Alex - Fotolia
L’accès réseau sans confiance, un premier pas vers le SASE
La sortie du modèle centralisé de l’IT des entreprises est engagée. Alors que les utilisateurs sortent de plus en plus du périmètre, l’accès réseau sans confiance s’impose graduellement comme une alternative au VPN. De quoi s’engager dans une démarche SASE.
Jay Chaudhry, fondateur de Zscaler, ne pourrait pas réfuter de telles affirmations : alors que les utilisateurs sortent à leur tour du périmètre de l’entreprise, suivant ainsi un nombre toujours croissant d’applications, l’heure n’est plus tant au VPN qu’à l’accès réseau sans confiance (ZTNA, zero-trust network access), conçu pour et par le cloud.
Il nous l’expliquait dans un entretien en 2017 : « le cloud change fondamentalement la manière dont l’IT et la sécurité sont réalisés. Au cours des 25 ou 30 dernières années, nous sommes partis de l’idée que les utilisateurs doivent être connectés au réseau, de même que les serveurs et les applications. Et le réseau est protégé. C’est l’approche du château fort. Un mur est construit autour du réseau, avec des équipements tels que pare-feu, proxy, etc. Dans le monde du cloud, les applications sont déplacées ou en mode SaaS. Les utilisateurs sont partout. Et ils se connectent en 4G, sur leur connexion haut débit, etc. Chercher à protéger un réseau que l’on ne contrôle même pas n’est plus pertinent ».
Pour et par le cloud
Et d’enfoncer le clou : « peu importe où se trouve l’utilisateur ; peu importe quel terminal il utilise ; il doit être en mesure d’accéder à une application. Et pour cela, il faut un contrôle d’accès et un moteur de gestion des politiques en mode cloud. Et c’est ce que nous faisons. Internet est le nouveau réseau, et on ne le contrôle plus ».
Steve Riley, Lawrence Orans, Neil MacDonaldAnalystes Gartner
Dans un guide publié à l’été 2020, les analystes de Gartner Steve Riley, Lawrence Orans, et Neil MacDonald ne disent pas autre chose : « les utilisateurs et les applications sont déjà dans le cloud. Ainsi, les capacités d’accès sécurisé doivent également évoluer vers une fourniture en mode cloud. Beaucoup de produits de ZTNA sont basés sur le cloud ».
L’approche est d’autant plus importante que, remarquent-ils, « le ZTNA fournit un accès adaptatif, précis et basé sur l’identité ». La suppression de l’emplacement dans le réseau comme critère de choix pour l’octroi de droits d’accès « élimine une confiance implicite excessive, au profit d’une confiance explicite basée sur l’identité ».
S’inscrire dans une démarche stratégique
En outre, soulignent les analystes, « le ZTNA améliore la flexibilité, l’agilité et l’élasticité de l’accès applicatif ». Dans la pratique, il n’est pas encore question de renoncer complètement au VPN. Mais le cabinet ne manque pas de recommander le ZTNA en mode cloud lorsque le VPN « rencontre des limitations en capacité ou bande passante du fait d’effectifs fortement distants ». Et de suggérer une approche graduelle, en commençant par les utilisateurs qui n’ont pas besoin d’un accès réseau à distance complet : « cela réduit le besoin de support pour des agents VPN largement déployés, et introduit un accès sans agent basé sur l’identité et le terminal ».
Mais pas question de se lancer sans une certaine réflexion. Tout d’abord, les analystes de Gartner recommandent, sans trop de surprise, de choisir une solution pouvant s’intégrer pleinement avec des produits d’authentification à facteurs multiples (MFA). Mais ils conseillent également de miser surtout sur un fournisseur proposant une offre en phase avec la stratégie SASE de son entreprise, afin de pouvoir commencer déjà à préparer l’avenir.
Deux approches distinctes
Mais tous les produits ZTNA ne suivent pas la même approche, et les analystes de Gartner en distinguent deux. La première suit de près les recommandations de la Cloud Security Alliance (CSA) pour le concept de périmètre à définition logicielle. Là, un agent installé localement fournit des informations sur sa posture de sécurité à un contrôleur. Celui-ci demande à l’utilisateur de s’authentifier, puis renvoie une liste d’applications autorisées. Le contrôleur se charge ensuite de provisionner la connexion entre le terminal et une passerelle qui s’interpose entre les applications et Internet. Outre l’agent local, un composant de sécurité unifiée du terminal peut fournir les informations de contexte de sécurité.
Dans la seconde approche, que les analystes décrivent comme plus proche de la vision BeyondCorp de Google, « un connecteur est installé sur le même réseau que l’application, et établit et maintient la connexion sortante ». Là, l’utilisateur s’authentifie et son identité est validée auprès d’un fournisseur d’identités. Ce n’est que si ce processus réussit que le trafic peut être établi au travers du cloud du fournisseur. Mais là encore, les applications sont isolées d’Internet par un proxy. Dans cette approche, aucun agent local n’est requis. Mais toutes les communications sont basées sur HTTPS, ce qui peut fermer l’accès à certains services. En outre, comme le relèvent les analystes, « le réseau du fournisseur devient un élément supplémentaire de la sécurité réseau à évaluer ».
Des risques résiduels
Sur le papier, les promesses du ZTNA sont nombreuses et alléchantes, quelle que soit l’approche. Mais il n’en reste pas moins des risques qu’il convient de ne pas occulter, et que ne manquent pas de mettre en exergue les analystes de Gartner.
Steve Riley, Lawrence Orans, Neil MacDonaldAnalystes Gartner
Et cela commence par un courtier de confiance, un élément névralgique : « des applications pleinement isolées passant par un service ZTNA vont cesser de fonctionner si ce service tombe ». D’où la nécessité d’une redondance physique et géographique. Et l’on touche là au second point : la localisation des points de présence (POP), susceptible d’introduire de la latence. Ces POPs doivent être suffisamment nombreux et bien répartis pour l’éviter.
Mais la disponibilité n’est pas le seul risque : il faut aussi tenir compte de celui d’une attaque et d’une compromission. « Des attaquants pourraient essayer de compromettre un courtier de confiance », soulignent les analystes. Et dans une telle hypothèse, le fournisseur du service doit avoir des mécanismes ad hoc : transfert du courtier compromis à un autre, ou arrêt immédiat, voire déconnexion d’Internet.
Un marché dynamique
À l’heure du choix d’un fournisseur, Gartner souligne que le marché est encore jeune, sujet à disparition d’acteurs ou de rachats. Et cela d’autant plus alors que les fournisseurs cherchant à construire leur offre SASE intégrée ne manquent pas.
De fait, Palo Alto Networks et VMware ont commencé à construire leur offre à force de rachats. Mais cela vaut également pour Symantec, McAfee, Cisco, Forcepoint, ou encore tout récemment Barracuda Networks, avec le rachat de Fyde. Et ce n’est probablement pas fini.