BLOG

Zero Trust – Questions à poser

Miniature F5
F5
Publié le 17 janvier 2019

Avoir une « stratégie Zero Trust » ressemble beaucoup à avoir une « stratégie Cloud » ; cela n’a pas beaucoup de sens sans le contexte de ce que vous essayez d’accomplir et de votre situation actuelle. Même le nom peut être trompeur car il faut faire confiance à quelque chose. Une définition basique de Zero Trust serait « ne pas faire confiance à un utilisateur ou à un appareil en fonction de l’emplacement du réseau », mais si c’était aussi simple, nous aurions tous déjà fini de le mettre en œuvre. En tant qu'architecte de solutions globales chez F5, j'ai l'occasion d'examiner de nombreuses architectures d'accès et, même si beaucoup y aspirent, peu ont atteint leurs objectifs Zero Trust.

Une meilleure définition semblerait être trouvée en redéfinissant la limite de confiance pour inclure l’identité, l’appareil et l’application, au lieu d’un périmètre réseau. Ce n’est certainement pas une idée nouvelle et j’ai vu de nombreux clients faire des progrès dans cette direction, mais elle gagne désormais en popularité à mesure que les fournisseurs s’attaquent aux principaux défis pour la faire fonctionner réellement dans des environnements sans leur propre armée de développeurs pour créer une solution personnalisée. La confusion est renforcée par le fait qu'il existe une variété de modèles parmi lesquels choisir, comme les proxys, les micro-tunnels, la micro-segmentation, le proxyless, ainsi que des termes concurrents et des concepts connexes comme la micro-segmentation et le périmètre défini par logiciel (SDP). Comment définissez-vous le succès sur quelque chose d’aussi vague avec autant d’options, et par où commencez-vous à évaluer les solutions ? Vous devez d’abord savoir quels sont vos objectifs et vos exigences. Alors, je commencerais par quelques questions comme celles-ci...

Quel type d’applications souhaitez-vous protéger ?

Les proxys ont tendance à être efficaces dans la gestion des applications Web, en offrant des fonctionnalités SSO, une bonne expérience utilisateur et un déploiement et une gestion relativement faciles. Vous cherchez également à fournir une confiance zéro pour l’accès au serveur ? Certaines solutions proposent des proxys SSH et RDP. Pour ces trois protocoles, il existe également des solutions sans proxy qui s'intègrent directement dans le code de l'application ou des modules d'authentification du serveur disponibles, mais sachez que cela signifie que vous ne pouvez pas arrêter le trafic avant qu'il n'atteigne le serveur/l'application, vous assumez donc plus de risques.

Si les cibles de votre application incluent plus que cela, il est probable que vous devrez étendre votre solution à un tunnel. Toutes les solutions de tunnel ne sont pas égales. Certains utilisent des VPN traditionnels, qui limitent votre connectivité à une seule passerelle. Les micro-tunnels ont tendance à être une meilleure approche, vous permettant d'établir de nombreux tunnels vers différents points de terminaison pour vous aider à répondre aux exigences d'accès où que vos applications se trouvent.

Quel type de protections faut-il mettre en place ?

Il s’agit d’une excellente occasion de vous assurer que vous disposez d’une protection multifactorielle devant chaque application, d’une certaine forme de bourrage d’informations d’identification et de protection contre la force brute, d’une protection contre les robots, d’une visibilité du trafic avec l’intégration de services de sécurité tels que les systèmes de prévention de la perte de données et de prévention des intrusions, et d’un pare-feu d’application Web pour vos applications Web. En mettant en œuvre un modèle d’accès cohérent, vous créez également un emplacement cohérent pour insérer tous ces services. Attention aux solutions de confidentialité de bout en bout. Cela semble attrayant jusqu’à ce que vous réalisiez que cela signifie que vous devez contourner tous vos services de sécurité. Zero Trust ne devrait jamais réduire votre niveau de sécurité. Terminer les tunnels au niveau d’une passerelle, puis acheminer le trafic via des dispositifs de visibilité et de sécurité est une bonne stratégie.

Avez-vous besoin d’une authentification unique (SSO) ?

Les solutions de tunnel ne sont généralement pas en mesure de fournir l’identité à l’application et dépendent parfois de l’environnement disposant d’une autre authentification transparente. Vous aurez peut-être besoin de proxys ou d’une intégration de code directe pour fournir le SSO que vous recherchez. La mise en œuvre de ces mesures est probablement la clé du succès auprès de bon nombre de vos parties prenantes. Une solution bien déployée peut améliorer l’expérience utilisateur en même temps que la sécurité.

Quelle est votre stratégie d’analyse ?

Vous devriez avoir de grandes attentes ici. Lors du déploiement d’un cadre de politique cohérent pour l’accès dans l’ensemble de l’organisation, l’un des principaux avantages doit être de comprendre qui accède à quelle ressource à partir de quel appareil, d’où et quand. Cette collecte de données doit être utilisée et analysée avec les données de vos autres outils de sécurité pour identifier et atténuer les menaces. Il s’agit d’une opportunité de gérer les risques au sein de l’organisation en améliorant votre chaîne de destruction à chaque étape, y compris la visibilité, l’identification des menaces et l’atténuation. Les fournisseurs dans ce domaine ne proposent pas encore le package complet, alors assurez-vous de rechercher des moyens d’intégrer des analyses de tiers dans la solution pour l’améliorer. Rechercher des fournisseurs qui se concentrent sur les intégrations de partenaires en plus de leur propre solution (plutôt que d'essayer de tout fournir sur une seule plateforme) est ici une bonne tactique.

À quel type d’expérience utilisateur devez-vous vous attendre ?

Les proxys ont tendance à offrir une expérience utilisateur supérieure pour les applications Web, car ils ne nécessitent aucune modification du comportement de l’utilisateur dans son navigateur et moins de composants sont également nécessaires côté client. Cependant, d’autres solutions peuvent nécessiter des clients tunnel. Il est raisonnable de s’attendre à ce qu’un utilisateur final soit totalement ou presque totalement inconscient de l’existence des tunnels. Les VPN traditionnels ont tendance à offrir une expérience utilisateur négative par rapport aux micro-tunnels et présentent d’autres limitations, comme indiqué ci-dessus.

Quelles plateformes devez-vous prendre en charge ?

Certaines solutions offrent une excellente plateforme pour les ordinateurs de bureau, mais pas pour les appareils mobiles. Assurez-vous d’évaluer la solution et de déterminer si elle peut répondre aux besoins des utilisateurs sur les principaux systèmes d’exploitation de bureau, les appareils mobiles et les applications mobiles natives selon les besoins et qu’il existe une expérience utilisateur et un ensemble de fonctionnalités cohérents.

Prochaines étapes

Définissez vos objectifs, qui devraient probablement inclure une expérience utilisateur améliorée, une meilleure intégration des services de sécurité, une approche multifactorielle devant tout et une stratégie d'intégration analytique pour commencer. Cela vous aidera à déterminer avec quels fournisseurs et architectures il vaut la peine de consacrer du temps pour une évaluation plus approfondie. Ensuite, concentrez-vous sur les fournisseurs ayant de bonnes stratégies de partenariat. Aucun fournisseur ne peut à lui seul offrir tout ce que vous pouvez attendre de cette architecture et vous souhaitez une plateforme sur laquelle vous pouvez construire. Vous serez plus heureux à long terme, croyez -moi !