ZTNA : périmètre défini par logiciel (SDP) ou réseau privé virtuel (VPN) ?

L'accès réseau zero-trust (ZTNA) est le modèle de sécurité le plus récent. Les fournisseurs comment les analystes le mettent en avant comme un nouveau jalon dans la cyberdéfense. Cette publicité s'accompagne souvent d'appels à abandonner et remplacer le VPN, qui constitue depuis plus de 30 ans un pilier de l'infrastructure d'accès à distance. Il est peut-être un peu tôt pour remplacer le VPN par une solution zero-trust – de nombreuses entreprises ont en effet lourdement investi dans l'extension de l'architecture VPN pour s'adapter au télétravail. Mais il reste intéressant d'entamer la transition vers un modèle zero-trust, et plus précisément vers la technologie de périmètre défini par logiciel (SDP).

Quel est le lien entre SDP et ZTNA ?

Le ZTNA est une approche de la sécurité des réseaux qui reprend plusieurs concepts de sécurité. Ce n'est pas une solution unique, mais il y a fort à parier qu'à l'avenir, certains fournisseurs proposeront une suite complète d'outils ZTNA. Si l'on se réfère au guide marketing de Gartner sur le ZTNA, il existe actuellement deux types de déploiement. Le déploiement initié par le terminal, qui est le plus répandu, repose sur l'architecture SDP de la Cloud Security Alliance .

Quelles sont les différences entre SDP et VPN ?

L'efficacité des solutions d'accès à distance peut être jugée selon trois critères : la force de la sécurité, la facilité de gestion et l'expérience de l'utilisateur final. Le ZTNA est considéré comme la nouvelle génération de technologies d'accès à distance. Il résout en effet une grande part des problèmes de sécurité, de gestion et d'expérience utilisateur qu'on rencontre avec les VPN.

Selon Gartner, d'ici 2023, 60 % des entreprises abandonneront progressivement leurs réseaux privés virtuels (VPN) d'accès à distance au profit du ZTNA.

Sécurité

VPN

• L'accès avant l'authentification
• Accès par IP
• L'accès au réseau est nécessaire pour accéder aux applications
• Ports ouverts exposés à Internet
• Aucune évaluation des risques liés aux appareils
• Application difficile du principe du moindre privilège

SDP

• L'authentification avant l'accès
• Accès centré sur l'identité
• Accès distinct à chaque application
• Rend les applications invisibles jusqu'à ce que l'identité de l'utilisateur ait été authentifiée et autorisée
• Évaluation continue des risques au niveau des appareils, des utilisateurs et des applications
• Application du principe de moindre privilège grâce à l'intégration de l'IAM
• Accès sécurisé à toutes les applications, dans le cloud ou sur site, quelle que soit la localisation de l'utilisateur

des appareils

VPN

• Repose fortement sur le matériel
• Infrastructure inflexible et capacité statique
• Lourde charge de gestion
• Risque de défaut de configuration, et tributaire de la configuration d'autres technologies

SDP

• Livré via le cloud
• Évolution dynamique selon les besoins de l'entreprise
• Gestion de l'infrastructure confiée au fournisseur de services
• Intégration au IAM, au SIEM et aux autres éléments de la pile technologique

Expérience utilisateur

VPN

• Expérience d'accès fragmentée, nécessité de s'authentifier à répétition.
• Prend uniquement en charge les utilisateurs distants
• Peu fiable avec les connexions Wi-Fi et cellulaires, ainsi que sur les appareils mobiles.
• Les conceptions datées pose des problèmes de vitesse et de connectivité

SDP

• Une accessibilité homogène pour tous les types d'appareils et toutes les plateformes
• Offre la même expérience d'accès aux utilisateurs distants ainsi qu'aux employés sur site
• Gère efficacement les changements de réseaux et s'adapte à tous les types d'appareils
• Le service distribué en périphérie améliore l'efficacité du routage pour réduire la latence
• Authentification et SSO transparents

Fonctionnalités de sécurité du VPN

Le VPN est traditionnellement utilisé pour permettre aux télétravailleurs d'accéder aux ressources d'entreprise. Pourtant, ses seules véritables fonctionnalités de sécurité sont l'authentification de l'utilisateur au point d'activation et le chiffrement du trafic entre le terminal à l'appliance VPN. En comparaison, le ZTNA est fondamentalement axé sur la sécurité. Il assure une authentification et un chiffrement renforcés, auxquels il ajoute d'autres fonctionnalités modernes.

Authentification

Le VPN traditionnel s'appuie sur l'adresse IP pour fournir l'accès au réseau, ce qui est problématique en soi. Une adresse IP ne fournit en effet aucune information sur l'utilisateur ou l'appareil : elle ne devrait donc pas être implicitement fiable, même s'il s'agit d'une adresse locale. Pensez également que les adresses IP des utilisateurs changent fréquemment : ils accèdent aux services à partir de plusieurs appareils, y compris des appareils personnels. La gestion de l'accès en fonction de l'IP devient difficile à gérer avec l'augmentation du nombre d'utilisateurs.

On se connecte à un VPN comme à tout autre service : nom d'utilisateur et mot de passe, parfois enrichis d'une authentification multifacteur, comme un jeton ou un certificat. Les utilisateurs s'authentifient au début d'une session VPN pour se connecter à un réseau local et accéder à des applications qu'il abrite. Mais à aucun moment les risques de l'appareil ne font l'objet d'une évaluation – ni en amont, ni en cours de session Or, l'identité d'un utilisateur, même vérifiée, ne donne aucune garantie sur la santé de l'appareil. Le terminal peut être infecté par des logiciels malveillants ou présenter des vulnérabilités comme un OS obsolète. Il peut également être compromis au cours d'une session.

Le terminal est à l'origine de 70 % des violations réussies. – IDC

Les protocoles d'authentification VPN exigent que les ports ouverts soient exposés à Internet. Pour des adversaires, ce sont des sources d'informations sur les services qui se trouvent au-delà du périmètre – et une cible à attaquer. L'authentification doit avoir lieu avant la découverte des services.

Les solutions ZTNA s'intègrent aux services IAM pour faciliter le respect des règles d'identité des utilisateurs appliquées ailleurs par l'entreprise. C'est l'assurance que chaque utilisateur reçoive les autorisations correspondant strictement à ses fonctions et son rôle. L'utilisation de l'autorisation par paquet unique (SPA) exige l'identité de l'utilisateur avant de donner accès au service demandé. Seules les tentatives de connexion provenant d'utilisateurs autorisés sont reconnues, et les applications sont invisibles à toute autre personne.

Le ZTNA basé sur le SDP a un avantage majeur : il prend en compte le risque contextuel lors de l'évaluation de la demande d'accès. Les contrôles d'accès adaptatifs (ou conditionnels) vérifient qu'un terminal respecte les règles de sécurité et évaluent d'autres facteurs, comme la géolocalisation et l'heure de la demande. Ces vérifications sont particulièrement utiles lorsqu'il faut sécuriser des appareils en BYOD ou non gérés (ceux de tiers, notamment), qui ne font l'objet d'aucune supervision réelle et n'offrent aucune garantie quant au respect des critères de sécurité de base. La session d'un utilisateur peut également être surveillée en temps réel. Si les exigences de la politique d'accès ne sont plus respectées, l'accès peut être levé de manière dynamique.

Accès aux réseaux ou accès aux applications

En matière d'accès à distance, le VPN est généralement un outil assez grossier. Il accorde une visibilité et une accessibilité de grande envergure aux applications et aux ressources du réseau. Le VPN repose sur l'IP : il attribue généralement une adresse locale à un utilisateur qui peut alors accéder à n'importe quel outil, comme s'il était physiquement sur le réseau. Cet accès est inutilement vaste ; un commercial n'a pas besoin de voir le logiciel de comptabilité du service financier, cela n'a rien à voir avec son rôle.

Près de 60 % des attaques impliquent désormais un mouvement latéral. – VMWare

Certes, les équipes informatiques peuvent segmenter le réseau pour limiter les mouvements latéraux à partir des connexions VPN. Il reste que cette approche est souvent difficile à mettre en place et à gérer, en particulier lorsqu'il faut ouvrir les écosystèmes numériques aux partenaires. Certains auront en effet besoin d'accéder à un seul système, et d'autres à l'ensemble des applications d'un service. Un audit, par exemple, doit avoir accès aux dossiers financiers mais n'a pas besoin du CRM. Le VPN n'offre pas la granularité nécessaire pour réduire de manière adéquate la surface d'attaque d'une entreprise.

La sécurité basée sur le périmètre (et le VPN) part du principe que l'on peut faire confiance aux utilisateurs et aux appareils du réseau. Si une personne provient d'une IP interne ou que son VPN lui en a donné une, cette confiance lui est accordée.

Le SDP s'écarte de cette approche centrée sur le réseau et crée un tunnel isolé et privé entre chaque utilisateur et chaque application. Il évite de ce fait d'avoir à configurer des listes de contrôle d'accès ou des pare-feu. Comme le SDP est centré sur l'identité, le principe de moindre privilège peut être appliqué de façon universelle, sur la base des autorisations individuelles de l'utilisateur, grâce à un moteur de règles centralisé. Au lieu d'obtenir un accès au réseau sous-jacent, les utilisateurs sont simplement acheminés vers l'application. En fin de compte, le fait d'être sur le réseau ne constitue plus une position avantageuse, et les adresses IP ne bénéficient plus d'une confiance implicite excessive.

Protection du cloud

Les services VPN connectent les utilisateurs à distance au réseau de l'entreprise, mais ils ne sont pas en mesure de chiffrer le trafic vers les applications cloud. Ces connexions restent donc vulnérables aux attaques. Contrairement aux applications hébergées sur site, le VPN est facultatif pour les utilisateurs qui souhaitent se connecter aux applications cloud. Et toute forme de protection offerte par le réseau de l'entreprise est perdue si l'utilisateur décide de se connecter directement.

Le SDP protège la connectivité entre les utilisateurs et les applications cloud. Il exerce une authentification appropriée pour que seules les parties autorisées puissent voir les applications et y accéder. Certaines suites d'applications, comme Microsoft 365, intègrent la technologie zero-trust. Dans ce cas, le ZTNA renforce la sécurisation en fournissant des informations sur la posture de sécurité des appareils, mais n'assure ni le courtage ni l'acheminement du trafic.

Gestion

Configuration et vulnérabilités

Il suffit d'une recherche rapide sur Google pour comprendre que le VPN présente de nombreuses vulnérabilités. Les risques d'erreurs de configuration sont importants, en particulier lorsqu'il est intégré à d'autres technologies. L'année dernière, le NCSC a enquêté sur l'exploitation des vulnérabilités présentes dans les produits VPN SSL d'un certain nombre de fournisseurs de premier plan. Et récemment, la NSA a publié des conseils sur la sécurisation des VPN IPsec. Il est possible de déployer plusieurs VPN pour assurer un certain degré de segmentation du réseau, mais il faut alors acheter, gérer et configurer autant d'appareils. Et ce n'est jamais parfaitement rigoureux. Configurer et gérer ces différents VPN est une lourde tâche pour l'administrateur informatique, qui doit également tous les mettre à jour en cas de changement de règle. Bref, la seule maintenance du service prend un temps considérable.

Autre problème, toujours lié à la maintenance : les VPN sont censés être toujours disponibles, en particulier lorsqu'une grande partie des employés travaillent à distance. Et cette obligation de disponibilité ne laisse pas le temps d'appliquer les correctifs et les mesures de renforcement de la sécurité.

Avec le SDP, la charge de la maintenance de l'infrastructure incombe au fournisseur de services. À lui de s'assurer que toutes les vulnérabilités sont immédiatement corrigées. Comme il s'agit d'une technologie de superposition, la configuration est beaucoup plus simple et s'intègre parfaitement aux technologies existantes (UEM, SIEM, IAM, etc.) grâce à des API. Les règles d'accès sont élaborées et appliquées sur la base de l'identité de l'utilisateur. Les administrateurs peuvent donc définir les accès de façon beaucoup plus précise et les appliquer de manière homogène à tous les appareils et toutes les plateformes – que l'utilisateur final soit au bureau ou chez lui.

Basé sur une appliance ou dans le cloud

Le déploiement d'un VPN nécessite un certain nombre de composants matériels et logiciels. Il faut installer un client sur le terminal de l'utilisateur et déployer des appliances VPN dans le centre de données pour gérer le trafic. Et il faut parfois compléter cet équipement de divers routeurs et switches. Pare-feux, ACL et DMZ doivent ensuite être configurés pour autoriser les connexions VPN. Quand le nombre d'utilisateurs distants augmente, il faut agrandir l'infrastructure manuellement, en installant et en configurant de nouveaux appareils, et en achetant des licences supplémentaires.

Avec la multiplication des applications cloud, il est tout à fait naturel que les solutions de sécurité se déplacent également vers le cloud. Le SDP ne fait pas exception, ce qui évite l'acquisition de matériel. L'infrastructure n'est pas limitée par la capacité des appliances : le SDP peut évoluer de manière dynamique selon les besoins de l'entreprise. Le fournisseur de service est responsable de l'intégrité de la plateforme. Pour les entreprises, c'est une charge de maintenance de moins, mais aussi l'avantage de pouvoir faire appel à des compétences hautement spécialisées. L'absence matériel facilite le déploiement pour les équipes informatiques. Elles n'ont plus besoin de se déplacer pour configurer les appareils dans le centre de données ou d'intervenir physiquement sur un appareil pour installer un agent : tout peut être fait à distance.

Déploiement

On emploie couramment les certificats numériques pour identifier un terminal autorisé à utiliser les services VPN. Ils sont considérés comme une alternative plus sûre aux clés pré-partagées. Mais ils ne sont en aucun cas inviolables du point de vue de la sécurité, et on a vu plusieurs fois des pirates profiter de ce système de confiance.cases De plus, le déploiement de certificats prend du temps, il est sensible aux erreurs de configuration et nécessite souvent une certaine forme de gestion des appareils.

Le SDP utilise un agent de terminal. Il suffit à l'utilisateur de télécharger une app et de se connecter via SSO pour que l'appareil soit automatiquement configuré en fonction de ses identifiants. Une solution UEM peut également pousser l'app SDP vers l'appareil ou la distribuer via des liens partageables – autant de moyens de la déployer sans contact ni friction. L'agent du terminal peut également remplir d'autres fonctions, par exemple en fournissant des diagnostics sur l'appareil à des fins de contrôles d'accès adaptatifs.

Expérience utilisateur

Vitesse

Le VPN fournit le strict nécessaire pour l'accès à distance aux applications d'entreprise, mais on ne peut pas le qualifier de « convivial ». Les utilisateurs en sont venus à attendre des applications d'entreprise le même niveau de service que les apps grand public, et ce n'est pas peu dire. En général, les utilisateurs abandonnent la session si le chargement d'une page web prend plus de trois secondes. Combinez maintenant le VPN à des appareils mobiles, des connexions Internet capricieuses et des applications à large bande passante, et vous comprendrez que la vitesse du service peut rapidement poser problème.

Les problèmes de latence et de lenteur sont inhérents à la conception des VPN, et les causes sont multiples :

• Proximité du serveur : si un utilisateur se connecte depuis Delhi et que la passerelle VPN est située à New York, les retards seront dus à la distance parcourue par la requête.
• Le chiffrement : il n'est pas instantané. Les données doivent être chiffrées et déchiffrées lorsqu'elles passent par la passerelle VPN. On peut réduire ce délai en utilisant un chiffrement plus faible, mais cela diminue inévitablement la sécurité.
• Capacité du serveur : le nombre de personnes utilisant simultanément le VPN aura une incidence sur les performances. Un VPN capable d'accueillir 20 à 30 utilisateurs à la fois verra nécessairement ses performances se détériorer s'ils sont plus nombreux. De plus, les solutions SaaS d'entreprise incontournables telles que M365 ont été conçues pour des connexions directes et fiables. Ces services à large bande passante exercent une pression sur l'infrastructure et, sans une gestion adéquate, ils réduisent considérablement la vitesse du VPN.
• Poignée de main : la technologie VPN implique un processus de poignée de main prolongé. Autrement dit, toute interruption impose une reconnexion au service et perturbe le travail.
• Goulet d'étranglement : tout le trafic VPN est d'abord acheminé jusqu'à l'appliance avant d'en repartir. Si cette méthode est adaptée aux applications sur site, elle ne convient pas au trafic destiné aux applications cloud ou à Internet.

Basé sur le cloud, le SDP ne dépend pas d'un appareil, et ne souffre donc pas des mêmes limitations d'infrastructure. Il peut évoluer en fonction des besoins de l'entreprise tout en offrant un niveau de service constant. Au lieu d'acheminer le trafic jusqu'à un centre de données, les utilisateurs sont dirigés vers le service de périphérie le plus proche. La session reste locale, ce qui a pour effet de réduire la latence. Avec l'autorisation de paquet unique (SPA), les utilisateurs bénéficient d'une expérience satisfaisante, quel que soit leur type de connectivité – réseau de bureau, réseau cellulaire itinérant ou connexion Wi-Fi à domicile.

SSO et connexion permanente

La plupart des fournisseurs de VPN d'entreprise prévoient l'intégration de l'annuaire d'identités de l'entreprise. Cela permet de mettre en œuvre l'authentification unique (SSO) et de rationaliser le processus d'authentification. Les connexions VPN sont capricieuses, en particulier sur les connexions Wi-Fi ou cellulaires, et il est fastidieux de devoir se réauthentifier à chaque fois qu'elles s'interrompent. Ces problèmes d'expérience utilisateur sont amplifiés sur les appareils mobiles modernes. Ceux-ci fonctionnent différemment de leurs homologues de bureau et ils « sortent de veille » 90 fois par jour en moyenne. Le VPN a été développé pour les appareils Windows traditionnels puis adapté au format plus moderne des smartphones.

Certains utilisateurs peuvent également avoir besoin de passer d'un VPN à l'autre. Il n'est pas rare qu'un commercial ait besoin d'accéder à un CRM hébergé sur AWS, au portail de gestion des prospects d'un partenaire situé sur Azure et à un outil de recrutement hébergé sur site. L'expérience utilisateur est fragmentée et frustrante : il faut sans cesse se connecter et se déconnecter de différents service, sans parler de la perte de productivité que cela implique.

Comme le VPN, le SDP peut s'intégrer aux solutions IdP, mais il a sur son ancêtre un avantage majeur : il assure la continuité du service, même en cas de changement de réseau, ce qui évite de devoir s'authentifier constamment. Conçu pour des environnements informatiques plus diversifiés, le SDP peut fonctionner efficacement sur des appareils mobiles sans épuiser la batterie. L'accès est basé sur des règles : il n'est plus nécessaire de multiplier les VPN pour segmenter le réseau. Les utilisateurs se connectent simplement au service et peuvent ensuite rester connectés simultanément à plusieurs applications hébergées sur différentes plateformes.

Conclusion

Seules 30 % des entreprises parviennent à rentabiliser pleinement la transformation numérique. Ces initiatives doivent en effet prendre en compte l'ensemble de l'expérience utilisateur, et pas seulement la couche d'applications. Les avantages des nouvelles technologies ne se concrétiseront que lorsque les infrastructures auront été modernisées. Si le VPN a toujours son utilité, il faut l'adosser au SDP pour améliorer l'expérience d'accès et libérer tout le potentiel d'une main d'œuvre mobile.