SDP VS VPN : QU’EST-CE QUE LE SDP ET POURQUOI EST-CE UNE MEILLEURE SOLUTION D’ACCÈS SÉCURISÉ ?

SDP vs VPN : les lacunes de la technologie VPN

Les VPN n’ont pas Ă©tĂ© conçus pour ĂȘtre utilisĂ©s pour sĂ©curiser une infrastructure informatique hybride ou une main-d’Ɠuvre hybride et ont largement dĂ©passĂ© leur apogĂ©e. En fait, plusieurs agences gouvernementales amĂ©ricaines, y compris la National Security Agency (NSA), ont émis des avertissements sur les lacunes du VPN. Ensuite, il y a « les maux de tĂȘte » de l’administration parce que les VPN ne peuvent Ă©voluer qu’avec plus de matĂ©riel (physique ou virtuel), ce qui signifie un investissement majeur en capital et en temps.

Les lacunes supplémentaires du VPN incluent :

  • Ports exposĂ©s : les acteurs de la menace peuvent utiliser des outils de piratage courants pour trouver et interroger facilement les VPN afin de dĂ©couvrir le fabricant et la version
  • AccĂšs surprivilĂ©gié : les VPN dĂ©pendent de rĂšgles trop complexes pour empĂȘcher les mouvements latĂ©raux
  • IncapacitĂ© Ă  Ă©voluer dynamiquement : les VPN doivent ĂȘtre architecturĂ©s pour accueillir un certain volume d’utilisateurs distants et ne peuvent pas Ă©voluer dynamiquement pour gĂ©rer les fluctuations des utilisateurs
  • DĂ©bit limité : un VPN typique atteint un maximum infĂ©rieur Ă  1 Gbit/s, ce qui ajoute des coĂ»ts et une complexitĂ© supplĂ©mentaires
  • Architecture centralisĂ©e: les utilisateurs accĂ©dant aux VPN sont acheminĂ©s vers des destinations backend sur un rĂ©seau Ă©tendu (WAN) 
 ce qui ajoute des problĂšmes de latence et de performances, frustre les utilisateurs et crĂ©e des dĂ©pendances de routage compliquĂ©es.

 

Le pĂ©rimĂštre dĂ©fini par logiciel (SDP), est un terme utilisĂ© de maniĂšre interchangeable avec l’accĂšs rĂ©seau Zero Trust (ZTNA). Non seulement le SDP simplifie et renforce la sĂ©curitĂ© de l’accĂšs Ă  distance, mais il peut Ă©galement ĂȘtre appliquĂ© Ă  tous les cas d’utilisation de l’accĂšs sĂ©curisĂ© de l’entreprise, y compris toutes les connexions d’utilisateur Ă  ressource et de ressource Ă  ressource.

SDP vs VPN : Introduction

Les entreprises utilisent un VPN (rĂ©seau privĂ© virtuel) pour connecter les employĂ©s travaillant Ă  distance au rĂ©seau privĂ© interne de l’entreprise via un « tunnel » chiffrĂ© entre les appareils des employĂ©s et le rĂ©seau. Avec un VPN, les utilisateurs distants peuvent accĂ©der aux ressources comme s’ils Ă©taient au bureau. Cependant, le VPN est construit sur un modĂšle de sĂ©curitĂ© obsolĂšte «  de se connecter d’abord, authentifier ensuite ». Cela nĂ©cessite des ports ouverts Ă  l’écoute des connexions entrantes qui peuvent ĂȘtre facilement trouvĂ©es pendant la phase de reconnaissance d’un attaquant. Les VPN s’appuient sur des mesures d’authentification mĂ©diocres telles que des mots de passe souvent faibles, rĂ©utilisĂ©s et facilement exploitables par ingĂ©nierie sociale, force brute ou disponibles Ă  l’achat. En outre, la segmentation Ă  l’aide d’un VPN est excessivement complexe et conduit souvent Ă  un accĂšs ouvert et surprivilĂ©giĂ©, propice aux mouvements latĂ©raux non autorisĂ©s. Enfin, la technologie VPN est liĂ©e au matĂ©riel et statique, ce qui en fait un casse-tĂȘte en silo dans les environnements informatiques dynamiques et en Ă©volution rapide.

Le SDP dĂ©centralise les contrĂŽles de sĂ©curitĂ© et les dĂ©place de la couche rĂ©seau vers la couche application, crĂ©ant ainsi dynamiquement des connexions individuelles entre les utilisateurs et les ressources auxquelles ils accĂšdent. Le pĂ©rimĂštre dĂ©fini par logiciel et le ZTNA ( Zeto Trust Network Acces). Il est construits sur un modĂšle Zero Trust Ă©prouvé et plus sĂ©curisé « authentifier d’abord, connecter ensuite » qui crĂ©e des pĂ©rimĂštres individualisĂ©s pour chaque utilisateur, permettant un contrĂŽle d’accĂšs plus prĂ©cis. L’architecture dĂ©finie par logiciel et l’approche pilotĂ©e par API ouvrent un potentiel majeur d’automatisation et d’évolutivitĂ© dans les environnements informatiques dynamiques d’aujourd’hui.

SDP vs VPN : Comment fonctionne le SDP ?

Tout d’abord, familiarisons-nous avec les composants de base de l’architecture du pĂ©rimĂštre dĂ©fini par logiciel (SDP). Il est important de noter que les meilleures solutions SDP peuvent ĂȘtre dĂ©ployĂ©es via un modĂšle de livraison basĂ© sur le cloud ou auto-hĂ©bergĂ©es, selon les prĂ©fĂ©rences de l’entreprise.

  • ContrĂŽleurs : le contrĂŽleur est le cerveau du systĂšme. Il dĂ©finit les politiques de sĂ©curitĂ© en vĂ©rifiant la confiance Ă  l’aide de donnĂ©es d’identitĂ©, de contexte et de risque, ce qui accorde ensuite les droits appropriĂ©s.
  • Passerelles: C’est lĂ  que les stratĂ©gies du contrĂŽleur sont appliquĂ©es et se trouvent lĂ  oĂč les ressources doivent ĂȘtre protĂ©gĂ©es.
  • Clients: les clients sont ce avec quoi les utilisateurs finaux interagissent pour Ă©tablir d’abord la confiance via le contrĂŽleur, puis se connecter Ă  leurs ressources de confiance avec les droits appropriĂ©s.

Il est important de noter que le contrĂŽleur et la passerelle sont complĂštement masquĂ©s des regards indiscrets Ă  l’aide d’une technologie appelĂ©e autorisation par paquet unique (SPA). Cela signifie qu’il n’y a pas de ports visibles tant qu’un utilisateur n’a pas Ă©tĂ© authentifiĂ©, approuvĂ© et qu’un droit lui a Ă©tĂ© accordĂ©. À l’aide de SPA, le contrĂŽleur authentifie un utilisateur ou un appareil auprĂšs d’un fournisseur d’identitĂ© pour valider les droits et vĂ©rifie en outre le contexte entourant la demande en utilisant la notation des risques comme critĂšre pour Ă©tablir, limiter ou rĂ©voquer l’accĂšs.  Une fois la confiance Ă©tablie, et Ă  l’aide de SPA, le contrĂŽleur fournit un droit en direct au client, puis la passerelle pour accĂ©der aux bonnes ressources. C’est ce qu’on appelle un droit rĂ©el, car si le contexte ou le risque change, les droits peuvent s’ajuster en temps rĂ©el.  La passerelle valide ensuite que le jeton attribuĂ© n’a pas Ă©tĂ© falsifiĂ© et gĂ©nĂšre un segment de un, ce qui signifie que l’utilisateur/pĂ©riphĂ©rique a accĂšs aux ressources spĂ©cifiques auxquelles un accĂšs approuvĂ© lui a Ă©tĂ© accordĂ©. Tout le reste reste invisible.

SDP vs VPN : la sécurité Zero Trust et sa relation avec SDP

Ces derniĂšres annĂ©es, la sĂ©curitĂ© Zero Trust est devenue une approche populaire de la sĂ©curité des donnĂ©es, pour une bonne raison. Les solutions de sĂ©curitĂ© traditionnelles telles que les VPN supposent que tous les appareils d’un rĂ©seau sont fiables. Cependant, cela ne peut plus ĂȘtre le cas dans le monde connectĂ© d’aujourd’hui. La sĂ©curitĂ© Zero Trust basĂ©e sur le principe de l’accĂšs au moindre privilĂšge adopte une position « par dĂ©faut, refuse » et suppose que tous les appareils ne sont pas fiables jusqu’à preuve du contraire. L’accĂšs rĂ©seau Zero Trust et une architecture SDP sont spĂ©cialement conçus pour appliquer les principes de Zero Trust, offrant aux entreprises les avantages de sĂ©curitĂ© suivants :

  1. Toutes les ressources sont invisibles pour les personnes non authentifiées et non autorisées
  2. L’identitĂ©, le contexte, la posture de risque des appareils et la tĂ©lĂ©mĂ©trie des risques provenant de systĂšmes intĂ©grĂ©s tels que les plates-formes de renseignement sur les menaces et les solutions Endpoint Protection garantissent que les utilisateurs et les appareils appropriĂ©s entrent dans votre rĂ©seau.
  3. L’accĂšs sĂ©curisĂ© juste-Ă -temps est fourni lorsque la confiance est vĂ©rifiĂ©e et est limitĂ© Ă  des ressources segmentĂ©es basĂ©es sur des droits prĂ©cis

HTBS vous aide Ă  sĂ©curiser votre  organisation grĂące Ă  l’approche Zero Trust, celle-ci vous permettra de protĂ©ger, sĂ©curiser l’ensemble des Ă©lĂ©ments qui compose votre infrastructure mais aussi d’avoir une visibilitĂ© globale de votre surface d’attaque.

Source : Appgate 

Inscrivez vous  ci-dessous pour recevoir notre Newsletter chaque semaine : 

Partager :