Piliers technologiques de la Confiance Zéro Partie 2
Dans cette unité, nous poursuivons et discutons des objectifs de déploiement Confiance Zéro restants.
Sécuriser les données avec la Confiance Zéro
Les trois éléments fondamentaux d’une stratégie de protection des données sont les suivants :
- Connaissez vos données - Si vous ne savez pas quelles données sensibles vous possédez localement et dans les services cloud, vous ne pouvez pas les protéger de manière adéquate. Vous devez découvrir les données de toute votre organisation et classer toutes les données par niveau de confidentialité.
- Protégez vos données et évitez les pertes de données - Les données sensibles doivent être protégées par des stratégies de protection des données qui étiquettent et chiffrent les données ou bloquent le partage excessif. Cela garantit que seuls les utilisateurs autorisés peuvent accéder aux données, même lorsqu’elles transitent en dehors de votre environnement d’entreprise.
- Surveiller et corriger - Vous devez surveiller en permanence les données sensibles pour détecter les violations de stratégie et le comportement à risque de l’utilisateur. Cela vous permet de prendre les mesures appropriées, telles que révoquer l’accès, bloquer les utilisateurs et affiner vos stratégies de protection.
Objectifs du déploiement de données Confiance Zéro
Une stratégie de protection des informations doit englober la totalité du contenu numérique de votre organisation. En guise de ligne de base, vous devez définir des étiquettes, découvrir des données sensibles et surveiller l’utilisation des étiquettes et des actions dans votre environnement. L’utilisation des étiquettes de confidentialité est décrite à la fin de ce guide.
Lors de l’implémentation d’une infrastructure de Confiance Zéro de bout en bout pour les données, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :
I. Les décisions d’accès sont régies par le chiffrement.
II. Les données sont automatiquement classées et étiquetées.
Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :
III. La classification est optimisée par des modèles Machine Learning intelligents.
IV. Les décisions d’accès sont régies par un moteur de stratégie de sécurité cloud.
V. Éviter les fuites de données à l’aide de stratégies DLP basées sur une étiquette de confidentialité et une inspection de contenu.
Sécuriser les points de terminaison avec la Confiance Zéro
La Confiance Zéro adhère au principe « Ne jamais faire confiance, toujours vérifier ». En termes de points de terminaison, cela signifie toujours vérifier tous les points de terminaison. Cela comprend non seulement les appareils des sous-traitants, des partenaires et invités, mais également les applications et les appareils utilisés par les employés pour accéder aux données de travail, quelle que soit la propriété de l’appareil.
Dans une approche Confiance Zéro, les mêmes stratégies de sécurité sont appliquées, indépendamment du fait que l’appareil soit détenu par l’entreprise ou personnellement par le biais de BYOD (Apportez votre propre appareil), qu’il soit complètement managé par le service Informatique ou non, ou que seules les applications et les données soient sécurisées. Les stratégies s’appliquent à tous les points de terminaison, qu’il s’agisse d’appareils PC, Mac, smartphones, tablettes, wearables ou IoT, où qu’ils soient connectés, qu’il s’agisse d’un réseau d’entreprise sécurisé, d’un réseau domestique ou de l’Internet public.
Objectifs du déploiement de point de terminaison Confiance Zéro
Lors de l’implémentation d’une infrastructure Confiance Zéro de bout en bout pour la sécurisation des points de terminaison, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :
I. Les points de terminaison sont inscrits auprès de fournisseurs d’identité cloud. Pour superviser la sécurité et les risques sur plusieurs points de terminaison utilisés par une personne, vous avez besoin d’une visibilité sur tous les appareils et points d’accès susceptibles d’accéder à vos ressources.
II. L’accès est accordé uniquement aux points de terminaison et applications conformes et gérés dans le cloud. Définissez des règles de conformité pour vous assurer que les appareils répondent aux exigences de sécurité minimales avant d’accorder l’accès. Définissez également des règles de correction pour les appareils non conformes, afin que les utilisateurs sachent comment résoudre le problème.
III. Des stratégies de protection contre la perte de données (DLP) sont appliquées pour les appareils d’entreprise et BYOD. Contrôlez ce que l’utilisateur peut faire avec les données une fois qu’il y a accès. Par exemple, interdisez ou limitez l’enregistrement de fichiers à des emplacements non approuvés (tels que le disque local), ou limitez le partage par copier-coller avec une application de communication consommateur ou une application de conversation afin de protéger les données.
Une fois ces opérations terminées, concentrez-vous sur ces objectifs de déploiement supplémentaires :
IV. La détection des menaces sur les terminaux/appareils permet de surveiller le niveau de risque des appareils. Utilisez un seul volet pour gérer tous les points de terminaison de manière cohérente, et utilisez une solution SIEM pour router les journaux de point de terminaison et les transactions de manière à recevoir des alertes moins nombreuses, mais exploitables.
V. Le contrôle d’accès est contrôlé en cas de risque de point de terminaison pour les appareils d’entreprise et BYOD. Intégrez des données de Microsoft Defender pour point de terminaison ou d’autres fournisseurs de Protection contre les menaces mobiles (MTD) en tant que source d’informations pour les stratégies de conformité des appareils et les règles d’Accès conditionnel des appareils. Le risque de l’appareil influencera alors directement les ressources qui seront accessibles à l’utilisateur de cet appareil.
Sécuriser l’infrastructure avec la Confiance Zéro
Azure Blueprints, Azure Policies, Microsoft Defender pour le cloud, Microsoft Sentinel et Azure Sphere peuvent contribuer à améliorer la sécurité de votre infrastructure déployée et permettre une approche différente de la définition, de la conception, de l’approvisionnement, du déploiement et de la surveillance de votre infrastructure.
Objectifs du déploiement Confiance Zéro pour une infrastructure
Lors de l’implémentation d’une infrastructure Confiance zéro de bout en bout pour gérer et surveiller votre infrastructure, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :
I. Les charges de travail sont analysées et signalées comme ayant un comportement anormal.
II. Chaque charge de travail reçoit une identité d’application, et est configurée et déployée de manière cohérente.
III. L’accès aux ressources par un utilisateur requiert JIT.
Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :
IV. Les déploiements non autorisés sont bloqués et une alerte est déclenchée.
V. La visibilité granulaire et le contrôle d’accès sont disponibles dans les charges de travail.
VI. Accès des utilisateurs et des ressources segmenté pour chaque charge de travail.
Sécuriser les réseaux avec la Confiance Zéro
Au lieu de supposer que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr, une stratégie Confiance Zéro de bout en bout part du principe que des violations sont inévitables. Cela implique la nécessité de vérifier chaque demande comme si elle provenait d’un réseau non contrôlé. La gestion des identités joue un rôle crucial à cet égard.
Objectifs de déploiement d’un réseau Confiance Zéro
Lors de l’implémentation d’une infrastructure Confiance Zéro de bout en bout pour la sécurisation de réseaux, nous vous recommandons de vous concentrer d’abord sur les objectifs de déploiement initiaux suivants :
I. Segmentation de réseau : grand nombre de micro-périmètres cloud d’entrée et de sortie, assortis d’une certaine micro-segmentation.
II. Protection contre les menaces : filtrage et protection natifs Cloud pour les menaces connues.
III. Chiffrement : chiffrement du trafic interne entre l’utilisateur et l’application.
Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :
IV. Segmentation de réseau : micro-périmètres cloud d’entrée et de sortie entièrement distribués, assortis d’une micro-segmentation plus approfondie.
V. Protection contre les menaces : protection contre les menaces et filtrage des menaces basés sur l’apprentissage automatique, avec des signaux basés sur le contexte.
VI. Chiffrement : tout le trafic est chiffré.