'entreprise ainsi que moins de frais opérationnels en termes de gestion et d'audit. Cette parité est quelque chose qui continue d’être demandé par ceux qui opèrent dans un environnement hybride (multi-cloud). Dans notre rapport sur l’état de la distribution des application 2016, près de la moitié (48 %) des répondants ont cité la parité des politiques et des audits avec les systèmes sur site comme un facteur de sécurité important pour l’adoption du cloud.

authentification avancée pwc

De plus, l’augmentation des failles de sécurité causées par des identifiants volés ou facilement découverts indique qu’il est temps de passer de l’authentification de base basée sur un mot de passe à un moyen plus intelligent d’autoriser ou de refuser l’accès. Dans sa dernière enquête mondiale sur la sécurité, PWC a noté que 91 % des personnes interrogées utilisent une « authentification avancée ». Citant les jetons et les méthodes d’authentification à deux facteurs, ils notent que l’authentification avancée offre des avantages significatifs non seulement en termes de confiance des clients, mais également de confiance des entreprises.

Le contrôle d’accès basé sur le contexte fournit des mesures similaires en fournissant plusieurs « facteurs » sur lesquels évaluer les demandes. L’authentification à deux facteurs peut être mise en œuvre par de telles solutions, mais les organisations peuvent également développer des mesures d’authentification qui s’appuient sur des indices contextuels fournis automatiquement pour une expérience application encore plus fluide.  On pourrait soutenir qu’à l’ère des « objets » agissant comme des clients, une politique d’authentification plus automatique basée sur « plusieurs facteurs » est nécessaire, car la plupart des « objets » ne possèdent pas de téléphone portable et les propriétaires pourraient ne pas apprécier d’être impliqués dans les transactions fréquentes nécessaires pour que les objets se synchronisent et « appellent à la maison ».

Quelle que soit la décision de votre organisation en matière d’authentification et de contrôle d’accès, il est presque certain qu’elle ne s’appuiera pas uniquement (voire pas du tout) sur des pare-feu basés sur IP. Parce que les pare-feu basés sur IP reposent sur l’idée qu’il existe une frontière d’entreprise bien définie. Et dans le monde actuel des infrastructure applicative, nuageux, mobile et presque éphémère, cette frontière n’existe plus.