Êtes-vous parfois aussi confus que moi à propos des différentes définitions de Zero Trust, et de la façon dont presque tous les fournisseurs ont coopté le terme pour leur marketing ?
Avertissement – nous pourrions être accusés de la même chose, mais j’espère que notre approche est claire, comme expliqué ci-dessous.
Nous avons le Zero Trust Network Access, dont vous avez probablement tous entendu parler, le Zero Trust Edge original, qui est plus ou moins le SASE de Forrester et qui est en fait antérieur à Gartner.
Il y a ensuite ZT 2.0, mais je suis curieux de savoir où est passée la version 1.0.
Chez Aryaka, nous parlons de Zero Trust WAN, qui est le fondement de notre approche Unified SASE.
Gartner a défini l’Universal ZTNA, qui est en fait proche de notre ZT WAN, et parle également d’une Zero Trust Architecture.
Comment décoder les différentes variantes de la confiance zéro et pourquoi s’en préoccuper ?
Pour rappel, contrairement à un réseau « ouvert » traditionnel où il existe une confiance implicite pour les ressources sécurisées par les pare-feu traditionnels, une architecture fondée sur les principes de la confiance zéro étend ce que l’on appelle le « principe du moindre privilège » aux ressources individuelles.
Vous ne faites jamais confiance par défaut, et vous disposez de l’observabilité et des outils nécessaires pour répondre rapidement à toute violation.
Cela permet également à l’administrateur de révoquer rapidement l’accès de manière centralisée.
Dans les grandes entreprises, les applications, les données ou les ressources peuvent être gérées par différents groupes/départements ou persona, de sorte que la recherche de qui possède quoi et la révocation de l’accès en cas d’infraction vont ralentir le processus.
ZTNA et un portail centralisé contribueront à simplifier le processus et à raccourcir le temps de réponse.
Cette approche, comme vous pouvez l’imaginer, est essentielle à mesure que le périmètre de menace (ou de confiance) de l’entreprise s’étend pour inclure le nuage hybride, les employés en déplacement, les applications SaaS, ainsi que les partenaires et les clients.
Notez que la confiance zéro est différente d’un VPN plus traditionnel, qui accorde également un accès complet après authentification, même multifactorielle.
Comment mettre en œuvre la confiance zéro ? En ce qui concerne l’architecture d’Aryaka, nous avons développé une architecture à passage unique qui repose sur un plan de données distribué prenant en charge le traitement du réseau, des applications et de la sécurité.
L’intelligence peut donc être mise en œuvre à n’importe quel point du réseau étendu, de la périphérie au milieu du réseau, et jusqu’au nuage.
Le tout sous le contrôle d’un plan de contrôle unifié qui élimine les silos potentiels susceptibles d’entraîner non seulement des problèmes de performance, mais aussi des failles de sécurité.
Ce plan de contrôle est à son tour relié à un panneau de gestion universel avec des passerelles vers les portails des clients et des partenaires, ainsi que vers des tierces parties.
Un réseau étendu sans confiance intègre donc un traitement sophistiqué des applications, la sécurité, ainsi que l’observabilité et le contrôle nécessaires.
L’intelligence distribuée permet un contrôle granulaire des politiques sur l’ensemble du réseau, en prenant en charge les utilisateurs, les données, les applications et toutes les charges de travail ou tous les appareils. Pour ceux qui connaissent l’architecture NIST, le plan de contrôle est le point de décision de la politique, tandis que le plan de données distribué joue le rôle du point d’application de la politique.
L’ensemble du « système » reçoit bien entendu des données d’entrée de différentes plateformes de renseignement sur les menaces et d’Active Directory, et des données de sortie vers le SIEM et d’autres systèmes. Si vous souhaitez en savoir plus sur l’approche pratique de la mise en œuvre de la ZT et sur les avantages qu’elle peut apporter à votre entreprise, n’hésitez pas à nous contacter !