Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Les lignes directrices Zero-Trust de la NSA se concentrent sur la segmentation

Republié par Platon
Republié par Platon

Date :

Vues: 139

L'Agence nationale de sécurité américaine (NSA) a publié ses lignes directrices pour sécurité réseau zéro confiance cette semaine, proposant une feuille de route plus concrète vers l’adoption du zéro confiance. Il s'agit d'un effort important pour tenter de combler le fossé entre le désir et la mise en œuvre du concept.

Alors que les entreprises transfèrent davantage de charges de travail vers le cloud, les stratégies informatiques Zero Trust sont passées d’une phase de battage médiatique à un statut d’approche de sécurité essentielle. Mais malgré tout, la notion de «non fiable jusqu'à vérification» tarde encore à s'imposer dans le monde réel (même si dans certaines régions, comme aux Émirats arabes unis,L’adoption du Zero Trust s’accélère).

John Kindervag, qui était le premier à définir le terme « confiance zéro »  en 2010, alors qu'il était analyste chez Forrester Research, a salué la décision de la NSA, notant que « très peu d'organisations ont compris l'importance des contrôles de sécurité réseau dans la création d'environnements zéro confiance, et ce document contribue grandement à aider les organisations à comprendre leurs valeur."

En outre, « cela aidera grandement diverses organisations du monde entier à comprendre plus facilement la valeur des contrôles de sécurité des réseaux et à rendre les environnements de confiance zéro plus faciles à créer et à opérationnaliser », déclare Kindervag, qui a rejoint Illumio l'année dernière en tant qu'évangéliste en chef, où il continue de promouvoir le concept de confiance zéro.

Centres Zero-Trust sur la segmentation du réseau

Le document de la NSA contient de nombreuses recommandations sur les meilleures pratiques Zero Trust, notamment la segmentation du trafic réseau pour empêcher les adversaires de se déplacer sur un réseau et d'accéder aux systèmes critiques.

Le concept n'est pas nouveau : les services informatiques segmentent leur infrastructure réseau d'entreprise depuis des décennies, et Kindervag préconise la segmentation des réseaux depuis son premier rapport Forrester, dans lequel il déclare que "tous les futurs réseaux doivent être segmentés par défaut".

Cependant, comme le disent Carlos Rivera et Heath Mullins de Forrester Research dans leur propre rapport de l'automne dernier, « aucune solution unique ne peut fournir toutes les fonctionnalités nécessaires à une architecture Zero Trust efficace. Il est révolu le temps où les entreprises vivaient et opéraient dans les limites d’une défense de réseau traditionnelle basée sur un périmètre.

À l'ère du cloud, le Zero Trust est exponentiellement plus complexe atteindre qu'elle ne l'était autrefois. C'est peut-être la raison pour laquelle moins d'un tiers des personnes interrogées dans le cadre de l'enquête d'Akamai Rapport 2023 sur l’état de la segmentation de l'automne dernier se sont segmentés dans plus de deux domaines d'activité critiques au cours de l'année écoulée.

Pour atténuer un peu ce problème, la NSA explique comment les contrôles de segmentation du réseau peuvent être effectués à travers une série d'étapes, notamment la cartographie et la compréhension des flux de données, ainsi que la mise en œuvre de mise en réseau définie par logiciel (SDN). Chaque étape nécessitera beaucoup de temps et d’efforts pour comprendre quelles parties d’un réseau d’entreprise sont à risque et comment les protéger au mieux.

« La chose importante à garder à l'esprit avec la confiance zéro est qu'il s'agit d'un parcours et quelque chose qui doit être mis en œuvre en utilisant une approche méthodique », prévient Garrett Weber, directeur technique sur le terrain de l'Enterprise Security Group chez Akamai.

Weber note également qu'il y a eu un changement dans les stratégies de segmentation. « Jusqu'à récemment, le déploiement de la segmentation était trop difficile à réaliser uniquement avec du matériel », explique-t-il. « Maintenant, avec le passage à la segmentation logicielle, nous voyons les organisations être en mesure d'atteindre leurs objectifs de segmentation beaucoup plus facilement et plus efficacement. »

Aller plus loin avec la micro-segmentation des réseaux

Le document de la NSA fait également la distinction entre la segmentation des macro et micro-réseaux. Le premier contrôle le trafic circulant entre les départements ou les groupes de travail, de sorte qu'un informaticien n'a pas accès aux serveurs et aux données des ressources humaines, par exemple.

La micro-segmentation sépare davantage le trafic, de sorte que tous les employés ne disposent pas des mêmes droits d'accès aux données, sauf si cela est explicitement requis. « Cela implique d'isoler les utilisateurs, les applications ou les flux de travail dans des segments de réseau individuels afin de réduire davantage la surface d'attaque et de limiter l'impact en cas de violation », selon le rapport d'Akamai.

Les responsables de la sécurité « devraient prendre des mesures pour utiliser la micro-segmentation pour se concentrer sur leurs applications, afin de garantir que les attaquants ne puissent pas contourner les contrôles en renverser l'authentification unique lors de l'accès, en utilisant des comptes chargés parallèlement ou en trouvant des moyens d'exposer les données à des utilisateurs externes », explique Brian Soby, CTO et co-fondateur d'AppOmni.

Cela permet de définir les contrôles de sécurité en fonction de ce qui est nécessaire pour chaque flux de travail particulier, comme l'explique le rapport d'Akamai. « La segmentation est une bonne chose, mais la micro-segmentation est meilleure », déclarent les auteurs.

Il s'agit peut-être d'une entreprise complexe, mais le fruit en vaut la peine : dans le rapport d'Akamai, les chercheurs ont constaté que « la persévérance porte ses fruits. La segmentation s'est avérée avoir un effet transformateur sur la défense de ceux qui avaient segmenté la plupart de leurs actifs critiques, leur permettant d'atténuer et de contenir les ransomwares 11 heures plus rapidement que ceux qui n'avaient segmenté qu'un seul actif.

Kindervag prône toujours le zéro confiance. Une partie de son attrait et de sa longévité tient au fait qu'il s'agit d'un concept simple à comprendre : les personnes et les points finaux n'ont pas accès aux services, applications, données, cloud ou fichiers à moins qu'ils ne prouvent qu'ils sont autorisés à le faire - et même dans ce cas, l'accès n'est accordé que pour la durée nécessaire.

« La confiance est une émotion humaine », a-t-il déclaré. "Les gens ne l'ont pas compris lorsque je l'ai proposé pour la première fois, mais il s'agit avant tout de gérer le danger, plutôt que de prendre des risques et de boucher les failles de votre sécurité."

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.