Le big data offre de nouvelles possibilités de tirer de nouvelles informations et d'acquérir un avantage concurrentiel. L’époque est révolue où les réseaux étaient clairement définis et généralement spécifiques d’un certain emplacement. Le cloud, les appareils mobiles et autres points de terminaison repoussent les limites et changent le paradigme. À présent, il n’existe pas nécessairement de réseau autonome/défini à sécuriser. Au lieu de cela, il existe un vaste éventail d’appareils et de réseaux reliés entre eux par le cloud.
Au lieu de supposer que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr, une stratégie Confiance Zéro de bout en bout part du principe que des violations sont inévitables. Cela implique la nécessité de vérifier chaque demande comme si elle provenait d’un réseau non contrôlé. La gestion des identités joue un rôle crucial à cet égard.
Dans le modèle de confiance zéro, il existe trois objectifs clés en matière de sécurisation de vos réseaux :
Soyez prêt à gérer les attaques avant qu'elles ne se produisent.
Réduisez l'étendue des dommages et la vitesse à laquelle ils se propagent.
Augmentez la difficulté de compromettre votre empreinte cloud.
À cette fin, nous suivons trois principes de Confiance Zéro :
Vérifier explicitement. Toujours authentifier et autoriser en fonction de tous les points de données disponibles, y compris l'identité de l'utilisateur, l'emplacement, l'état du dispositif, le service ou la charge de travail, la classification des données et les anomalies.
Utiliser l'accès le moins privilégié. Limitez l’accès utilisateur avec des privilèges d’accès Juste-à-temps et Juste suffisants (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection visant à protéger tant les données que la productivité.
Supposer une violation. Réduisez le rayon d’explosion pour les violations et empêchez le mouvement latéral en segmentant l’accès par réseau, utilisateur, appareils et sensibilisation aux applications. Vérifier que toutes les sessions sont chiffrées de bout en bout. Utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.
Objectifs de déploiement du réseau confiance zéro
Avant d’entamer leur parcours Confiance Zéro, la plupart des organisations disposent d’une sécurité réseau reposant sur les caractéristiques suivantes :
Peu de périmètres de sécurité pour les réseaux et des réseaux ouverts et plats.
Protection minimale contre les menaces et filtrage statique du trafic.
Trafic interne non chiffré.
Lors de l’implémentation d’une infrastructure Confiance Zéro de bout en bout pour la sécurisation de réseaux, nous vous recommandons de vous concentrer d’abord sur les objectifs de déploiement initiaux suivants :
Guide de déploiement d’une mise en réseau Confiance Zéro
Ce guide vous accompagne tout au long des étapes requises pour sécuriser de votre réseau conformément aux principes d’une infrastructure de sécurité Confiance Zéro.
Objectifs de déploiement initiaux
I. Segmentation de réseau : grand nombre de micro-périmètres cloud d’entrée et de sortie, assortis d’une certaine micro-segmentation
Les organisations ne devraient pas se contenter d’avoir un seul grand canal entrant et sortant raccordé à leur réseau. Dans une approche Confiance Zéro, les réseaux sont plutôt segmentés en îlots plus petits contenant des charges de travail spécifiques. Chaque segment a ses propres contrôles d’entrée et de sortie afin de réduire le « rayon d’impact » d’un accès non autorisé aux données. En implémentant des périmètres définis par logiciel avec des contrôles granulaires, vous augmentez la difficulté, pour des acteurs non autorisés, de propager leur attaque sur votre réseau, ce qui a pour effet de réduire les déplacements latéraux des menaces.
Il n’existe aucune conception d’architecture adaptée aux besoins de toutes les organisations. Vous avez le choix entre quelques modèles de conception courants pour segmenter votre réseau conformément au modèle Confiance Zéro.
Dans ce guide de déploiement, nous allons vous guider au fil des étapes à suivre pour obtenir l’une de ces conceptions : la micro-segmentation.
Avec la micro-segmentation, les organisations peuvent aller au-delà de simples périmètres basés sur un réseau centralisé, vers une segmentation complète et distribuée à l’aide de micro-périmètres définis par logiciel.
Les applications sont partitionnées en différents réseaux virtuels Azure et connectées à l’aide d’un modèle en étoile
Créez un réseau virtuel central afin de configurer la sécurité pour la connectivité entre applications, et connectez les réseaux virtuels d’application dans une architecture en étoile.
Déployez un Pare-feu Azure dans le réseau virtuel hub afin d’inspecter et de régir le trafic entre les réseaux virtuels.
II. Protection contre les menaces : filtrage et protection natifs cloud pour les menaces connues
Les applications cloud qui ouvrent des points de terminaison à des environnements externes, tels qu’Internet ou votre empreinte locale, sont exposées à des attaques provenant de ces environnements. C’est pourquoi il est impératif d’analyser le trafic afin de détecter toute charge utile ou logique malveillante.
Ces types de menaces s’inscrivent dans deux grandes catégories :
Attaques connues. Menaces découvertes par votre fournisseur de logiciels ou la communauté plus large. Dans de tels cas, la signature de l’attaque est disponible, et vous devez vous assurer que chaque demande est vérifiée par rapport à ces signatures. La clé est de pouvoir rapidement mettre à jour votre moteur de détection avec des attaques nouvellement identifiées.
Attaques inconnues. Il s’agit de menaces qui ne correspondent pas tout à fait à une signature connue. Ces types de menaces incluent des vulnérabilités zero-day et des modèles inhabituels dans le trafic de demandes. La possibilité de détecter de telles attaques dépend de la connaissance qu’ont vos défenses de ce qui est normal et ce qui ne l’est pas. Vos défenses doivent constamment apprendre et mettre à jour ces modèles à mesure que votre entreprise (et le trafic associé) évolue.
Pour protéger contre des menaces connues, procédez comme suit :
Activez l’ensemble de règles par défaut ou l’ensemble de règles de protection Top 10 OWASP pour assurer la protection contre les attaques de couche web connues
Activez l’ensemble de règles de protection bot afin d’empêcher des robots malveillants de récupérer des informations, d’effectuer du bourrage d’informations d’identification, etc.
Ajoutez des règles personnalisées pour assurer la protection contre des menaces spécifiques dirigées contre votre entreprise.
Vous avez le choix entre les deux options suivantes :
Pour tous les points de terminaison (HTTP ou non), devant avec le Pare-feu Azure pour le filtrage basé sur le renseignement sur les menaces, au niveau de la couche 4 :
III. Chiffrement : chiffrement du trafic interne entre l’utilisateur et l’application
Le troisième objectif initial sur lequel se concentrer est l’ajout d’un chiffrement pour s’assurer que le trafic interne entre l’utilisateur et l’application soit chiffré.
Appliquez des règles de groupe de sécurité réseau pour autoriser le trafic uniquement au départ de sous-réseaux qui ont un sous-composant d’application identifié en tant qu’homologue de communications légitime.
Segmenter et appliquer les limites externes
Procédez comme suit, selon le type de limite :
Limite Internet
Si une connexion Internet est requise pour votre application, qui doit être routée via le réseau virtuel hub, mettez à jour les règles de groupe de sécurité réseau dans le réseau virtuel hub pour autoriser la connectivité Internet.
Lorsque vous utilisez des services PaaS fournis par Azure (par exemple, Stockage Azure, Azure Cosmos DB ou Application web Azure), utilisez l’option de connectivité PrivateLink pour vous assurer que tous les échanges de données aient lieu dans l’espace IP privé, et que le trafic ne quitte jamais le réseau Microsoft.
V. Protection contre les menaces : protection contre les menaces et filtrage des menaces basés sur le Machine Learning, avec des signaux basés sur le contexte
Pour une protection supplémentaire contre les menaces, activez Azure DDoS Protection Standard afin de surveiller en permanence le trafic de vos applications hébergées par Azure, d’utiliser des infrastructures basées sur l’apprentissage automatique pour la ligne de base, de détecter des saturations de trafic volumétrique, et d’appliquer des corrections automatiques.
VII. Interrompre la technologie de sécurité réseau héritée
Interrompez l’utilisation des systèmes de détection et prévention des intrusions réseau (NIDS/NIPS) basés sur des signatures, ainsi que de prévention des fuites/pertes de données réseau (DLP).
Les principaux fournisseurs de services cloud filtrent déjà les paquets mal formés et les attaques de la couche Réseau courantes. Il n’est donc pas nécessaire d’utiliser une solution NIDS/NIPS pour les détecter. De plus, les solutions NIDS/NIPS classiques sont généralement pilotées par des approches basées sur des signatures (qui sont considérées comme obsolètes). Elles sont facilement contournées par les attaquants et produisent généralement un taux élevé de faux positifs.
Une solution DLP basée sur le réseau est de moins en moins efficace pour identifier des pertes de données tant involontaires que délibérées. Cela est dû au fait que la plupart des attaquants et des protocoles modernes utilisent un chiffrement au niveau du réseau pour les communications entrantes et sortantes. La seule solution de contournement viable pour ce problème est le « pontage SSL autorisé », lequel fournit un « intercepteur autorisé » qui met fin aux connexions réseau chiffrées puis les rétablit. L’approche de pontage SSL a été délaissée en raison du niveau de confiance nécessaire pour le partenaire exécutant la solution et des technologies utilisées.
En nous basant sur cette logique, nous vous recommandons de cesser d’utiliser ces technologies de sécurité réseau héritées. Toutefois, s’il ressort de l’expérience de votre organisation que ces technologies ont eu une incidence concrète sur la prévention et la détection des attaques réelles, vous pouvez envisager de les déplacer vers votre environnement cloud.
La sécurisation des réseaux est la clé d’une stratégie Confiance Zéro réussie. Pour plus d’informations ou de l’aide à des fins d’implémentation, contactez l’équipe dédiée à la réussite des clients, ou poursuivez la lecture des autres chapitres de ce guide, qui couvrent tous les piliers de la Confiance Zéro.
Série de guides de déploiement de la Confiance Zéro
Les réseaux nous permettent de communiquer avec tout le monde, du partage d’images et de conversations vidéo aux achats en ligne et aux opérations bancaires. La protection de votre réseau contre les cybercriminels peut être exigeante, car bon nombre d’entre nous passent au travail hybride. Une stratégie de Confiance zéro permet de sécuriser vos réseaux et vos données.
Faites la démonstration de la conception, de l’implémentation et de la maintenance de l’infrastructure de mise en réseau, du trafic d’équilibrage de charge, du routage réseau Azure et bien plus encore.
Pour tirer pleinement parti des applications et des services cloud, les organisations doivent trouver le bon équilibre entre garantir l’accès et garder le contrôle de façon à protéger les données critiques consultées à partir d’applications et d’API.
L’infrastructure représente un vecteur de menace critique. Une stratégie Confiance zéro facilite le développement, le test, la livraison, la surveillance, le contrôle et la prise en charge des services informatiques.
Étant donné que la Confiance Zéro ne suppose pas que les requêtes sont dignes de confiance, il est essentiel de mettre en place un moyen d’attester de la fiabilité de la requête pour prouver sa fiabilité à un point dans le temps. Cette attestation requiert la possibilité d’obtenir une visibilité des activités sur et autour de la requête.
