Netskope : Universal ZTNA, un accès sans friction

Netskope : Universal ZTNA, un accès sans friction

560 420 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité

En 2009, un membre du Politburo chinois décida de découvrir ce qu’Internet avait accumulé à son sujet.
Il chercha son propre nom sur Google et fut très mécontent en parcourant les résultats, la réponse fut radicale !

Peu après, un groupe de menaces persistantes avancées (APT) chinois, connu sous le nom d’ Elderwood Group, a compromis le réseau informatique de Google.
Le groupe a dérobé une part importante de propriété intellectuelle et a tenté d’accéder aux comptes de messagerie de militants des droits de l’homme.
Les services de sécurité de l’État ont même enquêté sur le compte bancaire d’une des cibles.
En conséquence, Google a modifié sa position concernant google.cn : la censure des résultats de recherche a été suspendue ; tout moteur de recherche non censuré enfreignant la loi serait définitivement fermé.
Des visiteurs du siège de Google à Pékin ont déposé des fleurs sur le panneau, qualifiées d’« hommage floral illégal » qui par la suite ont été retirées très rapidement.

Il convient de préciser que Google n’était pas la seule victime.
Dans le cadre de l’opération Aurora , les attaquants ont ciblé au moins 20 autres grandes entreprises en exploitant des failles de sécurité dans Internet Explorer (sigh) et dans un système de contrôle de version appelé Perforce.
Leur objectif principal était d’accéder aux dépôts de code source de diverses entreprises technologiques, de défense et de les modifier.
Étonnamment, personne n’avait songé à sécuriser ces conteneurs de propriété intellectuelle précieuse et vulnérables !
Les systèmes compromis établissaient des connexions TLS sortantes vers des serveurs de commande et de contrôle (C&C) situés dans l’Illinois, au Texas et à Taïwan, en utilisant des machines virtuelles volées à des clients de Rackspace.
Ils ont exploré les réseaux connectés pour trouver des dépôts et d’autres systèmes vulnérables.

De 2014 à 2018, Google a entièrement repensé son architecture d’accès afin de prévenir de futures attaques de ce type.
L’ensemble des utilisateurs, même ceux travaillant dans les bureaux de Google, ont été déplacés vers un réseau non privilégié.
Ils se trouvent, de fait, « outside » du réseau d’entreprise et ne bénéficient que d’une connexion Internet.
Tout accès, qu’il provienne de ce réseau ou d’un autre, transite par un proxy d’accès authentifié.
Aucun périmètre réseau classique n’est en place.
Google a conclu que les réseaux d’entreprise ne sont pas moins dangereux que l’Internet public et qu’il est malhonnête de prétendre le contraire.

Officiellement documenté et mis en œuvre sous le nom de BeyondCorp , l’accès repose exclusivement sur les identifiants de l’utilisateur et l’état de l’appareil (BeyondCorp n’accepte que les appareils gérés et requiert la norme 802.1X et une infrastructure à clés publiques).
Il harmonise la façon dont les utilisateurs se connectent aux applications et aux données, quel que soit leur emplacement ou le réseau utilisé : la distinction entre accès local et accès distant disparaît.

ZTNA annonce son apparition

Un an plus tard, en 2019, lorsque Gartner a publié son premier « Market Guide for Zero Trust Network Access », deux styles ont été identifiés :

  • L’approche initiée par endpoint (Endpoint-initiated) reprenait une spécification plus ancienne pour les périmètres définis par logiciel et était conçue uniquement pour un accès local ; elle renvoyait une liste d’applications autorisées après l’authentification d’une personne.
  • Le service ZTNA reprenait certains aspects de la conception de BeyondCorp, où les utilisateurs et les appareils étaient considérés comme distants, même s’ils se trouvaient dans le même bâtiment.
    Il abandonnait les exigences relatives aux appareils gérés, à la norme 802.1X et à l’infrastructure à clés publiques (PKI).
    Il y ajoutait une nouveauté : les connexions internes.

Plusieurs startups du cloud ont adopté le modèle initié par le service car il se prête mieux à l’accès à distance.
Un connecteur établit une session sortante vers le courtier situé dans le cloud du fournisseur d’où le principe « de l’intérieur vers l’extérieur » (inside-out).
Le courtier protège les applications de la détection sur Internet et limite les déplacements latéraux.

Cependant, les fournisseurs n’ont envisagé que des scénarios d’accès à distance. Il semblerait que la leçon de BeyondCorp ait été oubliée.

ZTNA devient universel

Récemment, certains fournisseurs, dont Netskope, ont intégré des courtiers locaux à leurs services ZTNA. Cette approche, baptisée « Universal ZTNA », se rapproche de la philosophie de BeyondCorp.
On constate d’ailleurs que Google a conçu une architecture d’accès très similaire à ZTNA, avant même que ce concept n’existe.

Examinons le ZTNA en utilisant la terminologie Netskope.
Dans votre centre de données ou votre cloud IaaS, un serveur de publication configuré établit une session sortante persistante vers la passerelle de publication du courtier d’accès privé du cloud Netskope.
Lorsqu’un utilisateur distant souhaite accéder à une ressource publiée, il s’y connecte comme d’habitude, ce qui commence par une session vers la passerelle client du courtier d’accès privé.
Netskope combine ces sessions et l’activité se déroule. Nous appelons cela du “remote ZTNA”, car les utilisateurs sont éloignés de l’application.

Pour l’accès local, ZTNA local place un courtier sur le même réseau que les ressources avec lesquelles les utilisateurs souhaitent interagir.
Dans la plupart des cas, les utilisateurs se trouvent physiquement au même emplacement qu’un centre de données.
Les éditeurs établissent des sessions avec le courtier local, et lorsqu’un utilisateur se connecte à une ressource, le trafic transite par ce courtier local, et non par celui du cloud Netskope.

Netskope UZTNA-Blog-Diagram

Pourquoi un courtier local ? Rappelons le problème du hairpinning : forcer des utilisateurs distants à passer par un data center sur site pour accéder à des ressources Internet nuit gravement aux performances.
De même, le reverse hairpinning pose problème : obliger des utilisateurs locaux à passer par un courtier basé dans le cloud pour accéder à des ressources locales dégrade également les performances. Le trafic local doit rester local.

Universal ZTNA combine le ZTNA distant et le ZTNA local, et représente ce que BeyondCorp offre de meilleur, c’est à dire :

  • Harmonise l’expérience d’accès, afin que les utilisateurs n’aient plus à réfléchir à la bonne manière d’accéder aux applications.
    L’objectif de Netskope est toujours d’aider chacun à trouver le juste équilibre entre sécurité et productivité.
    Si nous leur imposons plusieurs méthodes d’accès distant différentes du mode d’accès local, ils risquent d’augmenter le risque en inventant des solutions de contournement peu sûres.
    Nous ne devrions pas attendre d’eux qu’ils bricolent l’infrastructure pour travailler.
    L’Universal ZTNA ou ZTNA universel élimine toute friction liée à l’accès et fournit une méthode unique, cohérente et sécurisée, quel que soit l’emplacement des utilisateurs ou des applications.

  • Élimine les réseaux privilégiés, qui ne sont en réalité pas plus sûrs qu’Internet.
    Les méthodes d’accès traditionnelles vers ces réseaux continuent de présenter des risques, qu’ils proviennent d’hôtes compromis (rançongiciels) ou d’utilisateurs compromis (escalade de privilèges).
    On peut même dire que le Universal ZTNA supprime la nécessité de maintenir des réseaux privilégiés, car le routage IP disparaît. Le (U)ZTNA connecte des personnes à des données, et non des appareils à des réseaux.
    (Note : dans ce post, « (U)ZTNA » est utilisé pour indiquer qu’une observation s’applique autant au ZTNA « classique » qu’au Universal ZTNA.)
    Avant que la partie « personne » d’une connexion inside-out ne soit reliée à la partie « publisher », l’utilisateur doit d’abord s’authentifier avec l’annuaire d’entreprise.
    Ce paradigme authentifier puis connecter est l’alternative sécurisée au modèle connecter puis authentifier, cassé depuis les années 1970, et qui ne protège en rien contre des adversaires déterminés envoyant du trafic malveillant vers des sockets vulnérables derrière les failles des pare-feux.

  • Remplace les VPN traditionnels, qui restent un point d’entrée vulnérable et problématique.
    Les VPN sont une technologie des années 1990, initialement conçue pour un petit nombre d’administrateurs accédant à distance aux routeurs.
    Ils ne peuvent tout simplement plus répondre aux besoins des vastes effectifs hybrides actuels, aux rôles divers et aux appareils variés dans différents états de conformité.
    Le (U)ZTNA fournit un accès précis, capable de s’adapter aux rôles, aux appareils et à leur état.
    Il élimine également le pire des serveurs privilégiés : le concentrateur VPN, qui tente de moins en moins efficacement de faire le lien entre Internet et un réseau privilégié en s’appuyant sur un socket exposé aux aléas d’Internet.

  • Réduit le besoin de NAC, car il se concentre sur l’accès applicatif plutôt que sur l’accès réseau.
    Le routage IP entre les appareils et leurs destinations ne se produit plus, et il n’existe plus de chemins vers des ports de commutation ou d’autres éléments de l’infrastructure réseau.
    Le simple fait d’être « dans le réseau » ne confère plus d’avantage si l’on ne peut pas interagir librement avec ce qui s’y trouve.
    De plus, de nombreux projets NAC échouent : matériel obsolète, indisponibilités inacceptables, explosion des politiques, complexité excessive.
    Le NAC repose encore sur un modèle de confiance implicite (« accès partout une fois sur le réseau »), à l’opposé des stratégies modernes de sécurité fondées sur le zéro trust.

  • Offre un accès optimisé selon la localisation, sans hairpinning ni autres obstacles susceptibles de pousser les utilisateurs vers des contournements non sécurisés.
    Un accès harmonisé empêche les contournements liés à une mauvaise sécurité; un accès optimisé empêche ceux liés à une mauvaise performance.
    Lorsque les utilisateurs peuvent accéder immédiatement à ce dont ils ont besoin, sans bricoler ni improviser des astuces, et sans réfléchir à leur emplacement, ils restent productifs, sereins et évitent d’encombrer le support technique.

En résumé, la solution Universal ZTNA abolit toute distinction entre accès local et distant.
Désormais, l’accès est unifié, personnalisé, homogène, rapide et sécurisé.
Repensez votre architecture d’accès dès maintenant avec la solution Universal ZTNA de Netskope.

Si vous souhaitez en apprendre d’avantage, vous pouvez visionner un webinaire dans lequel nous explorons plus en détail les bénéfices du Universal ZTNA. Visionnez-le dès maintenant.

Pour en savoir plus concernant la solution Netskope, n’hésitez pas à nous contacter ou demander un devis gratuitement

Source : Netskope

Share
Akamai : Limitation de débit contre les attaques DDoS
Tufin : microsegmentation, une approche de sécurité Zero Trust

Start Typing