Le ZTNA de Gartner et les réalités liées à la mise en œuvre du télétravail

Le récente migration d’une grande partie de la main-d’œuvre vers le télétravail a accéléré l’adoption des technologies basées sur le cloud. L’une d’entre elles, en particulier, a permis au personnel distant de continuer à travailler. Il s’agit de l’accès réseau zero trust (ZTNA). Cela est dû à la capacité du ZTNA à s’adapter en permanence tout en offrant une excellente expérience utilisateur. À mesure que le monde poursuit sa mutation, les responsables informatiques doivent faire face aux nouvelles réalités liées au télétravail et continuer d’accorder la priorité à la sécurité.

Les réseaux traditionnels, les VPN et les DMZ utilisent les adresses IP et les emplacements des réseaux pour établir la connectivité des utilisateurs. Cette architecture a été conçue pour gérer l’accès aux applications hébergées dans un data center, et non dans un univers hybride et multicloud. De ce fait, les utilisateurs subissent les frustrations causées par une expérience extrêmement lente. La dépendance à la connectivité réseau entraîne également une confiance excessive et une exposition des ressources réseau à Internet. Cette fragilité est exploitée par des acteurs malveillants qui se servent des utilisateurs comme moyen d’accéder aux données sensibles accessibles du réseau.

C’est ce que j’appelle un risque sans récompense. 

Les équipes réseau, les gestionnaires de risques et les équipes de sécurité des infrastructures sont constamment obligées de choisir entre réinvestir dans des architectures anciennes, ou les remplacer par une approche moderne basée sur le cloud. Même si le déchirement entre les anciennes et les nouvelles technologies est parfois difficile à gérer, une décision doit néanmoins être prise. 

Nouvelle présentation du ZTNA

L’année dernière, après que Gartner ait publié son premier Guide du marché pour le Zero Trust Network Access (ZTNA) en avril 2019, nous avons pour la première fois parlé de l’accès réseau zero trust. Récemment, Gartner a annoncé la parution d’une mise à jour du guide. Pour rappel, Gartner définit le ZTNA comme « un ensemble de produits et services qui créent une frontière d’accès logique basée sur l’identité et le contexte, autour d’un utilisateur et une application ou un ensemble d’applications ». Depuis que les utilisateurs et les applications ont migré en dehors du réseau, le périmètre réseau classique s’est érodé (sans contrôle sur le réseau, impossible de faire de la sécurité réseau). 

La ZTNA permet aux utilisateurs autorisés d’avoir un accès basé sur l’identité et le contexte à des applications spécifiques. Ils n’accèdent jamais au réseau. Ce niveau de précision garantit que l’accès est limité et que les applications ne sont jamais exposées à l’internet. Comme les utilisateurs ne sont jamais sur le réseau, cette approche empêche également de potentiels mouvements latéraux sur le réseau, moyen courant de propagation des programmes malveillants. 

Puisque de nombreux services ZTNA sont basés sur le cloud et hébergés par le fournisseur, ils offrent tous les avantages que vous pouvez espérer d’un service cloud. Un plus grand nombre de points de présence permet une meilleure expérience utilisateur. Comme Netflix, Airbnb, ou tout autre service cloud, un cloud distribué offre une meilleure évolutivité et plus d’agilité en cas de besoin. Ils offrent également une sécurité qui accompagne vos utilisateurs où qu’ils soient, et vous garantit qu’ils maintiennent le même niveau de sécurité requis, quels que soient leur emplacement, leur appareil ou même l’application ou l’environnement de l’application. Nous avons également étendu la possibilité pour les clients d’exécuter une partie de notre cloud dans leur propre data center afin que leurs utilisateurs sur site puissent également bénéficier de ZTNA. Il n’y a pas d’appliances à gérer et aucune longue liste de règles de pare-feu n’est requise. Il vous suffit de définir les politiques liées aux utilisateurs et aux noms d’hôtes, et le service cloud—qui fonctionne en permanence—les applique pour vous.

Puisque les utilisateurs et les applications sont déjà dans le cloud, il est logique que votre système de sécurisation des accès y soit également.

Par où commence?

Les équipes nous demandent souvent par où commencer avec le ZTNA et quel plan mettre en place. Nous leur recommandons de commencer par des projets ZTNA pilotes (pour les aider, nous avons même créé une solution de test ZTNA pour notre service ZPA). Bien entendu, ces projets devraient faire partie d’une stratégie plus élargie qui n’est pas uniquement axée sur les applications privées, mais englobe l’utilisation d’un service d’accès délivré dans le cloud pour fournir un accès à toutes les applications. C’est ce que Gartner appelle le SASE (Secure Access Service Edge).

De nombreuses organisations commencent par utiliser le ZTNA comme alternative à leur VPN. Un bon point de départ compte tenu de la montée en flèche du télétravail à l’heure actuelle. Alors que vous déterminez quelle stratégie d’accès adopter à l’avenir et que vous réfléchissez à son lien avec votre projet de réouverture des bureaux, envisagez également la possibilité d’utiliser le ZTNA pour les utilisateurs sur site. Cela vous permettra de bénéficier de la même approche utilisateur-application sur site que celle qui est vous est tant utile lorsque les utilisateurs travaillent à distance. Elle vous aidera également à réduire la complexité de la segmentation du réseau, à diminuer le risque de mouvement latéral sur votre réseau, et à compter plutôt sur un accès basé sur l’identité et les politiques et appliqué par un courtier local (bien qu’hébergé par vous, le logiciel est toujours géré par le fournisseur ZTNA). 

Si votre organisation envisage de s’engager dans une stratégie de fusion au cours des prochaines années, nous vous recommandons également d’utiliser le ZTNA pour accélérer l’intégration informatique lors des fusions-acquisitions ou des cessions. Cette technologie élimine le besoin de consolider les réseaux, permet d’uniformiser les niveaux de sécurité entre plusieurs entités et permet aux utilisateurs de redevenir productifs le plus rapidement possible.

Cinq critères à prendre en compte dans le choix d’un service ZTNA

1. Lorsque vous envisagez de recourir au ZTNA, assurez-vous d’opter pour un service ZTNA basé sur le cloud. Il vous sera d’une grande utilité en cette période de pandémie où de nombreux utilisateurs sont encore en télétravail. Vous n’aurez pas à vous soucier des limites de capacité ou de bande passante (l’ancienne approche basée sur les appareils est derrière vous).
    
2. Assurez-vous que le fournisseur dispose de courtiers de confiance à suffisamment d’endroits pour garantir à vos utilisateurs la meilleure expérience possible. En règle générale, plus le nombre de points de présence disponibles est élevé, plus vous pourrez réduire la latence, pour le plus grand bonheur de vos utilisateurs.
    
3. Choisissez un fournisseur capable de prendre en charge à la fois les applications web et les applications anciennes, et non un fournisseur qui se limite aux applications web. Vous avez très probablement des applications anciennes et des applications de clients qui ne sont pas basées sur le web. 
    
4. Puisque le télétravail entraîne un mélange d’appareils appartenant aux employés et d’appareils gérés, assurez-vous que le service ZTNA a la capacité de prendre en charge ces deux types d’équipements. Il faudra donc prévoir la possibilité de prendre en charge l’accès à la fois par des terminaux appartenant aux employés et par les appareils gérés.
    
5. Donner la priorité aux fournisseurs de service ZTNA qui s’intègrent aux technologies de gestion des utilisateurs finaux (comme CrowdStrike, Carbon Black, Microsoft, etc.) pour un déploiement plus simple de l’agent et une gestion avancée de la posture des appareils.
    

Je vous souhaite beaucoup de réussite dans les efforts que vous fournissez pour soutenir votre main-d’œuvre en télétravail tout en assurant la sécurité de vos applications privées. Je suis certain que le ZTNA vous facilitera la tâche. 

Nous nous ferons un plaisir de assister si vous avez besoin de conseils.

Plus de ressources:

Lisez le Guide du marché Gartner pour le Zero Trust Network Access

Consultez notre fiche technique sur le Zscaler Private Access

Testez ZPA gratuitement.

Découvrez comment National Oilwell Varco utilise Zscaler Private Access