Le concept de Zero Trust – la suppression de toute confiance implicite de nos réseaux et transactions numériques – est universellement reconnu comme la meilleure approche pour sécuriser les organisations aujourd’hui. Cependant, comme je l’ai mentionné précédemment, toute une catégorie de solutions dites de confiance zéro, que nous appellerons ZTNA 1.0, contient des lacunes alarmantes dans cinq domaines clés. Le premier domaine, dans lequel nous allons plonger aujourd’hui, est le moindre privilège.
Le principe du moindre privilège est un concept de sécurité de l’information selon lequel seul le minimum d’accès requis doit être accordé à un utilisateur ou à une entité pour effectuer son travail. L’idée est que limiter l’accès réduira votre exposition potentielle en cas de problème.
ZTNA 1.0 viole le principe du moindre privilège
Les VPN sont utilisés depuis longtemps pour fournir un accès à distance aux réseaux d’entreprise. Bien que cette approche consistant à accorder un large accès à des réseaux entiers n’ait jamais été idéale, il n’y avait pas d’alternative pratique et elle a été jugée acceptable car elle n’était rarement utilisée que par un nombre relativement restreint d’utilisateurs. Cependant, le passage rapide au travail hybride et la sophistication des menaces modernes (en particulier les attaques impliquant des mouvements latéraux) ont finalement rendu les VPN traditionnels obsolètes.
ZTNA était destiné à résoudre l’un des plus grands défis du VPN en limitant l’accès des utilisateurs aux seules applications spécifiques dont ils ont besoin, plutôt qu’à des réseaux entiers. Cependant, la façon dont les fournisseurs ont implémenté les solutions ZTNA 1.0 a essentiellement traduit une application en constructions de réseau de couche 3/4 comme l’IP (ou FQDN) et le numéro de port. Cette limitation oblige l’administrateur à peindre avec un pinceau large lors de l’écriture des politiques de contrôle d’accès, accordant finalement beaucoup plus d’accès que prévu.
Contrôle d’accès pour les applications modernes
Le principe du moindre privilège consiste à fournir le minimum de privilèges possible aux utilisateurs pour faire leur travail. Pour traiter le SaaS et d’autres applications modernes qui utilisent des adresses IP et des ports dynamiques, les solutions ZTNA 1.0 vous obligent à autoriser l’accès à de larges plages d’adresses IP et de ports afin que le contrôle d’accès (et l’application) fonctionne même. Cela viole clairement le principe du moindre privilège car cela crée un énorme trou dans votre réseau qui peut être exploité par un attaquant ou un logiciel malveillant.
Avec ZTNA 2.0, le système peut identifier dynamiquement l’application et la fonction spécifique au sein de l’application sur tous les protocoles et ports à l’aide d’App-ID, quels que soient les adresses IP et les ports que l’application pourrait utiliser. Pour les administrateurs, cela élimine le besoin de penser aux constructions de réseau et permet un contrôle d’accès très fin pour enfin mettre en œuvre un véritable accès au moindre privilège.
Les applications qui utilisent des connexions initiées par le serveur rompent avec ZTNA 1.0
Le prochain type d’application qui ne fonctionne pas bien avec les solutions ZTNA 1.0 sont les applications qui nécessitent l’établissement de connexions du serveur au client. Cela inclut les applications critiques telles que les solutions de gestion des mises à jour et des correctifs, les applications de gestion des appareils et les applications d’assistance. De la manière dont ZTNA 1.0 a été implémenté par de nombreux fournisseurs, il ne fonctionne que lorsque vos utilisateurs initient ces connexions et n’autorise pas du tout les connexions initiées par l’application ou le serveur. Nous avons vu de nombreux exemples où des clients ont essayé de mettre en œuvre des solutions ZTNA 1.0, mais ont été contraints de maintenir leur ancienne solution VPN uniquement pour résoudre ce cas d’utilisation !
Les solutions ZTNA 2.0 permettent un contrôle d’accès bidirectionnel à l’aide d’App-ID pour définir des politiques d’accès aux applications, peuvent facilement activer l’accès au moindre privilège pour tous les types d’applications, y compris les applications qui utilisent des connexions initiées par le serveur.
Contrôle des sous-applications pour les applications privées
De nombreuses applications privées ne disposent pas des fonctionnalités de contrôle d’accès intégrées et précises qui existent dans la plupart des applications SaaS modernes. Quelque chose d’aussi simple que de permettre aux utilisateurs d’accéder à une application pour afficher des données, mais pas de télécharger ou de télécharger des données, n’est tout simplement pas possible dans une solution ZTNA 1.0 où l’application est identifiée uniquement sur la base de l’adresse IP et du numéro de port uniquement. Fournir ce niveau de contrôle granulaire au niveau de la sous-application est trivial pour les solutions ZTNA 2.0 qui exploitent les constructions App-ID pour identifier les applications et les sous-applications.
L’application efficace du moindre privilège nécessite les contrôles granulaires de ZTNA 2.0
Dans un monde où les applications et les utilisateurs sont partout, l’adoption du principe du moindre privilège est d’une importance cruciale pour adopter efficacement Zero Trust et réduire les risques d’une organisation. ZTNA 2.0 permet un contrôle d’accès précis pour tous les types d’applications, indépendamment des constructions de réseau telles que les adresses IP et les numéros de port. Assurez-vous de regarder notre événement virtuel ZTNA 2.0, où nous discutons des innovations et des meilleures pratiques pour sécuriser la main-d’œuvre hybride avec ZTNA 2.0.
Kumar Ramachandran occupe le poste de vice-président principal des produits pour les produits Secure Access Service Edge (SASE) chez Palo Alto Networks. Kumar a cofondé CloudGenix en mars 2013 et en était le PDG, établissant la catégorie SD-WAN. Avant de fonder CloudGenix, Kumar a occupé des postes de direction dans la gestion des produits et le marketing pour les activités de routage de succursales et d’optimisation WAN de plusieurs milliards de dollars chez Cisco. Avant Cisco, il gérait les applications et l’infrastructure de sociétés telles que Citibank et Providian Financial. Kumar est titulaire d’un MBA de la UC Berkeley Haas School of Business et d’une maîtrise en informatique de l’Université de Bombay.
