De nombreuses organisations comme la vôtre adoptent une architecture Zero Trust . Zero Trust encourage à aborder la sécurité comme si les attaquants avaient déjà infiltré votre réseau et étaient à l’affût, attendant l’opportunité de lancer leur attaque. Une approche Zero Trust en matière de sécurité élimine l’idée d’un initié de confiance dans un périmètre réseau défini. Cela suppose qu’il existe un périmètre réseau sécurisé limité, voire inexistant, contrairement à l’approche de sécurité de type « château et douves » utilisée depuis des décennies. Et avec de nombreuses applications migrant vers des clouds publics ou remplacées par des applications SaaS , et des ressources réseau usurpées par celles des clouds, une approche Zero Trust est plus pertinente et applicable que jamais.

L’axiome Zero Trust est : « Ne jamais faire confiance, toujours vérifier. » Ne faites jamais confiance aux utilisateurs, même s’ils ont déjà été authentifiés, autorisés et ont obtenu l’accès aux applications et aux ressources. Vérifiez et examinez toujours l’identité de l’utilisateur, le type et l’intégrité de l’appareil, l’emplacement, les applications et les ressources auxquelles l’accès est demandé, etc. Et vérifiez non seulement au moment où un utilisateur demande l'accès, mais pendant toute la durée pendant laquelle il a accès à l'application ou à la ressource, et à chaque demande et tentative d'accès ultérieure. Une approche Zero Trust consiste à appliquer les droits de moindre privilège à l’accès des utilisateurs, c’est-à-dire à autoriser les utilisateurs à accéder uniquement aux applications et aux ressources auxquelles ils sont autorisés, et à restreindre leur accès à une seule application ou ressource à la fois.

Les principes fondamentaux d’une architecture Zero Trust sont l’identité et le contexte. Assurez-vous toujours qu’un utilisateur est bien celui qu’il prétend être en exploitant une source d’identité fiable et vérifiable. Et assurez-vous que seul le bon utilisateur accède en toute sécurité à la bonne application, au bon moment, avec le bon appareil, avec la bonne configuration, depuis le bon endroit.

La prise en compte de l’identité et du contexte est également ce que Identity Aware Proxy (IAP) permet et fournit. Identity Aware Proxy fournit un accès sécurisé à des applications spécifiques en exploitant une approche précise de l'authentification et de l'autorisation des utilisateurs. IAP permet uniquement l'accès aux applications par demande, ce qui est très différent de l'approche d'accès large des VPN, qui appliquent un accès basé sur la session. La différence réside entre limiter l'accès des utilisateurs à une application ou à une ressource spécifique à laquelle ils sont autorisés à accéder, et leur permettre d'accéder à toutes les applications ou ressources auxquelles ils sont autorisés à accéder. La centralisation des autorisations permet de créer des contrôles d’accès au niveau des applications.

Le contexte est essentiel dans l’IAP. Il permet la création et l’application de politiques d’accès aux applications granulaires basées sur des attributs contextuels, tels que l’identité de l’utilisateur, l’intégrité de l’appareil et la localisation de l’utilisateur, pour n’en citer que quelques-uns. IAP s’appuie sur des contrôles d’accès au niveau de l’application, et non sur des règles imposées au niveau de la couche réseau. Les politiques configurées reflètent l’intention et le contexte de l’utilisateur et de l’application, et non les ports et les adresses IP. Enfin, l’IAP nécessite une racine d’identité solide et fiable pour vérifier les utilisateurs et leurs appareils, et pour appliquer rigoureusement ce à quoi ils sont autorisés à accéder.

Identity Aware Proxy est le principal élément de F5 BIG-IP Access Policy Manager (APM). BIG-IP APM et F5 Access Guard fournissent un proxy prenant en charge l'identité, utilisant une validation de modèle Zero Trust pour chaque demande d'accès. Fournissant un accès sécurisé authentifié et autorisé à des applications spécifiques, il exploite le meilleur proxy d'accès de sa catégorie de F5. BIG-IP APM centralise l'identité et l'autorisation des utilisateurs. L’autorisation est basée sur les principes de l’accès au moindre privilège. Grâce à son approche IAP, BIG-IP APM est en mesure d’examiner, de terminer et d’autoriser les demandes d’accès aux applications. La connaissance du contexte requise pour Zero Trust oblige au développement et à l’application de politiques d’autorisation extrêmement granulaires. BIG-IP APM, grâce à son support IAP, offre exactement cela. Des politiques au sein de BIG-IP APM peuvent être créées pour vérifier l'identité de l'utilisateur, vérifier l'adéquation et la posture de l'appareil et valider l'autorisation de l'utilisateur.

Vous pouvez également créer des politiques pour :

• Confirmer l’intégrité et la sensibilité de l’application
• Confirmer l'accessibilité de l'heure et de la date
• Limiter ou interrompre l'accès si la localisation de l'utilisateur est jugée incorrecte, inappropriée ou non sécurisée
• Demandez des formes d’authentification supplémentaires, y compris l’authentification multifacteur (MFA), si l’emplacement de l’utilisateur ou la nature sensible de l’appareil ou de l’application ou des fichiers auxquels l’accès est demandé le justifient.
• Intégrez les données issues de l'analyse du comportement des utilisateurs et des entités (UEBA) et d'autres sources de risques pilotées par API

Pour garantir qu'un appareil est approprié et sécurisé, et avant que l'utilisateur puisse être authentifié et que son accès à l'application soit autorisé, BIG-IP APM vérifie la posture de sécurité de son appareil via F5 Access Guard, qui est inclus avec BIG-IP APM. Cependant, BIG-IP APM et F5 Access Guard vont au-delà de la simple vérification de l’intégrité de l’appareil lors de l’authentification. Au lieu de cela, ils effectuent des contrôles continus et permanents de la posture des appareils, garantissant que les appareils des utilisateurs non seulement respectent mais adhèrent en permanence aux politiques de sécurité des points de terminaison tout au long de l'accès aux applications de l'utilisateur. Et si BIG-IP APM détecte un changement dans l’intégrité de l’appareil, il peut limiter ou arrêter l’accès de l’utilisateur à l’application, limitant ou éliminant ainsi les attaques potentielles avant qu’elles ne puissent être lancées.

Identity Aware Proxy simplifie également l'accès aux applications pour les travailleurs distants ou à domicile et permet et sécurise mieux l'accessibilité aux applications pour votre organisation. Étant donné que l’accès VPN permet aux utilisateurs d’accéder à n’importe quelle application ou ressource à laquelle ils sont autorisés, il n’adhère pas à un modèle Zero Trust. Cependant, Identity Aware Proxy permet aux utilisateurs de demander directement l'accès à une application spécifique et de bénéficier d'une protection par cryptage. Cela réduit considérablement votre besoin de VPN, ce qui permet à votre organisation d'économiser du temps et de l'argent, tout en offrant une alternative plus sûre.

Cependant, une véritable approche de sécurité Zero Trust nécessite que l’accès à toutes les applications auxquelles un utilisateur peut être autorisé soit sécurisé, y compris les applications qui ne sont pas natives du cloud public ou proposées en tant que logiciel en tant que service (SaaS). Cela doit inclure même les applications classiques ou personnalisées qui peuvent ne pas fonctionner ou ne peuvent pas fonctionner avec une identité basée sur le cloud, comme Identity-as-a-Service (IDaaS). La plupart de ces applications restent sur site, dans un centre de données ou dans un cloud privé. La plupart de ces applications prennent également en charge les méthodes d’authentification classiques, telles que Kerberos, basées sur les en-têtes ou autres. Ils ne sont pas en mesure de prendre en charge les protocoles d’authentification et d’autorisation modernes tels que Secure Assertion Markup Language (SAML) ou OpenID Connect (OIDC) et OAuth. Ils ne peuvent pas prendre en charge la fédération d’identité, l’authentification unique (SSO) ou même l’authentification multifacteur.

BIG-IP APM résout ce problème. BIG-IP APM, en étroite collaboration avec les fournisseurs IDaaS, notamment Microsoft (Azure Active Directory), Okta et d’autres, comble le fossé d’identité entre l’authentification moderne et classique. BIG-IP APM est en mesure de garantir que les applications classiques et personnalisées peuvent prendre en charge la fédération d'identité et l'authentification unique. Cela améliore non seulement votre expérience utilisateur, en simplifiant l'accès aux applications en centralisant le contrôle d'accès, mais garantit également la mise en place d'une source d'identité sécurisée et fiable. En activant MFA pour toutes les applications, BIG-IP APM protège toutes les applications contre les accès inappropriés et active une autre couche de sécurité pour garantir un accès approprié aux applications. BIG-IP APM est un point de contrôle unique et centralisé pour gérer et sécuriser l'accès des utilisateurs aux applications, où qu'elles soient hébergées.

F5 BIG-IP APM, grâce à sa prise en charge d'Identity Aware Proxy, permet le déploiement d'un accès aux applications Zero Trust. BIG-IP APM fournit un accès aux applications par demande, tout en sécurisant et en gérant l'accès à toutes les applications, quel que soit leur emplacement, ainsi que leurs méthodes d'authentification et d'autorisation. Il offre l’évolutivité et la fiabilité synonymes de F5 et exploite l’architecture proxy complète de F5, leader du secteur.

BIG-IP APM avec Identity Aware Proxy réduit les coûts d'infrastructure, augmente la sécurité des applications et améliore vos expériences utilisateur et administratives.