Adopter un modèle de sécurité zéro confiance

Nous plongeons dans le concept de sécurité zéro confiance et discutons de la façon dont vous pouvez l'implémenter dans votre organisation.
(Source :rawpixel.com @ freepik.com)

La réalité d'une main-d'œuvre distribuée a changé la notion de paramètre de sécurité d'entreprise. Les organisations ne se contentent plus de sécuriser un simple immeuble de bureaux. Cela devenait une réalité avant même que la pandémie n'oblige les entreprises à migrer leur main-d'œuvre à distance.

Les organisations modernes ont besoin d'une stratégie de sécurité complète pour gérer les complexités technologiques d'aujourd'hui, et la sécurité zéro confiance répond à ce besoin. Il suppose que chaque demande de réseau est une violation et la vérifie comme si elle provenait d'une source non authentifiée. Les cyberattaques telles que les ransomwares devenant de plus en plus effrontées, nous ne pouvons plus nous permettre de supposer que tout ce qui se cache derrière les paramètres de sécurité de l'entreprise est sécurisé.

Aujourd'hui, nous allons plonger dans le concept de sécurité zéro confiance et discuter de la façon dont vous pouvez la mettre en œuvre dans votre organisation.

Pourquoi avons-nous besoin d'une confiance zéro ?

De nos jours, les entreprises permettent aux employés d'accéder à des actifs commerciaux importants à partir d'appareils distants et de logiciels cloud. Les connexions à ces précieuses ressources de l'entreprise doivent être sécurisées quelle que soit leur origine. La sécurité doit évoluer avec la façon dont nous utilisons la technologie, et les paramètres de sécurité statiques traditionnels sur lesquels nous comptions autrefois sont désormais insuffisants.

Un nombre croissant d'organisations constatent qu'elles doivent continuellement échanger des données précieuses entre les applications cloud, les appareils distants, les appareils IoT et les centres de données. Toutes ces pièces mobiles facilitent grandement la vie des cybercriminels tout en compliquant celle des spécialistes de la sécurité.

En raison de la variété des points d'entrée disponibles, les organisations peuvent mettre des mois, voire des années, à identifier les violations et les intrusions. Pendant ce temps, les cybercriminels pourraient voler des données importantes tout en infligeant des dommages massifs aux actifs de l'entreprise. Un paysage numérique plus ouvert dans l'entreprise peut encourager une plus grande productivité de n'importe où, mais des mesures appropriées doivent être prises pour maintenir la sécurité de l'entreprise sans périmètres tangibles.

Les bases de la confiance zéro

Le National Institute of Standards and Technology (NIST) fournit un guide complet sur l'architecture Zero-Trust, mais nous allons vous expliquer les bases ici. À la base, l'architecture de confiance zéro repose sur trois principes de base :

• Exiger une vérification explicite
• Utilisation de l'accès le moins privilégié
• Hypothèse d'une violation

Chaque demande doit être entièrement authentifiée, autorisée et chiffrée avant d'accorder l'accès, et cette vérification rigoureuse des identités doit être basée sur tous les points de données disponibles. Par défaut, aucune charge de travail ou utilisateur ne doit être approuvé, quel que soit son emplacement (à l'intérieur ou à l'extérieur des limites sécurisées de l'organisation).

Que les travailleurs soient dans un bureau à domicile ou sur une île tropicale lointaine, des politiques solides sont au cœur de la confiance zéro. Ils vous permettent de sécuriser une main-d'œuvre mobile tout en facilitant une productivité maximale. Pour garantir la mise en place d'une stratégie de confiance zéro efficace, un accès minimal aux ressources et aux informations basé sur des objectifs commerciaux légitimes doit être appliqué.

En tant que telles, les organisations doivent limiter l'accès aux services et aux applications des utilisateurs en mettant en œuvre :

• Gestion des accès juste-à-temps (JIT)
• Just-enough-access/administration (JEA)
• Politiques adaptatives basées sur les risques
• Contrôles de protection des données

Les entreprises de développement de logiciels et les entreprises technologiques devraient adopter une approche de confiance zéro dès les premiers stades du développement. Cela peut impliquer de déplacer la sécurité vers la gauche et de développer des produits tels que des micrologiciels qui affirment la confiance zéro.

Bien entendu, cela exigera des entreprises qu'elles embauchent du nouveau personnel compétent ou qu'elles améliorent les compétences du personnel actuel. Vous pouvez vous attendre à payer entre 60 $ et 80 $ de l'heure pour un développeur indépendant expérimenté qui comprend la cybersécurité. Vous voudrez également former chaque employé à une bonne cyberhygiène et à la philosophie de la confiance zéro afin qu'il comprenne pourquoi des changements sont apportés.

Avant la confiance zéro :l'ancien paradigme

Pour mettre davantage en évidence la façon dont l'architecture de confiance zéro a changé le paysage de la sécurité, examinons comment les entreprises sécurisaient généralement l'accès à distance aux services logiciels dans le passé.

Le modèle traditionnel consisterait en des services hébergés sur site ou un serveur distant sur lequel une entreprise a un contrôle total. Souvent, les connexions à ces services étaient facilitées par un réseau privé virtuel (VPN), et le VPN était hébergé sur une zone démilitarisée (DMZ). Les utilisateurs devraient fournir des informations d'identification pour accéder au VPN, généralement sous la forme d'un nom d'utilisateur et d'un mot de passe.

C'était avant la popularité de l'authentification multifacteur (MFA), où les sites Web et les services Web étaient sécurisés via une solution à plusieurs volets. Le VPN fournirait à l'utilisateur une adresse IP une fois le processus de vérification terminé. Cela permettrait à l'utilisateur d'accéder au réseau interne de l'entreprise où les applications et les services sont hébergés.

Étant donné que la majorité des violations résultent de mots de passe volés ou faibles, il était clair que l'authentification à un seul facteur n'était plus viable. De plus, l'un des plus grands défis d'un VPN du point de vue de la sécurité est qu'il donne souvent aux utilisateurs un accès illimité à d'autres actifs du réseau interne. Par exemple, si un utilisateur se connecte à un serveur SSH, il peut alors pivoter vers d'autres endroits du réseau. À moins que vous n'ayez d'autres mesures de sécurité sur le réseau qui fournissent une atténuation ou restreignent le contrôle, cela peut devenir un vecteur dangereux pour une cyber-attaque potentielle.

Comment la confiance zéro change le paradigme

L'un des principaux inconvénients de l'architecture cloud-first est la visibilité limitée, ce que le modèle de confiance zéro résout. Pour mettre à jour l'exemple précédent en utilisant les principes de confiance zéro, nous devrons d'abord remplacer le VPN traditionnel par un proxy inverse. Il sera chargé de négocier l'accès au réseau interne.

De plus, nous ajouterons également une passerelle d'authentification unique. Le protocole le plus populaire et le plus efficace pour les solutions à signature unique est le Security Assertion Markup Language (SAML). Lorsque les utilisateurs tentent d'accéder aux ressources sur site, ils doivent se connecter au proxy inverse à l'aide de leur navigateur ou de leur application locale. Le proxy inverse les connectera à la passerelle d'authentification unique. La passerelle d'authentification unique communiquera ensuite avec une source d'identité configurée par l'entreprise (telle qu'un annuaire sur site) pour aider à authentifier l'utilisateur.

Si les ressources sont situées sur le cloud, la passerelle d'authentification unique leur accordera un accès direct. Étant donné que l'authentification est effectuée sur une passerelle que l'entreprise contrôle, l'entreprise détermine quelles stratégies sont appliquées pour l'entrée. Cela permet à l'entreprise d'appliquer les mêmes politiques aux applications basées sur le cloud qu'aux services sur site. Cependant, il existe une légère différence dans la façon dont le proxy inverse gère les connexions aux ressources sur site.

En règle générale, le proxy connecte l'utilisateur à la passerelle d'authentification unique, authentifie la connexion, puis la renvoie au courtier. Après vérification, le proxy canaliserait ensuite l'utilisateur vers chaque service ou application auquel il a le droit d'accéder.

Pour les organisations exécutant un cloud hybride, la transition est transparente et imperceptible pour les utilisateurs finaux. Ils ne seront pas en mesure de faire la différence entre les services cloud et les actifs sur site. Le proxy inverse et la passerelle d'authentification unique géreront l'authentification pour les deux.

Aucune des ressources sur site n'acceptera de connexions à moins qu'elles ne soient tunnelisées à partir du proxy inverse.

De cette façon, une approche de confiance zéro empêchera les utilisateurs de pivoter d'une ressource à l'autre. Fondamentalement, nous ne vérifions pas seulement l'utilisateur et son appareil ; nous vérifions également les composants réseau individuels auxquels ils sont autorisés à accéder.

Conclusion

Les entreprises doivent concevoir leurs systèmes de manière à ce que les composants discrets ne soient pas compromis par un attaquant influençant d'autres fonctionnalités. Cela devrait se produire dans le cadre d'une hypothèse de risque raisonnable.

De plus, les organisations doivent utiliser la télémétrie, l'analyse et la veille économique pour augmenter la visibilité et accélérer la détection. Ils doivent identifier tous les actifs précieux et former des microsegments pour créer plusieurs points d'inspection. Cela empêchera les intrus de pivoter entre les actifs. Ces outils leur permettront de répondre aux menaces en temps réel.

Que vous évaluiez l'état de préparation de votre entreprise à la confiance zéro ou que vous élaboriez des plans pour améliorer la protection de vos identités, appareils, applications, données, infrastructure et réseaux, « ne jamais faire confiance, toujours vérifier » est le mantra à adopter.