Zero trust Qu’est-ce que le zero trust ?
Le zero trust est un nouveau modèle de cybersécurité conçu pour mieux répondre à l’évolution des exigences de sécurité des organisations modernes. Les frameworks zero trust peuvent améliorer la politique de sécurité, limiter les mouvements latéraux sur l’ensemble du réseau et prévenir les violations de données.
- Comprendre le zero trust
- Comment fonctionne le zero trust ?
- En quoi le zero trust est-il différent de la sécurité périmétrique ?
- Quels sont les principes fondamentaux du zero trust ?
- Quels sont les avantages du zero trust ?
- Par où commencer avec le zero trust ?
- Quelles sont les différences entre le zero trust et le SASE ?
- Comment HPE peut-elle vous aider à mettre en place une architecture zero trust ?
Comprendre le zero trust
La complexité des cyberattaques actuelles, les vecteurs d’attaque coûteux et les menaces permanentes peuvent souvent paralyser les entreprises, même les plus agiles. La sécurité zero trust contribue à simplifier votre approche de la sécurité pour faciliter la gestion de votre environnement.
Fondamentalement, le modèle de sécurité zero trust remplace la foi aveugle dans l’intégrité des périmètres du réseau sécurisés (tels que les réseaux privés, pare-feux et VPN/VPC) par le recours à des systèmes logiciels individuels qui gèrent les données critiques.
Hewlett Packard Enterprise a reconnu que, pour permettre à ses clients et partenaires de déployer une solution de sécurité zero trust robuste et agile pour leurs systèmes de données les plus critiques, la confiance doit être intégrée à chaque niveau – à partir du silicium qui exécute les logiciels jusqu’au réseau qui connecte les utilisateurs et les appareils aux applications et données nécessaires.
Comment fonctionne le zero trust ?
Pour améliorer la sécurité dans les entreprises modernes où les utilisateurs et les appareils sont distants et où les menaces contournent les défenses périmétriques traditionnelles, il est essentiel de disposer d’un modèle de sécurité rigoureux qui effectue des contrôles en continu. Avant d’accéder au réseau, tous les appareils et utilisateurs doivent être identifiés, authentifiés et dotés du minimum d’accès requis, puis être surveillés en permanence.
En quoi le zero trust est-il différent de la sécurité périmétrique ?
Contrairement aux approches de sécurité traditionnelles axées principalement sur le périmètre, les architectures de sécurité zero trust modernes assimilent la confiance à une vulnérabilité. Elles supposent qu’aucun utilisateur ou appareil, quel que soit son mode ou son lieu de connexion, ne doit être approuvé par défaut, dans la mesure où cet utilisateur pourrait être compromis. L’attestation et l’authentification des identités et des appareils sont requises sur l’ensemble du réseau. Chaque composant du réseau pris séparément doit établir sa fiabilité et être authentifié par tout autre composant avec lequel il interagit, y compris du point de vue des mesures de sécurité ponctuelles existantes.
Quels sont les principes fondamentaux du zero trust ?
- Aucune confiance implicite : Authentifiez et autorisez toujours en fonction de toutes les données contextuelles disponibles, telles que l’identité de l’utilisateur, l’emplacement, l’heure de la journée, la posture de l’appareil et l’application à laquelle vous accédez. La confiance n’est jamais présumée.
- Accès au moindre privilège : Accordez aux utilisateurs et aux appareils uniquement les autorisations nécessaires pour effectuer leurs tâches spécifiques, et uniquement tant qu’ils se comportent de manière cohérente avec leur rôle. Cela minimise le risque d’accès non autorisé et de mouvement latéral d’attaque au sein du réseau.
- Violation présumée : Concevez des systèmes en supposant qu’une violation s’est déjà produite ou pourrait survenir à tout moment. Concentrez les capacités de sécurité sur la détection, le confinement et la minimisation de l’impact.
- Microsegmentation : Divisez le réseau en zones plus petites et isolées pour limiter l’accès et réduire la surface d’attaque. Même si une zone est compromise, les autres restent sécurisées.
- Surveillance et validation continues : Surveillez le comportement de l’appareil, l’état de l’appareil et les modèles d’accès pour détecter les anomalies et appliquer les politiques en temps réel.
- Sécurité centrée sur les appareils et l’identité : Liez la politique de sécurité à l’identité et au rôle plutôt qu’à l’emplacement (d’où l’utilisateur ou l’appareil se connecte, par exemple, dans le périmètre du réseau). Ceci est essentiel dans les environnements cloud et hybrides, et pour les effectifs à distance.
Le réseau axé sur la sécurité et piloté par l’IA de HPE Aruba Networking active les principes zero trust de manière intrinsèque à chaque point de connexion. Il permet ainsi de fournir un ensemble complet de fonctionnalités conjuguant visibilité, contrôle et mise application afin de répondre aux exigences d’une infrastructure réseau décentralisée et pilotée par l’IoT.
Quels sont les avantages du zero trust ?
La sécurité réseau est confronté à un nombre croissant de difficultés liées à la mobilité, à l’IoT et aux environnements de télétravail. Le zero trust vous permet de renforcer la visibilité, le contrôle et la mise en application afin de répondre aux exigences de sécurité d’une infrastructure réseau décentralisée pilotée par l’IoT.
- Limite l’exposition aux risques de sécurité liés aux devices IoT vulnérables.
- Contribue à réduire le risque de menaces avancées contournant les contrôles de sécurité périmétriques traditionnels.
- Limite les dommages liés aux mouvements latéraux des pirates et des appareils infectés.
- Adopte une approche de sécurité plus globale, indépendamment de l’utilisateur, de l’appareil et de leur lieu de connexion.
- Permet l’application des meilleures pratiques telles que la microsegmentation pour prendre en charge l’accès à moindre privilège.
Par où commencer avec le zero trust ?
Les architectures zero trust sont axées sur l’authentification, l’autorisation et la gestion continue des risques. Voici par où commencer :
1. Éliminer les angles morts du réseau en découvrant et en profilant tous les appareils connectés.
2. Vérifier l’identité avant d’autoriser l’accès en s’appuyant sur les techniques d’authentification 802.1X, ainsi que sur des solutions émergentes pour les devices IoT.
3. Comparer la configuration des terminaux aux référentiels de conformité et apporter, le cas échéant, les corrections requises.
4. Établir un accès à moindre privilège aux ressources informatiques en segmentant le trafic en fonction de politiques basées sur l’identité.
5. Surveiller en continu l’état de sécurité de l’utilisateur et de l’appareil, et communiquer de manière bidirectionnelle avec les autres éléments de l’écosystème de sécurité. Établir des politiques pour révoquer les droits d’accès d’un utilisateur ou d’un appareil en cas de compromission ou d’attaque.
Quelles sont les différences entre le zero trust et le SASE ?
Le zero trust et le Secure Access Service Edge (SASE) sont deux approches visant à renforcer la sécurité, alors que les effectifs deviennent de plus en plus éloignés et dispersés et que les surfaces d’attaque des organisations s’étendent.
Le SASE définit les composants nécessaires pour fournir un accès optimisé et sécurisé à l’edge. Il combine des fonctionnalités complètes de réseau étendu (WAN) – telles que SD-WAN, routage et optimisation WAN – avec des services de sécurité déployés dans le cloud tels que la SWG, le CASB et le ZTNA. Une solution SASE doit être capable d’identifier les données sensibles, et de chiffrer et déchiffrer le contenu tout en exerçant une surveillance continue des risques et des niveaux de confiance. Cette approche est particulièrement utile pour les organisations ayant de nombreux bureaux distants et des effectifs fortement répartis.
Le zero trust est un modèle et une philosophie de réduction des risques de sécurité au sein de l’entreprise qui désavoue le concept de confiance implicite pour lui substituer le principe d’accès au moindre privilège en exerçant une authentification et une autorisation fondées sur l’identité et la surveillance permanente. Il englobe non seulement l’accès sécurisé, mais aussi la surveillance des cybermenaces, la gouvernance des données, les exigences de conformité et la maintenance de l’environnement réseau.
Le zero trust et le SASE appliquent des principes qui se recoupent. Mettre en œuvre une solution SASE peut être une étape dans l’aménagement d’une architecture de sécurité zero trust complète.
Comment HPE peut-elle vous aider à mettre en place une architecture zero trust ?
Le projet Aurora est l’architecture de sécurité zero trust Edge to Cloud de HPE qui aide nos clients à se protéger contre les attaques de logiciels malveillants les plus sophistiquées d’aujourd’hui. S’appuyant sur la Silicon Root Of Trust de HPE, le projet Aurora mesure tout avant d’être activé ou libéré pour exécution et répète continuellement cette mesure pendant l’exécution.
Plutôt que d’être une solution ponctuelle, le projet Aurora traite de bout en bout la sécurité des déploiements Edge to Cloud à l’aide de nouvelles solutions de sécurité embarquées et intégrées qui commencent au niveau du silicium. Il associe des technologies de sécurité intégrées à la vérification et à l’attestation automatisées afin d’établir une approche de défense en profondeur qui commence au niveau de la couche fondamentale la plus basse, le silicium.
En intégrant la sécurité à l’intérieur d’une chaîne de confiance sécurisée allant du silicium à la charge de travail, le projet Aurora permettra aux organisations de prendre davantage d’assurance avec leurs systèmes logiciels distribués, et de mettre sur le marché des solutions rentables et différenciées avec plus d’agilité et de flexibilité.
Le projet Aurora va ouvrir la voie vers la mise à disposition d’un plus grand nombre de services zero trust via HPE GreenLake et d’autres offres HPE. Dans un premier temps, il sera intégré à HPE GreenLake Lighthouse pour vérifier automatiquement et en permanence l’intégrité du matériel, des micrologiciels, des systèmes d’exploitation, des plateformes et des charges de travail, y compris celles provenant des fournisseurs de sécurité. Ceci peut contribuer à minimiser la perte et le chiffrement non autorisé (ainsi que la corruption) des données et des éléments de propriété intellectuelle.
À l’avenir, le projet Aurora sera intégré aux services cloud HPE GreenLake afin de fournir un moyen, indépendant de la plateforme, pour définir, créer et déployer une architecture zero trust distribuée, de l’edge au cloud.