La topologie de réseau Zero Trust et son importance
Zero Trust est une stratĂ©gie de sĂ©curitĂ© et, en tant que telle, il existe de nombreuses architectures diffĂ©rentes que les entreprises peuvent utiliser en fonction de leur environnement commercial, rĂ©seau et technologique spĂ©cifique. Il est important que les architectes de sĂ©curitĂ© comprennent parfaitement l’architecture de leur entreprise actuelle afin de prendre des dĂ©cisions Ă©clairĂ©es sur les changements nĂ©cessaires pour les initiatives Zero Trust.
Inscrivez-vous pour ne pas manquer notre Newsletter chaque semaineÂ
L’architecture d’entreprise couvre un large Ă©ventail d’Ă©lĂ©ments tels que les applications, les mĂ©thodes d’accès, les flux de donnĂ©es, l’infrastructure rĂ©seau, ainsi que la manière dont les diffĂ©rents dispositifs et systèmes sont connectĂ©s les uns aux autres. La topologie de rĂ©seau, quant Ă elle, se rĂ©fère Ă la façon dont ces dispositifs et systèmes sont connectĂ©s entre eux. Les rĂ©seaux d’entreprise sont souvent complexes et comprennent de nombreux Ă©lĂ©ments interdĂ©pendants tels que DNS, la gestion des adresses IP et le routage, qui se trouvent sur des segments LAN, WAN, cloud et SD-WAN. Ces rĂ©seaux peuvent Ă©galement inclure de nouveaux types de rĂ©seaux, tels que ceux trouvĂ©s dans les environnements IaaS (Infrastructure en tant que Service).
Un projet d’accès rĂ©seau Zero Trust (ZTNA) nĂ©cessite une bonne comprĂ©hension de votre rĂ©seau, de l’emplacement des ressources privĂ©es de l’entreprise, de la topologie du rĂ©seau et de la façon dont ces systèmes interdĂ©pendants fonctionnent. ZTNA nĂ©cessite des modifications rĂ©flĂ©chies quant Ă la façon dont les utilisateurs accèdent aux ressources Ă travers le rĂ©seau, ainsi que des changements dans le rĂ©seau lui-mĂŞme. Les avantages du ZTNA sont considĂ©rables, mais ils doivent ĂŞtre dĂ©ployer dans le cadre d’une stratĂ©gie bien Ă©laborĂ©e.
Quels sont les deux principaux modèles de topologie de réseau Zero Trust ?
Il existe deux modèles principaux pour la topologie de rĂ©seau Zero Trust, qui sont « le cloud-routed » (Modèles de topologie de rĂ©seau acheminĂ© par le cloud) et « direct-routed » (topologie de rĂ©seau acheminĂ© directement). Gartner les dĂ©signe sous le nom de  » service-initiated et endpoint-initiated« , tandis que d’autres analystes utilisent les termes pĂ©rimètre dĂ©fini par logiciel (SDP) et proxy de gestion d’identitĂ©. Ils sont reprĂ©sentĂ©s dans les diagrammes ci-dessous, oĂą nous utiliserons les termes standard de Zero Trust de point de dĂ©cision de politique (PDP) pour reprĂ©senter le plan de contrĂ´le et point d’application de politique (PEP) pour reprĂ©senter le plan de donnĂ©es. Notez Ă©galement que, que dans cet article, nous nous concentrons uniquement sur l’accès des utilisateurs aux ressources privĂ©es de l’entreprise et non sur l’accès des utilisateurs aux ressources web publiques.
Dans les deux cas, le plan de contrĂ´le est situĂ© dans l’infrastructure de sĂ©curitĂ© cloud du fournisseur. C’est ainsi que les fournisseurs offrent cela en tant que service, en fournissant la gestion, la surveillance et les mises Ă jour pour les clients, ce qui simplifie les opĂ©rations et rĂ©duit la complexitĂ©.
Modèles de topologie de réseau acheminé par le cloud VS Acheminé directement
Dans le modèle cloud-routed, le cloud du fournisseur agit comme un endroit centralisĂ© oĂą les connexions se rencontrent  » au milieu ». Les utilisateurs distants se connectent au PEP du fournisseur le plus proche pour contrĂ´ler leur accès rĂ©seau aux ressources privĂ©es de l’entreprise. Les ressources, qui peuvent ĂŞtre des applications mĂ©tier ou des donnĂ©es, peuvent ĂŞtre exĂ©cutĂ©es dans un centre de donnĂ©es sur site, un environnement cloud IaaS ou les deux. Le logiciel de connexion du fournisseur s’exĂ©cute Ă cĂ´tĂ© des ressources et Ă©tablit une connexion sortante vers le PEP le plus proche dans le cloud du fournisseur. Étant donnĂ© que le connecteur Ă©tablit une connexion sortante, il simplifie gĂ©nĂ©ralement le dĂ©ploiement, mais limite souvent les cas d’utilisation Ă l’accès distant des utilisateurs uniquement pour les applications Web.
Quant au modèle de routage direct, avec cette architecture, le cloud du fournisseur de service n’est utilisĂ© que comme plan de contrĂ´le. Le plan de donnĂ©es n’est jamais visible ou accessible par le fournisseur de service car les entreprises dĂ©ploient les PEP du fournisseur de service dans leur environnement pour qu’ils fonctionnent aux cĂ´tĂ©s de leurs ressources. Une fois authentifiĂ©s, les utilisateurs obtiennent un jeton de sĂ©curitĂ© qui leur permet d’Ă©tablir des connexions directement vers les PEP, d’oĂą le nom de routage direct. Le trafic rĂ©seau circule entre l’appareil de l’utilisateur et la ressource via le PEP, ce qui rĂ©duit le nombre de sauts de rĂ©seau et diminue la latence. De plus, le routage du trafic est sous le contrĂ´le de l’entreprise, ce qui lui permet de gĂ©rer les exigences de rĂ©sidence des donnĂ©es, par exemple.
Le modèle de routage direct prend en charge tous les protocoles de rĂ©seau (Web, non-Web, tout TCP, UDP et ICMP) et gère les connexions initiĂ©es par le serveur de manière transparente. Il prend Ă©galement en charge le concept universel de ZTNA car les utilisateurs sur site accĂ©dant Ă des ressources locales auront leur trafic rĂ©seau entièrement dans le rĂ©seau d’entreprise local. Étant donnĂ© que le PEP doit ĂŞtre dĂ©ployĂ© lĂ oĂą se trouvent les ressources, des modifications de pare-feu sont gĂ©nĂ©ralement nĂ©cessaires. Cette architecture convient davantage pour prendre en charge la plupart des environnements d’entreprise les plus complexes et les plus sophistiquĂ©s.
HTBS vous aide à sécuriser votre organisation grâce à l’approche Zero Trust, celle-ci vous permettra de protéger, sécuriser l’ensemble des éléments qui compose votre infrastructure mais aussi d’avoir une visibilité globale de votre surface d’attaque.
Source :Â AppgateÂ
