Qu'est-ce que la confiance zéro pour le cloud ?
Zero Trust est un modèle de sécurité informatique qui élimine la notion de confiance pour protéger les réseaux, les applications et les données. Cela contraste fortement avec le modèle traditionnel de sécurité du périmètre, qui suppose que les mauvais acteurs se trouvent toujours du côté non fiable du réseau, et que les utilisateurs dignes de confiance se trouvent toujours du côté fiable. Avec la confiance zéro, ces hypothèses sont annulées et tous les utilisateurs sont présumés indignes de confiance.
Selon Forrester Research, un cabinet de recherche et de conseil de premier plan, une solution Zero Trust doit :
Veillez à ce que seul le trafic connu et autorisé ou les communications d'applications légitimes soient autorisés en segmentant et en activant la politique de la couche 7.
Misez sur une stratégie d'accès avec le moins de privilèges possible et appliquez strictement le contrôle d'accès.
Inspectez et enregistrez tout le trafic. Dans le cas contraire, il peut être assez simple pour un pirate d'accéder au réseau d'une entreprise.
Ces principes peuvent être faciles à mettre en œuvre dans un réseau d'entreprise, mais comment s'appliquent-ils au cloud ? Vous pouvez appliquer les mêmes concepts au cloud en faisant passer l'accès par une passerelle de sécurité pour un accès sécurisé avec le moins de privilèges possible. Cependant, il est devenu évident que la mise en œuvre d'une passerelle n'est pas suffisante pour obtenir une confiance zéro dans le cloud. Votre mise en œuvre doit inspecter tout le trafic pour toutes les applications, sinon elle n'offre pas vraiment la confiance zéro.
Pourquoi les entreprises ont-elles besoin d'une confiance zéro dans un environnement cloud ?
La mise en œuvre de la confiance zéro dans un réseau d'entreprise repose sur le contrôle du réseau par l'organisation elle-même. Il détermine les limites à ne pas franchir et applique des contrôles d'accès pour protéger les applications sensibles, telles que celles des centres de données sur place, contre les accès non autorisés et les mouvements latéraux.
Aujourd'hui, il est souvent plus rentable d'héberger une application dans le cloud plutôt que dans un centre de données. En fait, selon IDG, une société de médias technologiques de premier plan, plus de 73 % des entreprises ont maintenant des applications ou des infrastructures dans le cloud.1 Ces environnements cloud, exploités par des fournisseurs de services cloud et des SaaS vendeurs, ne font pas partie du réseau d'une organisation, de sorte que le même type de contrôles de réseau ne s'applique pas.
En conséquence, la plupart des entreprises :
Les applications et les données sont réparties sur plusieurs sites.
Vous perdez de vue :
Qui accède à leurs applications et à leurs données, ou même quels appareils sont utilisés pour y accéder (smartphones, tablettes, ordinateurs portables, etc.), étant donné que la plupart de leurs actifs se trouvent sur des infrastructures tierces.
Comment les données sont utilisées et partagées.
Pour résoudre ces problèmes, les entreprises utilisent souvent diverses technologies d'accès, en fonction de l'endroit où se trouvent leurs actifs. La plupart des entreprises utilisent une combinaison des deux :
Lieu |
Technologie utilisée pour l'accès |
Centres de données sur place |
Accès à distance VPN |
Applications privées (centre de données, cloud hybride) . |
Périmètre défini par logiciel |
Cloud public |
Proxy entrant ou pare-feu virtualisé |
Applications SaaS |
Proxy de la CASB |
Ce mélange de technologies crée une architecture de sécurité fragmentée dans laquelle il est difficile de savoir quelles politiques sont en place pour protéger des données données données dans le cloud. Les environnements cloud sont fondamentalement différents des réseaux traditionnels et évoluent constamment, ce qui signifie que l'approche de la sécurité d'une entreprise doit être à la fois globale et adaptable.
C'est pourquoi 9 professionnels de la cybersécurité sur 10 sont actuellement préoccupés par la sécurité du cloud. Ils déclarent que leurs trois principaux défis sont : la protection contre la perte et la fuite de données (67%), les menaces contre la confidentialité des données (61%) et les atteintes à la confidentialité (53%). Elles sont également confrontées à des problèmes de contrôle de la sécurité, tels que l'obtention d'une visibilité sur la sécurité de l'infrastructure (43 %), la conformité (38 %) et la mise en place de politiques de sécurité cohérentes dans les environnements cloud et sur place (35 %)2.
Pour réussir, les entreprises doivent donc mettre en place une architecture de sécurité unique et unifiée :
Permet aux utilisateurs d'accéder en toute sécurité aux applications et aux données d'une entreprise sur le cloud public, les applications SaaS et le cloud privé/les centres de données.
Il contrôle et limite l'accès à ces actifs et la manière dont ils peuvent être utilisés.
Inspecte le trafic et applique les politiques de sécurité de manière continue.
À mesure que les organisations passent au cloud, il est important d'intégrer la confiance zéro dans la conception de la nouvelle infrastructure cloud. Voici quelques idées pour vous aider à démarrer.
Comment mettre en œuvre la confiance zéro pour le cloud à l'aide d'une méthodologie en 5 étapes
Avant de commencer, il est important de définir les objectifs de votre entreprise pour la mise en œuvre de Zero Trust dans le cloud, ainsi que les résultats commerciaux souhaités.
Étape 1 : Identifiez le type d'applications (par exemple, publiques, privées, SaaS, etc.) et de données (par exemple, confidentielles, sensibles, sans importance) dont dispose votre entreprise, où elles se trouvent et qui y accède et les utilise. Ensuite, définissez votre surface de protection : les données, les applications, les actifs et les services les plus critiques pour votre entreprise.
Étape 2 : Cartographier les flux de transactions (c'est-à-dire la manière dont vos applications fonctionnent réellement).
Étape 3 : Architecturer la nouvelle infrastructure cloud et créer des frontières entre les utilisateurs et les applications.
Étape 4 : Élaborez les politiques de confiance zéro de votre entreprise en fonction de qui doit avoir accès à quoi et appliquez des contrôles d'accès contextuels fondés sur les principes du moindre privilège. Sensibilisez les utilisateurs aux politiques de sécurité de votre entreprise et à ce que l'on attend d'eux lorsqu'ils accèdent aux applications et aux données de votre entreprise dans le cloud et les utilisent.
Étape 5 : Surveillez et maintenez votre environnement de confiance zéro. Il s'agit d'inspecter et d'enregistrer constamment l'ensemble du trafic afin d'identifier les activités inhabituelles et de décider comment rendre les politiques plus sûres. Grâce à la surveillance active, votre surface de protection peut augmenter, ce qui vous permet d'apporter des modifications à l'architecture pour améliorer encore votre sécurité.
Conseils pour l'application de la confiance zéro dans un environnement cloud
Pour faciliter le maintien de la confiance zéro dans le cloud :
Utilisez les mesures de sécurité fournies par le cloud pour mettre en œuvre la confiance zéro dans le cloud.
Offrez aux utilisateurs une expérience sécurisée, cohérente et transparente, quel que soit leur emplacement physique, la manière dont ils souhaitent se connecter ou les applications qu'ils veulent utiliser. Sinon, si l'expérience utilisateur est trop compliquée ou exige trop de changements chaque fois qu'ils travaillent depuis un nouveau lieu ou utilisent une application différente, ils ne l'accepteront pas.
Réduisez la surface d'attaque en limitant l'accès des utilisateurs en fonction du contexte.
Avantages
Voici quelques-uns des avantages que présente le fait de déployer le système Zero Trust pour le cloud :
Meilleure visibilité des données, des actifs et des risques.
Sécurité exhaustive et cohérente.
Rapidité et agilité pour rester à la pointe de l'évolution des technologies.
Réduction des coûts opérationnels et de la complexité.
Plus d'articles sur la confiance zéro :
