Getting Maximum Protection through Zero Trust Callout

Obtenir une protection maximale grâce à « Zero Trust »

Un entretien avec John Summers, CTO, Web Security and Performance, Akamai Technologies

Comment décrivez-vous le modèle « Zero Trust » ?

« Zero Trust » se fonde sur la disparition de la différence entre l'intérieur et l'extérieur. Les entreprises avaient l'habitude d'avoir leurs centres de données et leurs réseaux dans une zone de contrôle. Elles faisaient confiance à ce qui était à l'intérieur et étaient prudentes à l'égard des choses venant de l'extérieur. La sécurité visait à repousser les cybercriminels et à laisser entrer les bonnes personnes grâce à un contrôle d'accès performant pour franchir le périmètre.

Regardez ce qui arrive à nos entreprises aujourd'hui. Le périmètre est dissout. Les infrastructures, les applications, les données et les utilisateurs sont de plus en plus dispersés. Souvent, il n'existe pas de périmètre entre les utilisateurs mobiles et les applications d'entreprise dans le cloud. De plus, les interactions se produisent sur des réseaux que l'entreprise ne contrôle pas. Nous devons donc ajuster notre réflexion par rapport à ce nouveau paradigme et inventer une nouvelle sécurité.

Pour commencer, nous ne pouvons pas faire confiance à une communication en fonction de son lieu de provenance. Qu'elle soit à l'intérieur ou à l'extérieur du réseau, avant que cette communication ne se mette en place, elle doit passer par le même niveau de contrôles d'authentification et d'autorisation. Approcher simplement tout élément comme s'il n'était pas fiable contribuera grandement à aborder l'état de transition dans lequel se trouvent les entreprises, quand une application qui se trouve dans votre centre de données ce mois-ci sera dans le cloud le mois prochain et quand l'utilisateur qui se trouve dans votre zone de contrôle aujourd'hui travaillera ailleurs demain.

Ne se fier à rien, vérifier tout, maintenir des contrôles constants : voilà en quoi consiste « Zero Trust ».

Veuillez en dire plus sur ce qui stimule le besoin de « Zero Trust ».

Le but de la cybersécurité est de permettre à une entreprise de fonctionner et d'innover efficacement, en toute confiance, en protégeant ses actifs digitaux et ceux qui les utilisent. Aujourd'hui, ces actifs sont répartis et en mouvement comme jamais auparavant.

L'infrastructure sur laquelle nous comptons actuellement comprend Internet et le cloud. Étant donné que l'infrastructure est davantage réalisée par logiciel, son emplacement physique devient plus fluide. L'infrastructure réseau relie les entreprises aux clients, aux employés mobiles et aux tiers. Ces interactions traversent nécessairement le périmètre traditionnel.

Les applications représentent les processus métier où la valeur est créée. Même celles qui sont essentielles à la mission se déplacent du centre de données vers le cloud, avec leurs données. Les transactions doivent être sécurisées, les données protégées et l'activité commerciale vérifiée afin de se conformer à la réglementation, exactement comme lorsque ces actifs étaient à l'intérieur du centre de données.

Les utilisateurs sont partout. L'entreprise doit se connecter avec les clients sur leurs terminaux et selon leurs conditions, où qu'ils se trouvent. Les employés mobiles et à distance passent moins de temps dans la zone de contrôle traditionnelle. En outre, les partenaires commerciaux, les fournisseurs, les distributeurs et les sous-traitants sont très répartis.

Ajoutez à cela le fait que les infrastructures, les applications, les données et les utilisateurs peuvent se trouver n'importe où. Cela a considérablement augmenté le niveau d'exposition, la taille de la surface d'attaque que les entreprises doivent protéger. Cela a également considérablement augmenté la complexité de la gestion du réseau et de la sécurité.

Nous ne pouvons pas contenir ces actifs et continuons à prospérer dans l'ère de l'entreprise digitale. Nous devons donc les sécuriser, pas avec un périmètre, mais plus individuellement où qu'ils soient. Cela nécessite une haute visibilité et « Zero Trust ».

Qu'est-ce que la transition vers le concept « Zero Trust » implique ?

Cela implique une autre architecture de sécurité. La politique de sécurité et les contrôles doivent être appliqués où ils fonctionnent le mieux, avec les actifs digitaux protégés. Pensez à la façon adéquate de sécuriser une communication, d'un point de terminaison dans le cloud à un autre. Vous souhaiteriez être en mesure de trouver la voie de communication la plus rapide entre ces deux points, puis de mettre en œuvre les contrôles de sécurité appropriés au milieu de cette voie. Aucune communication n'est établie, à moins que les deux parties n'aient été clairement authentifiées et aucune donnée ne se déplace, à moins qu'elle n'ait été fortement chiffrée. C'est ce que nous devons faire.

Cela implique aussi une approche différente de la sécurité. La plupart des professionnels de la sécurité ont grandi dans le monde de la gestion de réseau, où les routeurs et les paquets pare-feu et réseau sont des outils de travail. Il est naturel de continuer à essayer de coder la sécurité principalement au niveau de la couche réseau, avec des techniques comme la microsegmentation. Cependant, c'est une manière difficile et complexe. Nous devons nous défaire de cette habitude et nous déplacer jusqu'à la couche applicative. L'objectif est de sécuriser les interactions avec les applications, quels que soient les réseaux sur lesquels elles fonctionnent, car elles s'exécutent sur des réseaux que l'entreprise ne contrôle pas. Le niveau de l'application est l'endroit où la politique et le contrôle de sécurité définis par l'entreprise sont intégrés et exécutés de façon optimale. À ce niveau, les contrôles de sécurité sont transférables partout où se trouvent les actifs.

Que signifie « Zero Trust » pour l'entreprise ?

« Zero Trust » crée une visibilité sans précédent sur ce qui se passe avec les actifs et les utilisateurs digitaux, pas uniquement sur ce qui survient dans le réseau. Cela permet une sécurité plus complète dans un environnement d'activités très épars. Des contrôles de sécurité standard peuvent être intégrés à des applications et à leurs interfaces, ce qui accélère le développement et le déploiement de nouvelles capacités commerciales. Ainsi, « Zero Trust » permet à l'entreprise d'être plus agile, de procéder plus rapidement et avec davantage de confiance dans toutes ses initiatives digitales.

« Zero Trust » réduit la complexité et simplifie la gestion de réseau. Lorsque les professionnels de la mise en réseau n'ont pas à imposer des contrôles et des stratégies de sécurité de la couche de processus métier dans le réseau, ils peuvent se concentrer davantage sur la performance et la fiabilité du réseau, ainsi que sur l'expérience digitale fournie aux utilisateurs.

Les contrôles de sécurité peuvent être abordés en termes économiques : qui est cet utilisateur, quel degré de confiance puis-je avoir en lui, avec quelle application essaie-t-il de communiquer, quel est le risque encouru par l'entreprise de le laisser communiquer avec cette application, puis quels stratégies et contrôles doivent se trouver sur cette voie de communication ? Les décisions concernant ces stratégies et ces contrôles sont clairement la responsabilité des propriétaires d'applications, auxquels ils se rapportent. Cela simplifie la vie du CISO (responsable des technologies de sécurité de l'information) et des professionnels du réseau.

Pour les utilisateurs, « Zero Trust » réduit les problèmes et améliore leur expérience. Nous pouvons renforcer l'authentification par des moyens autres que les mots de passe. De plus, le niveau d'authentification peut varier selon l'action de l'utilisateur : un accès direct pour des tâches simples, plus d'authentification lors d'un accès à des données sensibles. Consultation d'un répertoire d'entreprise : accès direct. Informations financières d'entreprise : processus totalement différent.

Enfin, la plus grande visibilité dont nous parlons est appropriée, pas seulement pour la protection des actifs. C'est une visibilité sur votre activité. Elle offre une compréhension plus granulaire des processus métier et des transactions en ligne. Vous pouvez analyser ces informations, acquérir de nouvelles connaissances sur la façon dont vos processus et vos clients se comportent réellement et trouver des opportunités d'améliorations bien au-delà du domaine de la sécurité.

Comment et par où les entreprises devraient-elles commencer ?

Certains des meilleurs cas d'utilisation apparaissent lorsqu'il existe un besoin de reconfigurer les réseaux à grande échelle. Par exemple, une chaîne de magasins importante avait besoin de lancer de nouvelles capacités commerciales sur plus de 10 000 sites. Les objectifs de l'entreprise étaient de fournir de meilleures analyses pour réduire les coûts et augmenter le chiffre d'affaires, sur des sites individuels et globalement. L'option d'essayer de lier tous les réseaux du magasin en utilisant des VPN et d'appliquer des contrôles de sécurité avec une microsegmentation était trop compliquée et détenait les mauvaises caractéristiques d'échelle.

L'approche « Zero Trust » était une solution bien plus adaptée, tirant parti du cloud et des contrôles au niveau de la couche applicative. Au lieu d'assembler un groupe de réseaux, la société a mis en œuvre un accès basé sur les caractéristiques, avec une authentification multifactorielle en fonction des rôles des personnes dans l'entreprise. Toute l'infrastructure de contrôle d'accès est virtualisée. Les transferts de données ont lieu essentiellement entre des paires de connexions dans le cloud et il n'y a pas d'exposition à Internet pour les systèmes dorsaux de la société.

Cela a accéléré la mise en œuvre tout en minimisant les changements sur le réseau. Grâce à cette expérience et à cette réussite à son actif, l'entreprise applique une architecture « Zero Trust » à de nombreuses initiatives commerciales.

Un autre bon cas d'utilisation est la fusion ou l'acquisition, où les synergies et la réussite financière dépendent de la capacité à fusionner des technologies, des applications et des opérations commerciales rapidement. Certaines entreprises doivent effectuer cela à plusieurs reprises, comme lorsqu'une grande institution de services financiers acquiert une série de banques régionales ou locales. L'approche traditionnelle (lier des réseaux ensemble, faire tomber des pare-feu en face de pare-feu et essayer de distinguer tous les nouveaux actifs des anciens réseaux et de déterminer leurs contrôles de sécurité) est complexe, chronophage et source d'erreurs.

En revanche, une architecture « Zero Trust » peut couvrir l'accessibilité et les contrôles. Elle laisse fonctionner les systèmes d'acquisition. Elle donne aux employés un accès approprié aux applications et aux données de la société mère et inversement. Tout d'abord, elle met en place des liens entre les périmètres et les applications, afin que les entreprises puissent coordonner les opérations rapidement. Ensuite, au fil du temps, elle fusionne la topologie réelle des réseaux sous-jacents dans la mesure nécessaire.

De même, après une cession totale ou partielle, l'accès aux actifs peut être séparé en toute sécurité ou partagé de façon sélective. Des exemples complexes se produisent dans le secteur des médias et du divertissement, lorsque des actifs spécifiques sont vendus. Disons qu'il s'agit d'une opération de production de contenu répartie sur plusieurs sites. La moitié des gens va commencer à travailler pour la nouvelle société et l'autre moitié va rester avec l'ancienne. Parmi les applications auxquelles ils doivent accéder, certaines iront à la nouvelle société, certaines resteront et certaines pourront demeurer au milieu et devront être partagées. Dans ce scénario, comment va-t-on relier les choses ? Cela serait très coûteux et ne fonctionnerait jamais bien.

La solution est de laisser l'infrastructure physique en place et d'y superposer une segmentation virtuelle des populations d'utilisateurs, avec un accès exclusif ou partagé à des applications et des contrôles de sécurité complets. Cela peut préserver la productivité des personnes et offrir un retour sur investissement pour l'entreprise très rapidement.

Ces trois exemples portent un important message sous-jacent : le concept « Zero Trust » peut être adopté progressivement avec des groupes d'applications. Cela ne signifie pas une rénovation à grande échelle de l'architecture et de l'infrastructure. Il peut compléter, et au fil du temps, remplacer les mécanismes de sécurité existants, en fournissant de la valeur à mesure qu'il évolue. De plus, assurez-vous de commencer avec un cas d'utilisation qui non seulement fait une démonstration du concept, mais qui offre également une valeur significative à l'entreprise.

Qu'est-ce qui vous rend tellement enthousiaste à propos du concept « Zero Trust » ?

Chez Akamai, nous sommes enthousiastes, car nous savons qu'il fonctionne et nous avons une expérience inégalée avec ce concept. Imaginez un instant que vous devez déployer une plateforme commerciale comprenant des milliers de serveurs dans le monde, tous intégrés directement au tissu d'Internet. De plus, ils doivent tous communiquer et interagir de manière sécurisée entre eux. Disons que vous avez commencé à faire cela il y a 20 ans. C'est en fait l'histoire d'Akamai.

Tandis que nous créions le réseau de diffusion de contenu hautement distribué et basé sur Internet de la société, tout en garantissant des performances élevées à nos clients, nous avons dû supposer qu'il ne fallait faire confiance à aucune transmission.

Nous avons donc une authentification solide pour chaque point de terminaison. Ce n'est pas simplement que nous connaissons l'adresse IP : il existe un échange et une validation des certificats digitaux avant que toute communication ne soit établie. En outre, aucun utilisateur n'accède à la plateforme sans passer par un proxy de contrôle d'accès. Il existe donc un point central de l'application de la règle basée sur des caractéristiques : votre identité, votre provenance, le rôle que vous avez dans l'entreprise, même l'heure qu'il est, car en dehors des heures de travail, vous ne devriez peut-être pas venir.

Aujourd'hui, la plateforme Akamai possède plus de 240 000 serveurs dans plus de 130 pays. Nous fonctionnons à la périphérie d'Internet, où la notion de périmètre est obsolète. Nous traitons une grande partie du trafic Internet, nous donnant ainsi une visibilité extraordinaire sur la sécurité Internet et sur celle de l'infrastructure de nos clients. Cette visibilité permanente continue de stimuler notre perspective et nos innovations dans la cybersécurité.

Personne ne l'a appelée « Zero Trust » il y a 20 ans, mais c'est l'approche que nous avons adoptée dès le premier jour. Nous n'avions pas vraiment le choix si nous voulions agir correctement. C'est pourquoi nous sommes passionnés par « Zero Trust ». Nous sommes aussi ravis d'aider nos clients à optimiser leur sécurité et à la transformer en un moteur de l'entreprise digitale.

Related CIO Content