Comment choisir une architecture zero-trust : SDP ou proxy inverse ?

Solution d'accès de nouvelle génération, l'accès réseau zero-trust (ZTNA) est appelé à devenir incontournable dans l'arsenal des administrateurs informatiques, en remplacement des réseaux privés virtuels (VPN) historiques. Mais le choix de l'architecture ZTNA dépend de nombreux facteurs et caractéristiques. Dans ce guide, nous allons voir les différences entre les deux architectures principales – le périmètre défini par logiciel (SDP) et le proxy inverse – pour apprendre à faire le bon choix.

L'architecture zero-trust, une nécessité

Pendant de nombreuses années, le VPN a été le principal moyen de connecter les télétravailleurs aux applications d'entreprise. Pourquoi les organisations choisissent-elles de changer d'approche ? Très simplement, l'architecture du VPN n'offre pas la sécurité nécessaire face aux cybermenaces modernes. Selon IDC, le VPN était utilisé dans 68 % des incidents majeurs impliquant des outils d'accès à distance. C'est donc d'abord le souci d'atténuer les risques qui motive de nombreuses entreprises.

Gartner, Forrester et de nombreux autres analystes voient dans le ZTNA le successeur du VPN. Cette technologie n'offre pas seulement une sécurité complète : elle présente également des avantages en termes de productivité et d'efficacité pour l'entreprise.

D'ici 2023, 60 % des entreprises abandonneront progressivement leurs réseaux privés virtuels (VPN) d'accès à distance au profit du ZTNA – Gartner

31 % des organisations envisagent actuellement de passer au ZTNA, et 19 % sont en phase d'adoption – TeleGeography

Il est essentiel de comprendre les cas d'utilisation qui motivent le passage au ZTNA pour établir des critères d'évaluation adaptés. Et le ZTNA a de nombreuses applications : mise à disposition des outils, accès conditionnel, activation des appareils non gérés et BYOD, et bien d'autres. Ce sont elles qui déterminent les spécifications à rechercher lors du choix de l'architecture ZTNA de votre organisation.

Les principes de l'accès réseau zero-trust

Établis par le Jericho Forum, les principes clés du zero-trust sont au nombre de cinq :

• Ne faites confiance à personne : tous les utilisateurs et appareils doivent prouver leur fiabilité avant qu'un accès ne leur soit accordé. Cet aspect est crucial pour les entreprises, à tel point que Gartner prévoit que d'ici 2023, 60 % d'entre elles abandonneront progressivement leurs VPN d'accès à distance au profit du ZTNA.
• Vérifiez les identités : l'identité et l'authentification de l'utilisateur final forment la pierre angulaire de la sécurité zero-trust. En effet, selon Centrify, 73 % des entreprises ont donné à leur personnel une formation supplémentaire sur les pratiques de cybersécurité dans le cadre du télétravail. La vérification des mots de passe et des identifiants de connexion occupent une place centrale dans ces formations.
• Donnez à ceux que vous connaissez ce dont ils ont besoin : au départ, les utilisateurs n'ont aucune autorisation, et seules les permissions nécessaires leur sont accordées. Ce principe de « moindre privilège » permet aux utilisateurs d'accéder aux outils dont ils ont besoin, mais pas à ceux qui ne les concernent pas. Selon une étude d'IDC, 40 % des cyber-violations ont en effet pour origine des utilisateurs autorisés accédant à des systèmes non autorisés.
• Tenez compte de l'appareil : le système doit connaître l'appareil utilisé pour empêcher les appareils anonymes, vulnérables ou compromis d'accéder aux ressources de l'entreprise. IDC a découvert que le terminal est à l'origine de 70 % des violations réussies.
• Défendez chaque zone : isolez logiquement chaque application et exigez une authentification et des contrôles de sécurité avant d'y accorder l'accès. Ces micro-tunnels sont essentiels pour empêcher les déplacements latéraux qui, selon VMWare, sont utilisés dans près de 60 % des attaques.

Comprendre l'architecture zero-trust

Chaque architecture a également des sous-types, et la mise en œuvre varie d'un environnement à l'autre. Pour simplifier, nous allons voir les architectures de haut niveau du SDP et du proxy inverse.

Périmètre défini par logiciel (SDP)

Le périmètre défini par logiciel, également connu sous le nom de ZTNA initié par le terminal dans le guide marketing de Gartner, repose sur l'architecture de la Cloud Security Alliance. Il consiste à installer, sur l'appareil des utilisateurs finaux autorisés, une application qui transmet des informations sur l'appareil et son contexte de sécurité à un contrôleur ZTNA. Ce contexte de sécurité comprend les détails de l'appareil, l'identité de l'utilisateur et d'autres éléments susceptibles d'indiquer si la demande est digne de confiance ou non. Si toutes les informations fournies respectent les règles de l'organisation, l'utilisateur reçoit l'accès à l'application demandée.

Le contrôleur ZTNA refuse l'accès à toute application tant que l'authentification n'a pas abouti ; avant cela, la passerelle ne permet pas au trafic de circuler. Et comme elle arrête tout le trafic envoyé par des utilisateurs et des appareils non authentifiés, elle rend l'application invisible.

Proxy inverse

Dans le guide marketing de Gartner, l'architecture de proxy inverse est également appelée ZTNA initié par l'application. Malgré la similitude du schéma, cette architecture, basée sur le modèle BeyondCorp, fonctionne très différemment du SDP. La différence majeure : aucun agent n'est requis sur le terminal.

Évaluation des différents types d'architecture zero-trust

On relève un certain nombre de différences importantes entre les architectures de haut niveau, mais la recherche d'une solution spécifique ne doit pas conduire à écarter des fournisseurs a priori. Tous les services ne sont pas construits de la même manière, et les avantages et les faiblesses de chaque option peuvent avoir été contournés par les développeurs.

Les fournisseurs de SDP, par exemple, ont la possibilité d'utiliser des techniques de réseau et de chiffrement modernes et sophistiquées, mais ils auront peut-être opté pour des protocoles plus familiers. De nombreux développeurs utilisent des standards communs comme OpenVPN ou IPsec, mais ils ne sont pas sans défauts : ils introduisent généralement de la latence et épuisent les batteries des appareils mobiles. Les avantages sont maigres par rapport aux solutions de proxy inverse limitées par TLS. Veillez donc à sélectionner des fournisseurs qui s'appuient sur les technologies les plus récentes.

Les services de proxy inverse peuvent également tenter les entreprises qui n'utilisent pas de système de gestion des appareils ou qui ont une base importante d'utilisateurs en BYOD. Et c'est un choix logique en apparence : le SDP impose en effet l'installation d'un client. Pourtant, certains développeurs ont contourné cette limitation. Des techniques d'inscription simples, doublées de technologies préservant la confidentialité, peuvent considérablement faciliter le déploiement d'un client pour les utilisateurs finaux.

Il faut du temps pour évaluer chaque architecture de manière approfondie, mais c'est indispensable pour identifier la meilleure solution d'accès pour une entreprise. Les solutions ZTNA seront au cœur de la prochaine vague de transformation numérique : il est essentiel de choisir la bonne solution.

Résumé

Le périmètre défini par logiciel et l'architecture de proxy inverse sont les deux modèles les plus courants sur lesquels les fournisseurs fondent leurs solutions ZTNA. S'ils semblent proches à première vue, leur mode de fonctionnement et d'action présentent d'importantes disparités, comme ce guide l'a mis en évidence.

Dans l'ensemble, les solutions SDP semblent offrir une meilleure sécurité, davantage de flexibilité en termes de réseau et une prise en charge plus large des applications. On recommande toutefois d'évaluer soigneusement chaque solution : l'implémentation que fait un fournisseur d'une architecture peut avoir un effet important sur les fonctionnalités et les performances du service.