Jamf Blog
Mars 2, 2020 Par Robin Gray

Le périmètre défini par logiciel (SDP), un concept clé du ZTNA

Les entreprises continuent d'intégrer des services cloud à leurs workflows informatiques. Dans ce monde mobile et orienté cloud, il devient clair que les outils de sécurité traditionnels, reposant sur le périmètre, ne sont plus adaptés à leur objectif.

Les entreprises ont adopté les technologies du cloud à un rythme effréné. Selon Gartner, le marché mondial du cloud public devrait croître de 17 % pour atteindre 266 milliards de dollars en 2020. Les entreprises continuent d'intégrer des services cloud à leurs workflows informatiques. Dans ce monde mobile et orienté cloud, il devient clair que les outils de sécurité traditionnels, reposant sur le périmètre, ne sont plus adaptés à leur objectif.

Les VPN ont longtemps été utilisés pour fournir un accès sécurisé à distance, mais ils ne sont pas sans défaut : peu fiables et trop permissifs, ils offrent une mauvaise expérience utilisateur et peuvent poser des problèmes de configuration. De plus, les utilisateurs finaux peuvent se connecter directement aux ressources SaaS, sans utiliser de VPN. Par exemple, un employé peut télécharger une application de partage de fichiers sur son appareil et se connecter simplement à son compte d'entreprise, sans qu'il soit nécessaire de gérer ou de chiffrer cette connexion.

Le périmètre défini par logiciel (SDP) permet aux entreprises modernes de gérer leurs règles d'accès, en plus de minimiser les risques et l'exposition globale de sécurité.

Qu'est-ce qu'un périmètre défini par logiciel ?

Le SDP est une approche de la sécurité qui permet la mise en place de l'accès réseau zero-trust (ZTNA). Il offre une protection indépendante de la localisation d'un service, qu'il soit sur site ou dans le cloud.

Avec un SDP, la connectivité est basée sur le modèle du « besoin d'en connaître ». Par défaut, l'accès à tous les services est refusé. Les utilisateurs finaux et leurs appareils doivent être authentifiés et autorisés avant de se connecter, ce qui implique d'évaluer les identités et la position de sécurité des appareils. L'accès adaptatif est un élément important du ZTNA : il garantit que la mise en œuvre d'un contrôle d'accès tenant compte du contexte, ce qui permet d'équilibrer le niveau de confiance et le risque.

Une fois les contrôles de sécurité effectués, une connexion dynamique de type « un vers un » est établie entre un appareil et une application. Conformément au principe de moindre privilège, tous les services de l'entreprise qui ne concernent pas cet utilisateur sont invisibles – et donc protégés. L'utilisation de la micro-segmentation permet d'éviter d'élargir inutilement l'accès réseau. Elle crée des zones sécurisées distinctes au sein des centres de données et des déploiements cloud, afin d'isoler les charges de travail les unes des autres.

Quels sont les avantages du SDP ?

De nombreuses entreprises ont adopté des solutions de gestion des identités et des accès (IAM) dans le but d'adopter le ZTNA. Mais si l'identité soit un élément important du ZTNA, elle ne suffit pas à rendre compte du contexte plus large d'une demande d'accès, qui doit inclure l'état de santé de l'appareil et la sécurité du réseau. Gartner considère la santé des appareils comme un aspect essentiel d'une solution SDP zero-trust. Fournir des identifiants corrects est une chose, mais cela ne garantit en rien que l'utilisateur est bien celui qu'il prétend être ou que son appareil est protégé contre les tiers malveillants. L'accès adaptatif doit être appliqué pour tenir compte des facteurs contextuels associés à la demande.

Par exemple :

  • Est-ce que des logiciels malveillants sont installés sur l'appareil ?
  • Le lieu depuis lequel l'utilisateur tente de se connecter a-t-il du sens ?
  • Est-ce que son appareil ouj ses applications présentent des vulnérabilités ?
  • La connexion est-elle sécurisée, ou est-elle vulnérable à une attaque de type « homme du milieu » ?

Tous ces facteurs entrent dans le calcul d'un score de risque, bien plus fin que les règles d'authentification binaires, qui pèchent souvent par excès de simplicité.

Comme le SDP authentifie les utilisateurs avant d'établir la connexion, les services de l'entreprise sont invisibles aux regards indiscrets. Et même après l'authentification, seuls les services approuvés pour un utilisateur lui sont accessibles. De cette manière, on ne réduit pas seulement le risque d'attaques basées sur le réseau (déni de services, injections SQL, balayage des serveurs, etc.) : on limite également les dégâts potentiels des menaces internes. Un employé RH mécontent ne pourra pas se connecter au CRM et télécharger des contacts : il n'aura même pas accès à la page de connexion.

L'application des règles peut être individualisée plutôt que gérée à l'aide de groupes d'utilisateurs – un atout certain quand il s'agit de donner des accès à des tiers. Avec le SDP, les contrôles d'accès peuvent être appliqués à un utilisateur, un site, une application ou un service, qu'il soit local ou dans le cloud, ce qui donne un maximum de contrôle aux administrateurs. En ce qui concerne l'accès des tiers, il faut définir clairement les autorisations, les niveaux d'accès et les dates de début et de fin. Ces contraintes peuvent retarder l'approvisionnement ou inciter à ignorer des mesures de sécurité.

Le SDP aide les entreprises à relever les défis de l'adoption des technologies cloud et de la mobilité des employés. Il met en place une solution de sécurité à l'endroit où se trouve l'utilisateur final plutôt que de renvoyer le trafic vers le centre de données de l'entreprise. Le SDP les accompagne également dans la mise en œuvre du ZTNA. Il donne davantage de contrôle sur les accès et facilite leur individualisation. Surtout, il applique constamment le principe de moindre privilège et dissimule les services de l'entreprise aux utilisateurs non autorisés. Pour que le SDP soit un appui et non une nuisance de plus pour les utilisateurs finaux, il faut un réseau mondial de connexions à haut débit et à faible latence. C'est en effet ce qui permettra d'appliquer les règles où que soit l'utilisateur, et d'appliquer les règles de l'accès adaptatif.

Vous comptez toujours sur le VPN d'hier pour faire face aux menaces de sécurité d'aujourd'hui ?

Explorez les offres de sécurité de Jamf et découvrez les derniers outils de sécurité. Vous verrez comment ils vous aident à protéger au mieux vos données contre les menaces et les attaques modernes.

Robin Gray
Jamf
S'abonner au blog

Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.