Qu'est-ce que BeyondCorp?
BeyondCorp® est une architecture de cybersécurité développée chez Google qui déplace le contrôle d'accès du périmètre traditionnel du réseau vers les appareils et les utilisateurs individuels. L'objectif est de permettre aux utilisateurs de travailler en toute sécurité à tout moment, en tout lieu et sur n'importe quel appareil sans avoir à utiliser un réseau privé virtuel, ou VPN, pour accéder aux ressources d'une organisation.
Pourquoi les organisations utilisent-elles BeyondCorp ?
Il y a quelques années, les organisations conservaient toutes leurs applications et leurs données dans des centres de données sur site. Le modèle de sécurité qu'ils utilisaient reposait sur l'idée que tout ce qui était mauvais se trouvait à l'extérieur du périmètre et que tout ce qui se trouvait à l'intérieur était digne de confiance. Cependant, les attaquants qui ont contourné les protections périmétriques ont pu progresser rapidement vers les objectifs grâce à des mouvements latéraux, en rencontrant peu de protocoles de protection.
BeyondCorp a vu le jour en posant la question suivante : "Comment concevriez-vous votre sécurité si rien n'était fiable ?". En d'autres termes, comment protégeriez-vous vos applications si votre réseau interne était aussi peu fiable qu'un réseau public ?
Cela a incité de nombreuses organisations à repenser complètement leur approche de la sécurité et à chercher de nouveaux moyens d'appliquer de manière cohérente les politiques de sécurité dans des environnements multiples et disparates, tels que les centres de données sur place ; les services cloud, tels que Google Cloud Platform (GCP™), Amazon Web Services (AWS®) et Microsoft Azure® ; les applications logicielles en tant que service, telles que Box.com et Office 365® ; et d'autres encore.
Comment fonctionne BeyondCorp
Les deux principes les plus importants de BeyondCorp sont les suivants :
Contrôler l'accès au réseau et aux applications : Dans BeyondCorp, toutes les décisions concernant l'accès d'une personne ou d'un appareil à un réseau sont prises par l'intermédiaire d'un moteur de contrôle d'accès. Ce moteur se place devant chaque demande de réseau et applique des règles et des politiques d'accès basées sur le contexte de chaque demande - comme l'identité de l'utilisateur, les informations sur l'appareil et l'emplacement - et la quantité de données sensibles dans une application. Il offre aux organisations un moyen automatisé et évolutif de vérifier l'identité d'un utilisateur, de confirmer qu'il s'agit d'un utilisateur autorisé et d'appliquer des règles et des politiques d'accès. Toutefois, le contrôle d'accès ne suffit pas à lui seul à garantir une sécurité efficace.
Visibilité : Une fois qu'un utilisateur a accès au réseau ou aux applications d'une organisation, celle-ci doit constamment visualiser et inspecter l'ensemble du trafic afin d'identifier toute activité non autorisée ou tout contenu malveillant. Sinon, un pirate peut facilement se déplacer au sein du réseau et prendre toutes les données qu'il souhaite sans que personne ne le sache.
Comment BeyondCorp se situe par rapport à la confiance zéro
Nombreux sont ceux qui connaissent le Zero Trust, un modèle de sécurité informatique qui supprime le concept de confiance d'un réseau afin qu'une organisation puisse mieux protéger ses actifs. Avec la confiance zéro etla confiance zéro pour le cloud, tout le monde - qu'il soit à l'intérieur ou à l'extérieur d'une organisation donnée - est exigé de passer par plusieurs étapes de sécurité (telles que définies par Forrester Research, un cabinet de conseil de premier plan) :
Permettre aux utilisateurs d'accéder en toute sécurité à toutes les ressources, quel que soit l'endroit où ils se trouvent
Utilisez une stratégie de moindre privilège et appliquez strictement le contrôle d'accès.
Inspecter et enregistrer tout le trafic
BeyondCorp fournit les bases d'une mise en œuvre de la confiance zéro. Le troisième élément - l'inspection et la journalisation de l'ensemble du trafic - joue un rôle important dans l'établissement de la confiance zéro, car il ne faut pas présumer que tout le trafic provenant d'un terminal est digne de confiance ou sûr pour les données. Pour cette raison, les organisations qui mettent en œuvre BeyondCorp devraient également envisager de mettre en œuvre les principes de zéro confiance pour réduire davantage les risques.
