Zero Trust Networking (ZTN) ne fait confiance à rien

John Kindervag, ancien analyste de Forrester Research, a été le premier à introduire le modèle Zero-Trust en 2010. L'accent était alors mis davantage sur la couche application. Cependant, une fois que j'ai entendu que Sorell Slaymaker de Techvision Research poussait le sujet au niveau du réseau, je n'ai pas pu résister à lui donner un appel pour discuter des généraux sur Zero Trust Networking (ZTN). Au cours de la conversation, il a mis en lumière de nombreux faits connus et inconnus sur Zero Trust Networking qui pourraient s'avérer utiles à quiconque. 

Le monde traditionnel de la mise en réseau a commencé avec des domaines statiques. Le modèle de réseau classique divisait les clients et les utilisateurs en deux groupes - fiables et non fiables. Les personnes de confiance sont celles qui se trouvent à l'intérieur du réseau interne, les personnes non fiables sont externes au réseau, qui peuvent être des utilisateurs mobiles ou des réseaux partenaires. Pour refondre le non approuvé pour devenir approuvé, on utilise généralement un réseau privé virtuel (VPN) pour accéder au réseau interne.

Le réseau interne serait alors divisé en plusieurs segments. Un flux de trafic typique entrerait dans la zone démilitarisée (DMZ) pour inspection et à partir de là, l'accès pourrait être obtenu aux ressources internes. Les utilisateurs ont accès à la couche de présentation. La couche de présentation communiquerait alors avec la couche d'application, qui à son tour accéderait à la couche de base de données. Finalement, cette architecture a présenté beaucoup de trafic du nord au sud, ce qui signifie que la plupart du trafic entrerait et sortirait du centre de données.

La naissance de la virtualisation a changé beaucoup de choses car elle a eu un impact remarquable sur les flux de trafic. Il y avait maintenant un grand nombre d'applications à l'intérieur du centre de données qui nécessitaient une communication croisée. Cela a déclenché un nouveau flux de trafic, connu sous le nom d'est en ouest. Le défi du modèle traditionnel est qu'il ne protège pas les flux de trafic d'est en ouest.

Les réseaux traditionnels sont divisés en divers segments qui sont généralement considérés comme des zones. Il était courant de regrouper des types de serveurs similaires dans des zones sans contrôle de sécurité pour filtrer le trafic interne. En règle générale, dans une zone donnée, les serveurs peuvent dialoguer librement et partager un domaine de diffusion commun.

Si un mauvais acteur trouve une vulnérabilité dans l'un de vos serveurs de base de données dans cette zone, le mauvais acteur pourrait se déplacer facilement pour tenter de compromettre d'autres serveurs de base de données. C'est ainsi que le modèle de mise en réseau et de sécurité a vu le jour. Malheureusement, c'est toujours l'architecture d'entreprise commune qui est utilisée aujourd'hui. Il est obsolète et non sécurisé, mais il est encore le plus largement adopté. De nos jours, vous devez être du bon côté de la sécurité.

Les mauvais acteurs chercheront toujours le lien le plus faible et une fois le lien compromis, ils passent inaperçus à la recherche de ressources cibles plus élevées. De là, vous devez non seulement protéger le trafic du nord au sud, mais également protéger l'est à l'ouest. Pour combler l'écart, nous sommes passés par un certain nombre de phases.

Microsegmentation

La meilleure pratique actuelle et la plus préférée pour protéger le trafic d'est en ouest est la microsegmentation. La microsegmentation est un mécanisme par lequel vous segmentez le calcul virtualisé des utilisateurs. Il réduit encore la surface d'attaque en réduisant le nombre d'appareils et d'utilisateurs sur un segment donné. Si un mauvais acteur accède à un segment de la zone de données, il ne peut compromettre les autres serveurs de cette zone.

Regardons cela sous un angle différent. Imaginez qu'Internet ressemble à notre réseau routier et que toutes les maisons et tous les appartements soient des ordinateurs et des appareils sur la route. Dans ce scénario, la microsegmentation définit le quartier et le nombre de personnes vivant dans le quartier. Tout le monde dans le quartier a la possibilité de naviguer jusqu'à votre porte et d'essayer d'accéder à votre maison. Ici, nous devons faire l'hypothèse que moins de gens dans le quartier, moins votre maison sera volée.

De même, dans le cas de la microsegmentation, non seulement nous avons segmenté nos applications et services, mais nous avons également commencé à segmenter les utilisateurs. Il segmente différents utilisateurs utilisant différents réseaux en différents segments. C'était un pas dans la bonne direction car aujourd'hui, il contrôle à la fois les mouvements du trafic du nord au sud et d'est en ouest, isolant davantage la taille des domaines de diffusion..

Il présente également certains inconvénients. L'un des plus gros défauts est qu'il est centré sur l'adresse IP, en s'appuyant sur des clients VPN ou NAC qui n'est pas compatible avec l'Internet des objets et s'appuie sur des règles binaires. Nous utilisons un processus décisionnel binaire; autoriser ou refuser. Une ACL ne fait pas vraiment grand-chose. Vous pouvez autoriser ou refuser un IP ou un numéro de port, mais il s'agit essentiellement d'un processus binaire statique.

En fait, pour les applications d'aujourd'hui, nous devons utiliser des systèmes plus intelligents, grâce auxquels des critères supplémentaires peuvent être utilisés avec l'autorisation ou le refus. Comparativement, les pare-feu NextGen peuvent prendre des décisions plus intelligentes. Ils sont constitués de règles qui, par exemple, permettent à une paire source / destination de communiquer uniquement pendant certaines heures ouvrables et à partir de certains segments de réseau. Ils sont plus granulaires et peuvent également s'inscrire si l'utilisateur a réussi le processus d'authentification multifacteur (MFA).

La couche session

Où se déroule tout le travail intelligent? La couche session! La couche session fournit le mécanisme d'ouverture, de fermeture et de gestion d'une session entre les utilisateurs finaux et les applications. Les sessions sont avec état et de bout en bout.

C'est la couche de session par laquelle l'état et la sécurité sont contrôlés. La raison pour laquelle nous avons des pare-feu est que les routeurs ne gèrent pas l'état. Des boîtiers intermédiaires sont ajoutés pour gérer l'état, c'est au niveau de l'état où tous vos contrôles de sécurité se terminent tels que le chiffrement, l'authentification, la segmentation, la gestion des identités et la détection des anomalies pour n'en nommer que quelques-uns.

Afin d'avoir un réseau hautement sécurisé Zero-Trust, le réseau doit devenir plus intelligent, il doit prendre en compte la couche 5 pour gérer l'état et la sécurité. Étant donné que cela est spécifique au réseau, vous devriez toujours avoir des contrôles de sécurité appropriés plus haut dans la pile.

À un certain stade, au lieu d'exiger le boulonnage de tous ces «boîtiers intermédiaires», les routeurs de réseau doivent fournir ces fonctions nativement dans les réseaux définis par logiciel (SDN) de prochaine génération, qui séparent le plan de données du plan de contrôle.

Aujourd'hui, nous assistons à une grande attention sur le marché SD-WAN. Cependant, le SD-WAN utilise des tunnels et des superpositions tels que IPsec et le LAN extensible virtuel (VXLAN) qui manquent de performances d'application de bout en bout et de contrôles de sécurité.

Au sein d'un SD-WAN, vous n'avez pas beaucoup de contrôles de sécurité. Les tunnels sont point à point et non de bout en bout. Toutes les sessions passent par un seul tunnel et dans le tunnel; vous n'avez aucun contrôle de sécurité pour ce trafic.

Bien que des progrès soient réalisés et que nous allons dans la bonne direction, cela ne suffit pas. Nous devons commencer à penser à la prochaine phase - Zero Trust Networking. Nous devons être conscients du fait que dans un monde ZTN, tout le trafic réseau n'est pas fiable.

Présentation du réseau Zero Trust

L'objectif de Zero Trust Networking est d'arrêter le trafic malveillant à la périphérie du réseau avant qu'il ne soit autorisé à découvrir, identifier et cibler d'autres appareils en réseau.

Zero-Trust dans sa forme la plus simple a amélioré la segmentation en un modèle un à un. Il permet la segmentation jusqu'aux points de terminaison absolus de chaque utilisateur, appareil, service et application sur le réseau.

Dans ce modèle, les éléments protégés peuvent être des utilisateurs, des «choses», des services ou des applications. La vraie définition est qu'aucune session de protocole de datagramme utilisateur (UDP) ou de protocole de contrôle de transmission (TCP) ne peut être établie sans authentification et autorisation préalables.

Nous effectuons la segmentation jusqu'au point final. Dans un monde Zero-Trust, la première règle est de tout refuser. Littéralement, vous ne faites confiance à rien, puis vous commencez à ouvrir une liste blanche, qui peut devenir aussi dynamique et granulaire que vous en avez besoin..

Ma première réaction à Zero Trust Networking a été que ce type de modèle un-à-un doit ajouter un poids sérieux au réseau, c'est-à-dire le ralentir, ajouter de la latence, etc. Cependant, ce n'est pas le cas, il vous suffit de pouvoir contrôler le premier ensemble de paquets. Il vous suffit d'autoriser l'établissement de la session. Dans le monde TCP, il s'agit des processus TCP SYN et SYN-ACK. Pour le reste de la session, vous pouvez rester en dehors du chemin de données.

Un gestionnaire de réseau doit consacrer du temps à vraiment comprendre les utilisateurs, les choses, les services, les applications et les données sur leur réseau. En outre, le gestionnaire doit évaluer qui a accès à quoi. La bonne nouvelle est que beaucoup de ces informations existent déjà dans les répertoires IAM qui doivent simplement être mappées dans le réseau routé.

Comment mesurez-vous la sécurité?

Ce serait une bonne idée de vous demander. Comment mesurer ma vulnérabilité de sécurité? Si vous ne pouvez pas le mesurer, comment pouvez-vous le gérer? Nous devons être capables de calculer la surface d'attaque.

Avec ZTN, nous avons maintenant une formule qui calcule essentiellement la surface d'attaque du réseau. Il s'agit d'un moyen efficace de mesurer les risques de sécurité d'accès au réseau. Plus la surface d'attaque est basse, plus les actifs du réseau sont sécurisés.

Avant Zero-Trust, l'une des variables de la surface d'attaque était le domaine de diffusion. C'était un hôte final qui pouvait envoyer un protocole de résolution d'adresse de diffusion (ARP) pour voir s'il y avait autre chose sur le réseau. Ce fut une surface d'attaque importante.

La surface d'attaque définit essentiellement l'ouverture du réseau à l'attaque. Si vous installez, par exemple, une caméra de surveillance IoT, la caméra ne doit pouvoir ouvrir une session TLS (Transport Layer Security) que sur un ensemble de serveurs sélectionné. Dans ce modèle, la surface d'attaque est de 1. Avec la propagation automatique de logiciels malveillants avec des millions d'appareils IoT non sécurisés, c'est une nécessité à l'heure actuelle..

Le meilleur nombre de surfaces d'attaque est évidemment 1 mais le nombre de réseaux mal conçus pourrait être significativement plus élevé. Par exemple, lors de l'ajout d'une caméra de surveillance IoT à un réseau local d'entrepôt qui a 50 autres appareils connectés et la caméra a 40 ports ouverts, mais elle n'est pas chiffrée, et il n'y a pas de règles de directivité sur qui est autorisé à lancer une session. Cela se traduit par la surface d'attaque jusqu'à 200 000 fois, ce qui est un énorme espace dans la surface d'attaque. Cet écart est le niveau d'exposition au risque.

Le périmètre se dissout

Le périmètre a dissous vos utilisateurs, choses, services, applications et les données sont partout. Alors que le monde évolue vers le cloud, le mobile et l'IoT, la capacité de contrôler et de sécuriser tout ce qui se trouve sur le réseau est de plus en plus disponible.

Les contrôles de sécurité traditionnels tels que le contrôle d'accès réseau (NAC), les pare-feu, la protection contre les intrusions et les réseaux privés virtuels (VPN) sont tous basés sur l'hypothèse qu'il existe un périmètre sécurisé. Une fois que vous accédez au LAN, il est supposé que tout est automatiquement approuvé. Ce modèle suppose également que tous les points de terminaison exécutent le même client VPN ou NAC, ce qui est difficile à appliquer dans ce monde numérique distribué..

Zero-Trust prétend le contraire. Tout, à l'intérieur comme à l'extérieur, dépasse le domaine de la confiance. Essentiellement, rien sur le réseau n'est fiable. Chaque session qu'un utilisateur crée avec d'autres utilisateurs ou applications doit être authentifiée, autorisée et prise en compte à la périphérie du réseau où la session réseau est établie.

Aujourd'hui, tout le monde peut quitter sa maison, se rendre chez soi et frapper à sa porte. Bien qu'ils n'aient peut-être pas les clés pour ouvrir la porte, ils peuvent attendre une vulnérabilité telle qu'une fenêtre ouverte.

Au contraire, le ZTN dit que personne n'est autorisé à quitter sa maison et à frapper à votre porte sans authentification et autorisation appropriées. Il part du principe que le trafic malveillant doit être arrêté à son origine, pas après qu'il a pénétré dans le réseau en essayant d'accéder à un point de terminaison ou à une application..

Sommaire

Définir une posture de sécurité réseau avec une valeur par défaut de refuser tout accès au réseau, puis créer des listes blanches réduira éventuellement le risque d'attaques DDoS, d'infections de logiciels malveillants et de violations de données.

Si un mauvais acteur ne peut même pas accéder à la «porte d'entrée» d'un actif, il n'aura pas la possibilité d'aller à l'étape suivante et d'essayer de le franchir! Les vieux jours de «plug & prier» ne fonctionnent pas à l'ère d'aujourd'hui. Par conséquent, les réseaux doivent devenir suffisamment intelligents pour n'autoriser que les sources authentifiées et autorisées. Dans un monde numérique, il ne faut rien faire confiance.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.