La sécurité sans confiance ajoute les ingrédients nécessaires

Le paysage des menaces d'aujourd'hui est constitué de mauvais acteurs qualifiés, organisés et bien financés. Ils ont de nombreux objectifs, dont l'exfiltration de données sensibles à des fins politiques ou économiques. Pour lutter contre ces multiples menaces, le marché de la cybersécurité doit se développer encore plus rapidement.

Les responsables informatiques doivent faire évoluer leur cadre de sécurité s'ils veulent garder une longueur d'avance sur les cybermenaces. L'évolution de la sécurité que nous assistons a une inclinaison vers le modèle Zero-Trust et le périmètre défini par logiciel (SDP), également appelé «nuage noir». Le principe de sa conception est basé sur le modèle du besoin de savoir.

Le modèle Zero-Trust dit que toute personne tentant d'accéder à une ressource doit être authentifiée et autorisée en premier. Les utilisateurs ne peuvent se connecter à rien car les ressources non autorisées sont invisibles, laissées dans le noir. Pour une protection supplémentaire, le modèle Zero-Trust peut être combiné avec l'apprentissage automatique (ML) pour découvrir le comportement risqué de l'utilisateur. En outre, il peut être appliqué pour un accès conditionnel.

Essentiellement, la segmentation one-to-one Zero-Trust garantit le moindre accès aux privilèges et réduit la surface d'attaque au minimum absolu. Il empêche tout mouvement latéral au sein du réseau, éliminant ainsi de nombreuses attaques réseau bien connues, notamment l'analyse du serveur, le déni de service, l'injection SQL, le système d'exploitation, les exploits de vulnérabilité des applications et l'homme du milieu pour n'en nommer que quelques-uns. . La segmentation biunivoque n'est pas seulement adresse IP en adresse IP, mais aussi en services (ports) et applications.

Le mouvement latéral est une technique courante que les mauvais acteurs utilisent pour naviguer entre ou au sein des segments avec l'intention de compromettre des actifs précieux. Ils se déplacent avec précaution et passent souvent inaperçus pendant des mois, voire des années. Un pirate découvrirait, identifierait et ciblerait ensuite les appareils sur un réseau. En règle générale, un pirate ciblerait et compromettrait facilement les appareils (serveurs non corrigés), puis ferait place à des actifs plus précieux. Bien que «la porte d'entrée» d'un serveur puisse être sécurisée, il existe de nombreuses portes dérobées qui doivent également être sécurisées en termes de gestion, de journalisation et d'autres utilisations du trafic..

Lorsque nous examinons notre passé, nous constatons que nous avons franchi des étapes importantes dans l'évolution de notre réflexion en matière de sécurité. Par exemple, nous sommes passés de l'authentification à un facteur à l'authentification à deux facteurs et maintenant à l'authentification à plusieurs facteurs. Nous sommes également passés du trafic en mouvement non crypté au trafic en mouvement crypté, ce qui se traduit par un pourcentage élevé des applications cryptées TLS (Transport Layer Security). 

Zero-Trust est la prochaine grande mégatendance qui nous permet de nous défendre contre les cybercriminels internes et externes. Le marché technologique n'a cessé d'émerger. Si vous examinez les architectures de sécurité précédentes, vous pourriez dire que nous n'avons pas eu d'autre choix que d'arriver ici. Les objectifs commerciaux doivent répondre à des solutions de sécurité et ce n'est pas parce que vous avez un marteau que tout est un clou. Il est généralement admis que de nombreuses violations ont un vecteur interne où un utilisateur ou un logiciel malveillant permet à un acteur externe d'accéder.

Architectures obsolètes précédentes

Les architectures traditionnelles avec des types d'accès de contrôle d'admission de réseau (NAC) et de réseau privé virtuel (VPN) reposent sur l'hypothèse que le monde extérieur est mauvais et que l'intérieur est bon; sans menaces.

La réalité est qu'il y a eu une augmentation rapide des attaques réussies qui ont un composant malveillant, que ce soit un utilisateur à l'intérieur ou un appareil qui a été compromis. Nous n'avons donc plus de réseau de confiance ni de points de démarcation clairs. Il est assez regrettable et triste de dire que les utilisateurs à l'intérieur d'un réseau ne sont pas plus dignes de confiance que ceux à l'extérieur du réseau. 

Le périmètre alors qu'il existe encore est plus fluide qu'il ne l'était dans le passé. Le principe de l'architecture traditionnelle était d'avoir un périmètre fixe. Le périmètre ne deviendrait plus fluide, non seulement avec l'introduction de nouvelles technologies, mais avec les progrès de nouveaux modèles commerciaux, comme la mise à disposition d'un certain nombre d'API auprès de divers fournisseurs. Les points de démarcation de l'entreprise et leurs solutions sont devenus beaucoup plus flous que par le passé.

Zero-Trust est une réalité, pas seulement une présentation PowerPoint. Il existe de vrais produits tels que SDP, qui est un groupe de travail et une architecture proposée mettant Zero-Trust sur le marché.

Périmètre défini par logiciel (SDP)

Le groupe SDP pousse la sécurité Zero-Trust. Leur objectif est de développer une solution pour prévenir les attaques réseau contre l'application. Au départ, c'était le travail effectué à la Defense Information Systems Agency (DISA) dans le cadre de l'initiative Global Core Grid (GIG) Black Core Network en 2007.

Leurs concepts initiaux reposaient sur un réseau de superposition et un logiciel client, n'intégrant pas fondamentalement la gestion des identités et des accès (IAM) au réseau IP sous-jacent. Cependant, ils préconisent de nombreux principes utilisés dans le modèle Zero-Trust.

Le produit commercial se compose d'un certain nombre de composants tels qu'un client SDP, un contrôleur et une passerelle.

Le client SDP gère un large éventail de fonctions qui varient de la vérification de l'identité de l'appareil et de l'utilisateur au routage des applications locales en liste blanche, aux applications distantes protégées autorisées. Il est configuré en temps réel pour garantir que le VPN TLS mutuel basé sur certificat se connecte uniquement aux services pour lesquels l'utilisateur a autorisé.

Le contrôleur SDP fonctionne comme un courtier de confiance entre le client et les contrôles de sécurité principaux. Le contrôleur porte l'autorité de certification (CA) et le fournisseur d'identité (IP) porte les fonctions. Lors de la validation du client, le contrôleur configure les deux; le client SDP et la passerelle en temps réel pour établir une connexion TLS mutuelle.

La terminaison sur le contrôleur est similaire au concept de signalisation sur les réseaux vocaux. Aujourd'hui dans les réseaux téléphoniques, nous recevons initialement le signal et un appel est établi avant de laisser passer les médias.

Cela équivaut à avoir un protocole d'ouverture de session (SIP) et une session de protocole de contrôle de transmission (TCP). Nous effectuons la signalisation pour nous assurer que nous sommes authentifiés et autorisés. Ce n'est qu'alors que nous sommes autorisés à communiquer avec l'extrémité distante.

Ensuite, nous avons la passerelle SDP. Il est recommandé de déployer la passerelle SDP topologiquement, plus près de l'application protégée.

L'architecture SDP fournit un certain nombre de propriétés de sécurité valorisées lorsqu'elles sont combinées:

  • Masquage des informations: Avec les VPN, vous utilisez un nom DNS du serveur VPN, mais avec SDP, vous ne voyez jamais le nom DNS du point de terminaison lorsque le contrôleur SDP se trouve au milieu, agissant en tant que courtier de tunnel.
  • Accessibilité: Aucune information DNS ou port visible d'application protégée n'est accessible. Essentiellement, les actifs protégés par SDP sont considérés comme «sombres», ce qui signifie qu'ils ne peuvent pas être détectés.
  • Pré-authentification: SDP pré-authentifie et valide les connexions. L'identité de l'appareil est vérifiée avant que la connectivité ne soit accordée. Cela peut être déterminé via un jeton MFA intégré dans la configuration de connexion TCP ou TLS.
  • Pré-autorisation: Les utilisateurs ne sont autorisés à accéder qu'aux applications appropriées à leur rôle lorsqu'ils sont synchronisés avec l'attribution de stratégie.
  • Accès à la couche application: Il s'agit d'une connexion un à un entre les utilisateurs et les ressources. Les utilisateurs ne sont autorisés à accéder qu'à une couche d'application et non à l'ensemble du réseau sous-jacent.
  • Extensibilité: SDP est basé sur des composants éprouvés et basés sur des normes, tels que les certificats mutuels TLS, SAML et X.509. La technologie basée sur des normes garantit la facilité d'intégration avec d'autres systèmes de sécurité, tels que le chiffrement des données.

Pour Zero-Trust, les autres cas d'utilisation réels se présentent sous la forme d'une segmentation des points de vente et de l'accès tiers à votre infrastructure réseau.

Cas d'utilisation: segmentation du point de vente

Les technologies de segmentation de réseau d'aujourd'hui sont limitées en raison de leurs dépendances des couches 2 et 3 du modèle d'interconnexion des systèmes ouverts (OSI). VxLAN est le choix de segmentation au sein du centre de données. Par conséquent, les LAN virtuels (VLAN) se trouvent dans les bureaux et le routage et les transferts virtuels (VRF) sur le réseau étendu (WAN). Cependant, le problème avec ces mécanismes de segmentation des couches 2 et 3 est qu'ils n'utilisent que l'adresse de contrôle d'accès au support (MAC) ou les adresses IP et pas des variables plus intelligentes pour l'élaboration des politiques..

Le problème aujourd'hui avec, par exemple, la segmentation VLAN est que vous segmentez uniquement vers un périphérique spécifique. Cependant, si vous avez un serveur de l'industrie des cartes de paiement (PCI), vous souhaiterez peut-être garder le trafic PCI séparé de l'autre trafic, par exemple le répertoire ou Office 356. Fondamentalement, ZT vous permet de segmenter le trafic futur au sein d'un appareil au niveau du service / de l'application.

ZT est une segmentation biunivoque de l'appareil utilisateur et du service / application. Il sélectionne un appareil et effectue un mappage un à un d'un service et non d'une application. Il peut segmenter le trafic réseau non seulement en fonction de l'adresse MAC ou IP du périphérique, mais il est également capable de segmenter le trafic en fonction du service utilisateur et de l'application.

Cas d'utilisation: accès tiers

Par exemple, disons que nous avons un tiers qui assure le support technique d'une organisation. Une banque peut avoir une base de données Oracle exécutant des applications clés avec lesquelles elle a des problèmes. De là, un partenaire externe est nécessaire pour accéder à la situation. Comment procéder de manière à ce que le membre du support externe ne puisse ni voir ni faire quoi que ce soit d'autre dans le centre de données?

Avec le modèle Zero-Trust, cette personne peut accéder à ce serveur à un moment précis avec un MFA spécifique et un numéro de ticket d'incident spécifique. Par conséquent, s'ils reviennent dans 4 heures, ils n'ont pas accès.

Ceci est en comparaison avec l'accès tiers commun actuel. Une fois que vous avez un accès VPN au LAN, vous pouvez voir et accéder à tout le reste. Zero-Trust vous permet d'isoler jusqu'à un serveur spécifique avec une adresse IP et un numéro de port à partir d'un port source et d'une adresse IP spécifiques.

De plus, il y a tellement d'autres variables qu'il peut prendre en compte. Zero-Trust est multivariable, dynamique et non statique. Il donne aux utilisateurs un accès unique à une application demandée tandis que toutes les autres ressources sont masquées sans accorder l'accès à l'ensemble du réseau.

Le projet BeyondCorp de Google

L'initiative BeyondCorp de Google passe à un modèle qui renonce à un réseau d'entreprise privilégié. Au lieu de cela, l'accès dépend uniquement des informations d'identification de l'appareil et de l'utilisateur, quel que soit l'emplacement réseau de l'utilisateur.

Tous les accès aux ressources de l'entreprise sont entièrement authentifiés, autorisés et
crypté, basé sur l'état de l'appareil et les informations d'identification de l'utilisateur. En conséquence, tous les employés peuvent travailler à partir de n'importe quel réseau et sans avoir besoin d'une connexion VPN traditionnelle.

Le passage à un Zero-Trust présente trois avantages principaux. Le premier est l'élimination des frontières des réseaux publics et privés et le traitement de tous les réseaux IP privés et publics avec la même politique Zero-Trust. C'est le monde dans lequel nous vivons aujourd'hui, par conséquent, nous devons agir en conséquence.

Le deuxième est le découplage de la sécurité du réseau IP sous-jacent et l'ajout de l'intelligence OSI de couche 5 à la limite même des réseaux. Cette architecture est un pas dans la bonne direction pour lutter contre les cybercriminels. Cependant, cela nous oblige à repenser la façon dont nous pourrions mettre en œuvre la sécurité aujourd'hui. Tout comme les NG-Firewalls progressent dans la pile, de la même manière, les routeurs de nouvelle génération doivent faire de même.

De façon réaliste, les VPN ne sont plus en vogue. Les utilisateurs ne veulent pas passer du temps à les configurer, de plus, les administrateurs de sécurité passent à un modèle Zero-Trust. Google, par exemple, a permis à tous ses employés de travailler de n'importe où sans avoir besoin de VPN. Cette fonctionnalité d'accessibilité est en place depuis quelques années et elle a très bien réussi à garantir un haut niveau de sécurité tout en permettant aux utilisateurs de travailler de n'importe où..

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.