Software Defined Network - SECURITÉ

Software Defined Network

04.12.2020
Hubert Rémond, Senior Consultant

Après les deux premiers articles de cette série consacrée au SDN, d'abord comme concept global, puis dans un second temps appliqué au réseau "Campus", je vous propose cette fois ci un focus sur la sécurité, autour du concept d'architecture "Zero Trust".

La cybersécurité est un domaine en permanente évolution, qui voit apparaitre aujourd'hui certains changements radicaux qui modifie en profondeur son approche. En effet, l'utilisation grandissante du Cloud (public ou privé) pour héberger des ressources et des applications, ainsi que la mobilité grandissante des employées (i.e. travail à distance) challenge la notion de périmètre interne d'une infrastructure informatique. En effet, celle-ci devient de moins en moins "on-prem" et de plus en plus distribué, hors des murs de l’entreprise et surtout hors du contrôle direct des équipes informatiques. La surface d’attaque devient donc bien plus importante et difficile à gérer.

Les outils utilisés jusqu'à présents (i.e. Pare-Feu, IDS, Proxy) ne répondent plus à ces nouveaux environnements décentralisés et l'augmentation des attaques via des menaces internes (voir ici ou encore là) nous prouve qu'on ne peut plus faire confiance par défaut à tout ce qui se trouve sur le réseau interne.

Il faut désormais adopter une nouvelle philosophie pour garantir la sécurité et la confidentialité des données.

C'est dans ce contexte qu'est apparu le concept de « Zero Trust » (défini pour la première fois par Forrester en 2010), qui est aujourd'hui en plein essor. La philosophie du « Zero Trust » pourrait être résumée par ces quatre mots : « Never Trust, Always Verify ».

Le « Zero Trust » va donc à l'inverse de la philosophie "Trust but Verify" longtemps en vigueur dans la cybersécurité, mais qui s'est retrouvé être une génératrice d'alertes à tout va (qui plus est pas toujours pertinentes) finissant souvent par submerger les équipes et noyer les réelles alertes dans la masse de faux-positifs.

Avec le Zero Trust, on va chercher en permanence à vérifier qui cherche à accéder à quoi et dans quel contexte. Cette vérification peut se faire en plusieurs endroits sur l'infrastructure :

  • Sur l'accès au réseau physique avec des solutions NAC, afin de n'avoir sur son réseau uniquement des personnes/devices authentifiées et autorisées.
  • Sur l'accès aux applications même : on parle alors de Zero Trust Access (ZTA). Basé sur le canevas Software Defined Perimeter  développé par la Cloud Security Alliance, ZTA vient compléter et alléger une solution VPN classique en contrôlant l'accès aux ressources (on-prem ou dans le cloud) et en ne rendant visible que les ressources auxquelles l'employée a le droit d'accéder (principe du Dark Cloud). L'authentification et l'autorisation se fait ressource par ressource, au lieu de donner un accès à tout, comme avec une solution VPN classique.
  • On peut également coupler NAC et ZTA avec une solution MFA (Multi-Factor Auth) afin d'avoir une double vérification de l’identité de la personne.

On peut également pousser ce concept de Zero Trust encore plus loin, en mettant également en place les solutions suivantes :

  • Secure Web Gateway : on protège les utilisateurs contre les menaces lié au trafic Web (4 des 5 principales menaces sont lié au web en 2019/2020) en analysant et filtrant aussi bien les requêtes DNS que le trafic Web à proprement parlé, ce qui peut s'avérer particulièrement intéressant quand les employées sont à domicile et non connecté au VPN par exemple.
  • Endpoint Detection and Remediation : on installe sur le poste de travail du collaborateur/trice un agent qui va analyser le comportement de celui-ci et alerter en cas de comportement suspect (i.e. document cachant un malware).
  • Usage de services (type collaboration) garantissant la sécurité et la confidentialité des données (i.e. solutions certifiées ISO27001)

On peut donc voir que le Zero Trust est avant tout un changement d'état d'esprit sur la manière d'aborder la sécurité et l'accès aux ressources dans l'entreprise. SPIE, en tant qu'intégrateur IT majeur, est au-devant de ces changements et nous pouvons vous accompagner pour réaliser cette transition importante. N’hésitez pas à nous contacter !

 

Software Defined Network - SECURITÉ
back to panels