Sommaire
Security Operations

Extension de la confiance zéro au terminal

Sommaire

 

Confiance zéro dans le réseau - Un air familier

Zero Trust Security est un modèle de sécurité du réseau de plus en plus accepté et célébré. L'expression "ne jamais faire confiance, toujours vérifier" est familière à ceux qui se consacrent à la sécurisation des réseaux. La confiance zéro repose sur le principe selon lequel une organisation ne doit faire confiance à rien à l'intérieur ou à l'extérieur de son périmètre et que tout ce qui tente de se connecter au réseau doit être vérifié avant que l'accès ne soit accordé.

La mise en place d'une architecture Zero Trust exige une segmentation du réseau et une application granulaire basée sur l'utilisateur, les données et la localisation. Tout le trafic doit être enregistré et contrôlé à différents points d'inspection qui identifient et autorisent le trafic sur la base de règles établies. Cela permet de maintenir l'accès au niveau le moins privilégié.

et un contrôle d'accès strict qui vous donne la visibilité et le contexte du réseau nécessaires pour limiter les mouvements latéraux et identifier les attaques provenant de l'intérieur de votre réseau.

Avec l'évolution des technologies de sécurité, le volume de données à sécuriser s'est considérablement accru. Les données se déplacent avec les terminaux dans le monde hautement mobile d'aujourd'hui, ce qui fait des terminaux des cibles attrayantes pour cy- berattaques. En conséquence, la politique de sécurité doit se déplacer avec les utilisateurs et les données et ne doit pas être liée à un lieu particulier. Les données et les applications étant accessibles depuis des appareils du monde entier, Zero Trust et son approche axée sur la prévention devraient s'étendre au-delà de votre réseau et concerner les terminaux.

 

Get the XDR for Dummies Guide

 

Zéro confiance sur le terminal - Une histoire holistique de "zéro confiance".

Les produits de sécurité du terminal sécurisent et collectent des données sur l'activité qui se produit sur les terminaux, tandis que les produits de sécurité du réseau font de même pour les réseaux. Pour lutter efficacement contre les menaces avancées, les deux parties doivent travailler ensemble. Une approche architecturale intégrée qui combine la sécurité des terminaux et du réseau est le seul moyen d'obtenir une protection holistique et de mettre en œuvre le modèle Zero Trust dans l'ensemble de votre architecture de sécurité. Cette approche doit faire partie de tout ce que nous faisons afin que la prévention soit présente partout où il y a du trafic, partout où les données vivent.

 

Quatre critères doivent être remplis pour étendre la confiance zéro au terminal :

1. Protégez les terminaux avec plusieurs niveaux de sécurité

Les mesures de sécurité traditionnelles échouent si un attaquant trouve un moyen de contourner le maillon le plus faible, par exemple en diffusant un logiciel malveillant ou en exploitant les vulnérabilités d'une application. Il est plus efficace de superposer les protections du réseau et des terminaux de sorte que, si un attaquant parvient à contourner une mesure, il sera confronté à une autre, ce qui rendra sa réussite progressivement plus difficile.

Le rôle de la sécurité du réseau est d'empêcher autant d'attaques que possible - qu'il s'agisse de logiciels malveillants, d'attaques de hameçonnage ou d'exploits - d'atteindre un terminal par l'intermédiaire du réseau. Si une attaque atteint le terminal par le biais d'une clé USB ou d'un autre moyen ne faisant pas partie du réseau, si le trafic est chiffré ou si l'utilisateur est oThine ou hors réseau, le rôle de la sécurité du terminal est de neutraliser la capacité d'un attaquant à faire des dégâts.

La combinaison de ces disciplines pour une architecture Zero Trust rend l'intégration entre endpoint et la sécurité du réseau encore plus efficace.

 

2. Intégration avec la sécurité du réseau

L'extension de la Zero Trust au terminal permet d'associer la sécurité du terminal à celle du réseau pour créer une architecture de sécurité unique et globale. Les informations obtenues sur le terminal doivent être transmises au pare-feu et vice versa. Les politiques doivent être définies sur le pare-feu de manière à ce que, si le terminal subit un événement, il puisse être mis en quarantaine jusqu'à ce qu'il puisse être entièrement analysé et nettoyé.

En outre, l'intégration des données relatives aux utilisateurs et au trafic provenant des pare-feu dans un outil de gestion de la sécurité du réseau permet de savoir ce qui se passe dans l'ensemble du réseau. Cela vous permet de rédiger une politique de sécurité qui reflète ces activités de manière appropriée et qui est appliquée sur le terminal.

Le modèle de Zero Trust Security comprend également le partenariat entre la sécurité des terminaux et la sécurité du réseau privé virtuel (VPN), de sorte que la politique globale évolue en même temps que l'utilisateur et le terminal. Pour que les terminaux soient toujours protégés, les exigences du VPN doivent être transparentes pour les utilisateurs et ne pas nécessiter d'intervention manuelle pour se connecter. Lorsque la sécurité des terminaux et les VPN fonctionnent conjointement, les terminaux sont protégés quel que soit leur emplacement, empêchant le mauvais trafic d'atteindre le VPN et le pare-feu. Pour améliorer encore cette intégration, les VPN placés sur un Pare-feu nouvelle génération étendent l'application des politiques au tunnel. Si le trafic est chiffré et entre dans le réseau par un terminal compromis, la politique reste appliquée.

La visibilité granulaire offerte par l'intégration de la sécurité du terminal et du réseau doit être complétée par l'automatisation pour une prise de décision rapide, éclairée et précise à plusieurs variables. Cette intégration doit également être transparente et légère afin de ne pas affecter négativement l'utilisateur.

 

3. Gestion de plusieurs types de terminaux

Toutes les organisations disposent de plusieurs types de terminaux qui doivent être gérés, tels que les serveurs, les stations de travail, les ordinateurs de bureau, les ordinateurs portables, les tablettes et les appareils mobiles. Pour renforcer la posture de sécurité et mettre en œuvre la confiance zéro, la protection des terminaux doit s'intégrer à un pare-feu afin que la politique de sécurité suive les terminaux, où qu'ils se trouvent. L'authentification multifactorielle (MFA) devrait être appliquée sur un Pare-feu nouvelle génération pour des raisons d'évolutivité et pour éloigner la ligne d'exposition des applications critiques. Cette intégration ne doit pas avoir d'incidence négative sur les performances du système, afin que les utilisateurs ne remarquent pas que la sécurité fonctionne en arrière-plan et tentent éventuellement de supprimer ou de fermer les outils de sécurité.

 

4. Contrôle d'accès de la couche 2-7

Lors de la mise en œuvre de la Zero Trust dans votre architecture de sécurité, assurez-vous que le trafic est inspecté à la recherche de comportements malveillants à la fois à l'entrée et à la sortie du terminal. Il est courant que les terminaux évaluent le trafic à la recherche de menaces potentielles lorsqu'il pénètre dans le réseau. Il est moins courant que le trafic soit évalué lorsqu'il quitte le réseau, en partant du principe que l'utilisateur et son activité sont valables. Cependant, si un utilisateur est compromis, un attaquant pourrait exfiltrer des données ou de la propriété intellectuelle du terminal ou utiliser l'appareil compromis pour d'autres activités néfastes.

Pour empêcher les données ou la propriété intellectuelle de quitter votre réseau, vous avez besoin d'une visibilité sur l'activité du terminal, rendue possible par l'intégration avec un pare-feu nouvelle génération. Sur la base de la politique définie par le pare-feu, si le trafic d'un utilisateur ou d'une application sort du cadre de la politique de sécurité définie, le pare-feu peut intervenir et mettre fin à l'activité suspecte. Cette politique doit appliquer les règles de Threat Prevention, le filtrage des URL et les fonctions de sandboxing des logiciels malveillants à l'intérieur du tunnel VPN crypté.

Le Pare-feu nouvelle génération devrait également disposer de capacités de décryptage SSL pour décrypter le trafic crypté et obtenir la visibilité nécessaire pour déterminer si le trafic est malveillant ou non. Si un trafic malveillant est identifié, l'intégration entre le pare-feu et le terminal doit permettre au pare-feu de bloquer tout trafic de commande et de contrôle et d'isoler le terminal de votre réseau.

L'approche de Palo Alto Networks

Le portefeuille de Palo Alto Networks fournit les outils, les technologies et les produits dont vous avez besoin pour transformer votre stratégie Zero Trust en un déploiement pratique.

Un élément clé du portefeuille de Palo Alto Networks est Cortex XDR, la première plateforme de détection et de réponse étendue (XDR) ) de l'industrie. L'agent Cortex XDR utilise plusieurs méthodes de protection aux étapes critiques du cycle de vie des attaques pour prévenir les logiciels malveillants connus et inconnus, les exploits et les ransomwares, ainsi que les menaces du jour zéro. Cortex XDR effectue une analyse locale pour identifier les fichiers malveillants et bénins sur la base de la classification des propriétés des fichiers et des verdicts précédemment connus.

En plus de l'analyse locale, Cortex XDR s'intègre au service d'analyse des menaces basé sur le cloud WildFire®. Seul, WildFire effectue des analyses dynamiques et statiques, de l'apprentissage automatique et des analyses de métal nu pour identifier même les menaces les plus évasives. Dans le cadre de la plateforme, WildFire permet à Cortex XDR et aux pare-feu nouvelle génération de devenir des capteurs et des points d'application pour votre réseau et vos terminaux.

Les pare-feu nouvelle génération de Palo Alto Networks inspectent l'ensemble du trafic, y compris les applications, les menaces et le contenu, même s'il est crypté, et relient ce trafic à l'utilisateur. La visibilité et les données qui en résultent permettent d'aligner la politique de sécurité sur les besoins et les initiatives propres à votre organisation. Comme Cortex XDR, le pare-feu nouvelle génération fonctionne avec WildFire pour assurer une protection contre les menaces connues et inconnues. Lorsque WildFire identifie une nouvelle menace où que ce soit, il crée et diffuse automatiquement des protections actualisées dans l'ensemble de la plateforme et aux autres membres de la communauté WildFire afin de soutenir une infrastructure de sécurité coordonnée. Ces mises à jour incluent les menaces nouvellement identifiées par Cortex XDR pour une protection plus complète et plus efficace sur l'ensemble de l'architecture.

La sécurité du réseau GlobalProtect pour les terminaux relie les politiques de votre réseau à vos terminaux et étend votre politique de sécurité aux réseaux distants et aux utilisateurs mobiles. GlobalProtect inspecte le trafic à l'aide de Pare-feu nouvelle génération pour une visibilité totale de l'ensemble du trafic réseau, des applications, des ports et protocoles. Cette visibilité permet l'application transparente de la politique de sécurité sur les terminaux, quel que soit l'endroit où se trouve l'utilisateur. GlobalProtect fournit des informations sur l'utilisateur pour alimenter la technologie User-ID et s'intègre aux protections MFA dans le pare-feu pour empêcher les attaquants de se déplacer latéralement en utilisant des informations d'identification volées....

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité