Sécurité : Google abandonne l’approche périmétrique
Régulièrement présentée comme obsolète par les experts, l’approche périmètrique de la sécurité continue d’être largement utilisée. Mais Google a décidé d’y renoncer.
Les experts en sécurité le répètent à l’envi : la sécurité périmétrique a fait son temps. Non pas qu’il faille ouvrir son système d’information à tous les vents, mais une approche en profondeur de la sécurité est devenue indispensable. Dans la pratique, toutefois, rares sont les entreprises ayant réellement entrepris de refondre ainsi la sécurité de leur SI.
Google fait alors figure d’exemple. Le géant du Web a en effet adopté une stratégie baptisée BeyondCorp et qui prend acte des nouveaux défis de la sécurité informatique. Synthétisant cette approche, Rory Ward et Betsy Beyer expliquent, dans un document de présentation du projet, que le modèle périmétrique « est problématique parce que, lorsqu’une brèche a été ouverte dans le périmètre, un attaquant peut aisément accéder à un intranet à privilèges de l’entreprise ». Surtout, « alors que les entreprises adoptent les technologies Cloud et de la mobilité, le périmètre devient de plus en plus difficile à sécuriser ». Dès lors, BeyondCorp se concentre sur des contrôles en continu, à tous les niveaux de l’infrastructure.
Il s’agit ainsi tout d’abord de contrôler l’identité des terminaux qui cherchent à accéder aux ressources : « seuls les terminaux administrés peuvent accéder aux applications corporate ». Le pilier de cette approche est là l’actualisation en continu d’une base d’inventaire de ces terminaux. Leur identité est contrôlée via un certificat stocké soit dans un module TPM, soit dans un espace de stockage qualifié. Les certificats sont régulièrement renouvelés.
Vient ensuite le contrôle de l’utilisateur, ici « étroitement intégré avec les processus RH de Google pour gérer les rôles, les noms d’utilisateur et l’appartenance aux groupes ». L’identité est contrôlée via un processus d’authentification à facteurs multiples – via des jetons à durée de vie limitée – supportant le SSO.
Le réseau est ensuite pris en compte, avec le déploiement d’un réseau banalisé connecté à Internet et à des outils de contrôle des configurations : « tous les clients sont assignés à ce réseau » ; une liste de contrôle d’accès verrouille les connexions avec les autres parties du réseau de Google. Les accès au réseau sont quant à eux contrôlés par authentification 802.1x ; le serveur Radius gère la connexion au VLAN approprié en fonction du terminal. Et cela se fait en fonction d’un niveau de confiance défini en fonction de plusieurs paramètres, comme le type de terminal ou encore sa localisation géographique.
Les applications internes restent confinées dans leur environnement, mais elles sont exposées sur Internet via des proxys qui « appliquent le chiffrement entre le client et l’application ». Ces proxy assurent également des fonctions d’équilibrage de charge, de contrôle d’accès, de suivi de la performance des applications, et de protection contre les dénis de service.
L’initiative BeyondCorp n’est pas encore complètement déployée. Google migre progressivement, limitant ainsi au passage le recours au traditionnel VPN. Dans leur document de présentation daté de décembre dernier, Rory Ward et Betsy Beyer expliquent que « la majorité des workflows concernés sont déjà qualifiés. Nos outils et notre stratégie de migration nous permettent de migrer les utilisateurs, terminaux et workflows vers BeyondCorp, pro-activement, sans affecter la productivité au quotidien ». Pour autant, le groupe anticipe « une longue série de workflows qui prendront du temps à migrer », notamment pour les applications client lourd utilisant des protocoles propriétaires.