La sécurité zéro confiance est un cadre de cybersécurité qui exige des utilisateurs qu'ils prouvent leur identité, que leur accès est autorisé et qu'ils n'agissent pas de manière malveillante avant de pouvoir accéder aux ressources numériques et au réseau d'une organisation.
Alors que les organisations cherchent à mettre en œuvre une sécurité de confiance zéro, il est essentiel de garder à l'esprit qu'aucune plateforme technologique ou service unique ne peut offrir une confiance zéro. Pour parvenir à une posture de contrôle d'accès de confiance zéro, les organisations doivent réfléchir aux aspects suivants du fonctionnement de leur environnement.
Voici les étapes à suivre pour réaliser une évaluation correcte.
1. Définir les utilisateurs et les dispositifs de confiance
Pour commencer, un effort de découverte est essentiel. La plupart des technologies de micro-segmentation et de confiance zéro comprennent une forme ou une autre d'outils d'analyse et de découverte pour trouver l'utilisation des identités et l'attribution des privilèges, les composants d'application utilisés, le trafic envoyé entre les systèmes, les types d'appareils et les tendances et modèles comportementaux dans l'environnement.
Les équipes de sécurité devraient collaborer avec les équipes de gestion des identités et des accès (IAM) ou avec les responsables des fonctions clés des opérations informatiques afin de comprendre les différents groupes et utilisateurs au sein de l'environnement, ainsi que les types d'accès dont ils ont besoin pour accomplir leurs tâches. Il convient de faire de même pour tous les types d'appareils, principalement les ordinateurs portables et les ordinateurs de bureau, utilisés par les utilisateurs privilégiés.
2. Intégrer l'identité (utilisateur/appareil) et le réseau
Une fois la découverte de base effectuée, tout moteur de politique de contrôle d'accès (micro-segmentation) mature doit pouvoir commencer à relier les identités détectées et déclarées (utilisateurs, groupes, appareils et ensembles de privilèges) au trafic réseau généré par des services spécifiques et des composants d'application à travers les systèmes.
Pour tirer le meilleur parti d'une stratégie de confiance zéro, cette étape de la planification et de la mise en œuvre du projet doit soigneusement prendre en compte les cas d'utilisation centrés sur l'entreprise et les applications.
Les équipes de sécurité doivent prévoir d'évaluer les types de comportements qui sont réellement nécessaires dans l'environnement, par opposition à ceux qui peuvent être simplement autorisés ou "non refusés" de manière explicite.
3. Déterminer la place de l'accès à distance
Protection mobile
4. Examen des meilleures pratiques en matière de confiance zéro
Les organisations doivent garder à l'esprit les meilleures pratiques générales suivantes pour la mise en œuvre d'outils et de contrôles de confiance zéro :
Commencez par une découverte passive des applications, généralement mise en œuvre à l'aide d'une surveillance du trafic sur le réseau. Prévoyez plusieurs semaines de découverte pour trouver les relations en place et coordonner avec les parties prenantes qui connaissent les schémas de trafic normaux et les communications intersystèmes.
Concevoir une architecture de confiance zéro (ZTA) basée sur la manière dont les données circulent sur le réseau et dont les utilisateurs et les applications accèdent aux informations sensibles. Cela permettra de déterminer comment le réseau doit être segmenté et où la protection et les contrôles d'accès doivent être positionnés.
Prendre le temps de catégoriser les systèmes et les applications. Les outils Zero Trust les plus avancés intègrent les identités des actifs, qui peuvent faire partie de l'architecture d'une application, être alignées sur une unité ou un groupe d'entreprise, ou être représentatives d'un type de système spécifique.
Dans la mesure du possible, recherchez des produits qui fonctionnent à la fois dans des environnements internes et dans des environnements de cloud public. Cela nécessitera presque toujours une solution basée sur un agent.
Une architecture de confiance zéro devrait comprendre des contrôles d'authentification et d'autorisation, des contrôles d'accès au réseau et d'inspection, ainsi que des contrôles de surveillance et d'application pour le réseau et les terminaux.
Aucune technologie unique ne permet actuellement de concevoir et de mettre en œuvre un système de confiance zéro - une combinaison d'outils et de services est nécessaire pour obtenir le degré de couverture complet requis.
Pour la plupart d'entre eux, une approche hybride de la confiance zéro et de l'infrastructure existante devra coexister pendant un certain temps, en mettant l'accent sur les composants communs et les catégories de contrôle qui pourraient convenablement permettre les deux, comme la gestion de l'identité et de l'accès par l'intégration des services d'annuaire, la sécurité des terminaux et l'application des politiques, ainsi que la surveillance du réseau et l'inspection du trafic.
Au fur et à mesure que les cadres de confiance zéro mûrissent et évoluent, les normes et l'interopérabilité des plateformes se développent également, ce qui devrait faciliter des approches plus rationalisées et plus efficaces dans l'ensemble.