Zero Trust est devenu l'un des modèles de sécurité les plus importants. Le concept est simple et intuitif : la confiance implicite est une vulnérabilité en soi, que les attaquants peuvent exploiter pour se déplacer latéralement et accéder à des données sensibles. L'approche Zero Trust tente d'atténuer ce risque en éliminant la confiance implicite de l'environnement de l'entreprise.
Zero Trust suppose toujours qu'une faille de sécurité s'est déjà produite. Par exemple, un attaquant a réussi à contourner certaines des défenses en place et à prendre pied dans l'environnement de l'entreprise. Dans la phase suivante de l'attaque, le pirate se déplace latéralement à travers le réseau, accédant à des ressources supplémentaires jusqu'à ce qu'il trouve des données ou des actifs précieux. Le modèle Zero Trust vise à limiter considérablement les dégâts lorsqu'un pirate se trouve dans l'environnement de l'entreprise.
À ce jour, Zero Trust a principalement été mis en œuvre au niveau de la couche réseau en reconstruisant l'infrastructure réseau et en la divisant en plusieurs micro-périmètres avec des passerelles de segmentation. Récemment, cependant, une autre approche de confiance zéro qui se concentre sur la couche d'identité plutôt que sur l'aspect réseau gagne du terrain.
Zero Trust basé sur le réseau ou basé sur l'identité
Zero Trust est conçu pour empêcher l'accès malveillant aux ressources au sein de l'environnement de l'entreprise. Bien qu'un tel accès soit effectué par un appareil sur la connexion réseau, il nécessite également une authentification de l'utilisateur pour accéder à la ressource. Dans un environnement de confiance implicite, si ce compte utilisateur est compromis, un pirate peut l'utiliser pour accéder librement à n'importe quelle ressource ou se déplacer latéralement dans le réseau. Cependant, si la vérification granulaire n'est pas basée sur la connexion réseau mais sur l'authentification elle-même, un modèle de confiance zéro peut également être atteint. Les règles de segmentation du réseau et les politiques d'authentification basées sur les risques sont des outils utiles pour bloquer les tentatives d'accès malveillantes. Cependant, ces derniers sont plus faciles à mettre en œuvre et, dans de nombreux cas, offrent une granularité et des capacités de détection des risques plus élevées.
Comment fonctionne le Zero Trust basé sur l'identité en détail
La confiance zéro basée sur l'identité repose sur l'évaluation des risques et l'application de contrôles d'accès sécurisés chaque fois qu'un utilisateur tente d'accéder à une ressource d'entreprise. Chaque demande d'accès est surveillée, quel que soit l'endroit où se trouve l'utilisateur ou si la ressource à laquelle il accède se trouve sur site ou dans le cloud. De plus, le risque associé à la demande d'accès est toujours analysé et des politiques adaptatives basées sur le risque sont appliquées sur l'ensemble du réseau, à la fois sur site et dans les environnements hybrides. L'accès à la ressource n'est accordé qu'après une analyse de risque détaillée de l'activité d'authentification de l'utilisateur et est valable pour une demande d'accès spécifique. Cette analyse de risque doit être effectuée pour chaque tentative d'accès individuelle.
L'environnement d'entreprise d'aujourd'hui englobe plusieurs types de ressources : serveurs physiques, applications SaaS, charges de travail cloud, partages de fichiers, applications sur site et bien d'autres. La confiance zéro basée sur l'identité signifie que les critères suivants sont remplis :
- Tout compte d'utilisateur est considéré comme compromis, c'est-à-dire indigne de confiance, jusqu'à preuve du contraire.
- Un compte utilisateur n'est approuvé qu'après avoir été validé et uniquement pour un accès à une seule ressource.
- Si l'utilisateur tente d'accéder à une autre ressource après une demande d'accès validée, elle doit être à nouveau validée.
Par exemple, un utilisateur distant connecté au VPN d'entreprise à l'aide de l'authentification. Une fois dans l'environnement interne, cet utilisateur tente maintenant d'accéder à un serveur de fichiers. La confiance zéro basée sur l'identité ne supposerait jamais que ce compte d'utilisateur est digne de confiance sur la base d'une simple authentification VPN réussie, mais vérifiez toujours la fiabilité de cet accès et de cet utilisateur.
Le processus d'évaluation zéro confiance basé sur l'identité
- Surveillez en permanence toutes les demandes d'accès effectuées par tous les comptes d'utilisateurs à tout type de ressource locale ou cloud et créez une piste d'audit complète.
- Analyse des risques : pour chaque tentative d'accès individuelle, la probabilité que l'utilisateur soit réellement compromis est évaluée. Cette détermination des risques s'appuie sur l'analyse du comportement des utilisateurs, la piste d'audit et divers paramètres contextuels.
- Application de la politique d'accès en temps réel : en fonction du risque calculé, l'accès est soit autorisé, soit bloqué, soit l'authentification est renforcée avec l'authentification multifacteur (MFA).
(Photo : Silverfort).
Le diagramme montre le parcours d'un utilisateur dans un environnement d'entreprise hybride sur site et cloud dans une perspective de confiance zéro basée sur l'identité.
Le diagramme montre comment chaque demande d'accès individuelle est soumise à une analyse de risque granulaire, aboutissant soit à autoriser l'accès de l'utilisateur, soit à bloquer l'accès, soit à renforcer les exigences d'authentification avec MFA en fonction de la politique d'accès.
Les avantages du Zero Trust basé sur l'identité
Une approche Zero Trust basée sur l'identité présente des avantages significatifs en termes de mise en œuvre, de gestion et de sécurité.
- Simple et facile à mettre en œuvre : contrairement au zéro confiance basé sur le réseau, aucune modification de l'infrastructure et aucun temps d'arrêt associé ne sont nécessaires. Il n'est pas nécessaire de retirer et de remplacer quoi que ce soit dans la zone.
- Haute granularité : se concentrer sur l'utilisateur et non sur le segment de réseau garantit que l'analyse des risques est effectuée pour chaque accès aux ressources, contrairement à une approche basée sur le réseau qui ne peut appliquer cette vérification qu'à la passerelle du segment et aucune information sur les ressources réelles au sein le segment lui-même.
- Amélioration de la capacité à détecter les anomalies et les menaces : les mouvements d'un attaquant dans l'environnement de l'entreprise sont anormaux par rapport aux utilisateurs légitimes. L'exécution de contrôles de sécurité sur chaque accès aux ressources augmente la probabilité de découvrir une activité malveillante cachée.
Il est essentiel que les responsables de la sécurité soient en mesure de surveiller, d'analyser et d'appliquer une politique d'accès à chaque tentative d'accès en temps réel : pour chaque utilisateur, chaque ressource et chaque interface d'accès. Il s'agit d'une exigence de base, sans laquelle les organisations ne reçoivent qu'une protection partielle et la valeur du modèle Zero Trust est annulée. Pour cette raison, les organisations devraient envisager de mettre en place une plate-forme unifiée de protection des identités.
Protection unifiée de l'identité : la confiance zéro basée sur l'identité en pratique
Unified Identity Protection est spécialement conçu pour protéger contre les attaques basées sur l'identité qui utilisent des informations d'identification d'utilisateur compromises pour accéder aux ressources de l'entreprise. Cela permet aux entreprises d'appliquer pleinement une architecture Zero Trust basée sur l'identité dans les environnements d'entreprise modernes.
Unified Identity Protection consolide les contrôles de sécurité sur les réseaux d'entreprise et les environnements cloud pour atténuer les attaques basées sur l'identité. À l'aide d'une technologie sans agent et sans proxy, une solution de protection unifiée de l'identité s'intègre et s'étend de manière transparente à toute solution IAM existante (telle que AD, ADFS, RADIUS, Azure AD, Okta, Ping Identity, AWS IAM, etc.). ne pouvaient pas être protégés auparavant, y compris les applications internes et héritées, l'infrastructure informatique, les systèmes de fichiers, les outils de ligne de commande, l'accès de machine à machine, etc. La solution surveille en permanence tous les accès des utilisateurs et des comptes de service dans les environnements cloud et sur site, analyse les risques en temps réel à l'aide d'un moteur basé sur l'IA et applique des politiques d'authentification et d'accès adaptatives.
Avec le flot d'attaques sophistiquées, les approches de sécurité traditionnelles ne suffisent plus à elles seules à assurer la sécurité de l'entreprise. On peut supposer que les attaquants sont déjà dans le réseau sans être remarqués. Une approche Zero Trust complète qui inclut la couche d'identité peut considérablement renforcer les défenses pour protéger les données et les actifs précieux.
Plus sur Silverfort.com
À propos de Silverfort Silverfort fournit la première plate-forme de protection d'identité unifiée qui consolide les contrôles de sécurité IAM sur les réseaux d'entreprise et les environnements cloud pour atténuer les attaques basées sur l'identité. À l'aide d'une technologie innovante sans agent et sans proxy, Silverfort s'intègre de manière transparente à toutes les solutions IAM, unifiant leur analyse des risques et leurs contrôles de sécurité et étendant leur couverture aux actifs qui ne pouvaient auparavant pas être protégés, tels que les applications locales et héritées, l'infrastructure informatique, les systèmes de fichiers, la ligne de commande outils, accès de machine à machine et plus encore.