Des solutions VPN en décalage avec les usages actuels
Couramment utilisés pour permettre un accès sécurisé aux ressources internes de l’entreprise, les réseaux privés virtuels (VPN) présentent des inconvénients désormais bien identifiés. Problèmes de sécurité liés au chiffrement, à l’authentification et aux autorisations, accès des utilisateurs à des ressources auxquelles ils n’ont pas réellement besoin d’accéder… « Cette situation crée des risques de mouvements latéraux dans les datacenters et ouvre la voie à de potentielles attaques » explique Frédéric Coustance.
Mais au-delà des aspects techniques, le VPN ne correspond plus à la manière hybride dont les entreprises travaillent aujourd’hui. « L'abandon progressif du protocole MPLS au profit d'Internet pour les réseaux d'entreprise ainsi que la migration des applications des datacenters on premise vers le cloud ont bousculé plus de 20 ans d’architecture réseau »poursuit le Sales Specialist. Les entreprises ont dû revoir leurs stratégies de connectivité et de sécurité pour s'adapter à un contexte où les utilisateurs accèdent aux ressources via Internet à partir de n'importe où. Le SASE (Secure Access Service Edge) a émergé comme une solution pour répondre à ces nouveaux usages, offrant à la fois une connectivité réseau agile grâce au SD-WAN et des fonctionnalités de sécurité avancées avec le SSE. Basé sur le principe du Zero Trust, dont la philosophie consiste à supprimer systématiquement toute confiance accordée à priori, le ZTNA est une composante clé du SSE : il désigne les mécanismes et les technologies permettant de mettre en œuvre cette approche zero trust pour l’accès à distance aux applications.
Le ZTNA pour un modèle adaptatif de confiance
Particulièrement adaptée aux entreprises ayant recours auxservices cloud, aux applications SaaS et au télétravail, l’approche ZTNA combe les lacunes des VPN en fonctionnant sur un modèle où la confiance n’est jamais implicite, et où l’accès est accordé selon le principe du moindre privilège. « Contrairement au VPN traditionnel, le ZTNA n'accorde plus aux utilisateurs un accès intégral au datacenter mais uniquement aux ressources nécessaires à leur travail, réduisant ainsi la surface d'attaque » précise Frédéric Coustance.
En outre, le ZTNA permet une segmentation granulaire, de sorte que même les utilisateurs autorisés n'ont accès qu'à certaines parties du réseau, en fonction de leur rôle et de leurs autorisations – ce qui réduit les risques de propagation des menaces à l'intérieur du réseau.
Des méthodes d’authentification renforcée (authentification à deux facteurs), de chiffrement de bout en bout et de pare-feu de nouvelle génération viennent renforcer la pertinence du ZTNA, qui reste un composant du modèle de sécurité SASE. A noter également que le ZTNA sécurise l’accès aux ressources depuis n'importe quel endroit, en contournant les limitations géographiques ou de réseau qui peuvent être associées aux VPN traditionnels.
Du VPN au ZTNA : 9 étapes pour effectuer votre transition en douceur
« Chez Aruba, nous sommes conscients que la migration d’une solution VPN vers une solution ZTNA implique certains efforts et une véritable montée en compétences » nous a confié Frédéric Coustance. Sans chercher à être exhaustif, voici quelques étapes qui jalonneront votre projet :
1. Qualifiez vos besoins SASE, SD-WAN et SSE : Avant de lancer toute modification significative de l'infrastructure réseau et de sécurité, il est essentiel de comprendre les besoins spécifiques de chaque domaine. Certaines organisations peuvent avoir un besoin accru de fonctionnalités SD-WAN pour une gestion et une optimisation du trafic réseau améliorées, tandis que d'autres peuvent nécessiter davantage de fonctionnalités de sécurité pour protéger les données et les utilisateurs. La première étape consiste donc à bien définir vos besoins.
2. Cartographiez votre réseau et vos applications : Cette cartographie implique d’identifier où se trouvent vos ressources, comment elles sont accessibles, et comment le trafic circule à travers votre infrastructure. Cette étape contribue à visualiser la topologie de votre réseau.
3. Listez les cas d'usage : Identifiez les scénarios d'utilisation essentiels pour votre entreprise. Il peut s'agir de besoins particuliers en matière de connectivité ou de sécurité, en fonction de vos opérations et de vos objectifs.
4. Identifiez les populations d’utilisateurs : Comprenez qui sont les utilisateurs de votre réseau, où ils se trouvent, comment ils accèdent aux applications, et quelles sont leurs exigences spécifiques.
5. Anticipez les évolutions : Tenez compte des futurs changements potentiels dans votre organisation, tels que des fusions et acquisitions, la vente de filiales, le lancement de nouveaux produits ou l'adoption d'ERP dans le cloud, par exemple. Ces facteurs influenceront vos besoins en réseau et en sécurité.
6. Appliquez la cartographie et les cas d'usage au framework SASE : Utilisez la cartographie du réseau, les cas d'usage et les besoins spécifiques pour déterminer comment le framework SASE peut répondre à vos exigences en matière de connectivité et de sécurité.
7. Distinguez les besoins en SD-WAN et SSE : Une fois que vous avez appliqué votre cartographie et vos cas d'usage au framework SASE, vous pourrez mieux cerner quels aspects de SD-WAN et de SSE sont les plus appropriés pour répondre à vos besoins.
8. Adoptez une approche pragmatique du Zero Trust : Priorisez les domaines les plus critiques pour le déploiementde l’approche ZTNA. Les utilisateurs nomades, tels que les télétravailleurs, sont souvent la porte d'entrée d’une telleapproche, car ils se connectent depuis diverses sources et nécessitent un haut niveau de sécurité.
9. Déployez sans big bang : Votre migration vers la solution ZTNA se fera nécessairement par étapes, avec une mise en place progressive des politiques d’accès. Logiquement, la politique zero trust sera déployée pour les applications et utilisateurs à haut risque en priorité, avant d’être généralisée service par service. Ainsi, les solutions VPN et ZTNA peuvent cohabiter dans un premier temps. HPE Aruba Networkingoffre d’ailleurs la possibilité de configurer le ZTNA comme une solution VPN, puis d’améliorer la configuration progressivement, au fil de la montée en compétence des équipes, pour se diriger en douceur vers une véritable solution ZTNA.