Qu'est-ce que l'accès au réseau sans confiance (ZTNA) ?

Gartner définit le ZTNA comme "un produit ou un service qui crée une frontière d'accès logique, basée sur l'identité et le contexte, autour d'une application ou d'un ensemble d'applications. Les applications ne sont pas découvertes et l'accès est restreint par l'intermédiaire d'un courtier de confiance". En bref, ZTNA ne fait confiance à rien et ne considère aucun segment de réseau comme intrinsèquement sûr : La posture de sécurité par défaut de ZTNA est de "refuser tout", une approche qui masque la visibilité des actifs et réduit considérablement la surface d'attaque de votre réseau.

Une approche de sécurité ZTNA est devenue impérative en raison de la popularité croissante de la migration vers le cloud, de l'accès direct à Internet (DIA), du Work-from-anywhere (WFA) et de l'utilisation d'appareils BYOD/IoT non gérés : des tendances qui ont dissous le périmètre dur des réseaux existants. Les réseaux modernes client-to-cloud et WFA ont un périmètre défini par logiciel : le domicile du travailleur est devenu une succursale, et l'internet fait partie du réseau de l'entreprise. Le terme "intranet" n'a plus de signification définitive.

Comment fonctionne ZTNA ?

ZTNA est une approche client-application et non réseau-centrique pour authentifier la sécurité sur la base :

  • l'identité et le contexte de l'utilisateur, et
  • l'appareil et l'application (ou tout autre bien) auxquels on accède

Le courtier en sécurité de ZTNA vérifie chaque tentative d'accès, quel que soit l'endroit. Il applique la politique de l'entreprise et accorde un accès granulaire, avec le moins de privilèges possible, à un bien (une application, une URL, des données ou une autre destination). Une architecture ZTNA :

  • Considère que le réseau n'assure que le transport et ne fait aucune différence architecturale entre les utilisateurs, les appareils ou les applications/actifs sur site et hors site.
  • Applique des politiques d'entreprise cohérentes à toutes les tentatives d'accès aux biens, quelle que soit l'entité (utilisateur, appareil et application/bien) qui demande l'accès, ou l'emplacement de l'entité ou du bien demandé.
  • Fournit une sécurité complète pour tous les utilisateurs de WFA, sur n'importe quel appareil, pour n'importe quelle application sur site ou dans le nuage.
  • segmente le réseau de bout en bout pour garantir aux utilisateurs légitimes un accès granulaire aux seules applications autorisées dans le cadre de leurs autorisations d'accès.

L'architecture ZTNA comprend plusieurs éléments :

  • Courtier/proxy SDP: Il établit des connexions sortantes uniquement afin de garantir que le réseau et les applications sont invisibles pour les utilisateurs non autorisés ; le courtier peut être un appareil ou un service en nuage.
  • Passerelle cloud: Les passerelles déployées dans le nuage et distribuées à l'échelle mondiale se connectent en toute sécurité au réseau de l'entreprise et aux destinations cloud/SaaS.
  • Client: Logiciel client SASE pour les appareils des utilisateurs finaux. Un déploiement sans client est également disponible.
  • Services d'authentification: Interagit avec le service de gestion et d'authentification des utilisateurs et des appareils de l'entreprise.
  • Portail d'autogestion: Il offre une visibilité et un contrôle administratifs des utilisateurs et des applications.
  • Transport: Connexions internet ou intranet câblées, sans fil ou cellulaires.

Avantages de l'accès au réseau sans confiance

ZTNA établit un périmètre sécurisé, élastique et défini par logiciel autour de vos utilisateurs, appareils et actifs. Cette architecture offre de nombreux avantages à vos opérations informatiques et à vos utilisateurs :

  • Élimine le besoin d'appareils et de solutions tels que l'agrégation VPN, les portails captifs, la prévention DDoS, l'équilibrage de charge global et les piles de pare-feu.
  • Application cohérente des politiques de sécurité sur site et dans le nuage ; expérience transparente pour tous les utilisateurs et appareils ; contrôle granulaire de l'accès sur site ou dans le nuage ; conformité réglementaire simplifiée.
  • Évolution sans effort, accès haute performance au nuage depuis n'importe où ; qualité d'expérience avec le moins de latence possible ; les passerelles/courtiers fournis par le nuage évoluent facilement vers le haut ou vers le bas ; s'adaptent à l'évolution constante de l'emplacement des utilisateurs et de la charge de travail du nuage ; HA inhérente.
  • Indépendant de l'emplacement, avec un chemin de données optimisé pour un accès aux applications avec un temps de latence réduit.
  • Utilisateurs et appareils authentifiés, y compris BYOD et IoT ; authentification des utilisateurs en ligne sans tracas. Modèles de déploiement avec et sans client.
  • Connectivité avancée pour sécuriser tous les transports au niveau de l'entreprise, y compris l'internet, l'intranet, le filaire, le sans fil, le cellulaire ; tunnels cryptés de bout en bout pour toutes les connexions client-application.
  • Réduit la surface d'attaque en n'accordant aux utilisateurs que l'accès le moins privilégié ; empêche la découverte d'actifs et les mouvements latéraux ; assure la sécurité de chaque transaction ; rend invisibles les applications et la topologie du réseau ; empêche les cibles d'attaque non corrigées des appareils/serveurs ; segmentation granulaire des applications.
  • Délai d'exécution rapide pour tenir compte des changements organisationnels ou des acquisitions.

Choisir et déployer ZTNA dans votre organisation

Les composants ZTNA sont basés sur des logiciels et livrés dans le nuage, s'intégrant facilement dans votre environnement existant. Ils sont entretenus et mis à jour par le fournisseur. Vous pouvez tirer parti de la distribution mondiale de passerelles d'un vendeur ou d'un fournisseur et les intégrer rapidement dans votre architecture.

ZTNA fait partie intégrante d'une solution SASE de pointe et il est préférable de le mettre en œuvre dans le cadre de votre stratégie SASE . Aucun changement significatif n'est nécessaire au niveau de la conception, de la topologie ou de l'infrastructure de votre réseau - le réseau devient un moyen de transport et l'authentification/l'accès devient une couche logicielle au-dessus.

Le déploiement de ZTNA interagit avec vos systèmes existants de gestion des informations d'identification des utilisateurs/appareils et de gestion des politiques de sécurité, qui peuvent déjà être intégrés à votre architecture SD-WAN.

ZTNA est une composante intégrale d'une solution SASE de premier plan

La solution Versa SASE comprend des capacités SD-WAN, SWG, CASB, ZTNA, branch NGFWaaS et Cloud Gateway entièrement intégrées qui offrent les avantages supplémentaires suivants :

  • Chemin de données à passage unique pour une efficacité optimale et une latence minimale.
  • Architecture logicielle à passage unique éliminant la répétition des fonctions et offrant la meilleure qualité d'expérience.
  • Un seul point de vue pour gérer toutes les fonctions : SD-WAN, SWG, Zero Trust Network Access, RBI, CASB, NGFWaaS et Cloud Gateways.
  • Un seul langage de politique pour garantir une sécurité et une conformité complètes pour tous les utilisateurs.
  • Un seul Forward Proxy à gérer et avec lequel travailler (une seule société avec laquelle partager les certificats), ce qui élimine le chaînage de proxy. Le Versa Forward Proxy remplit toutes les fonctions, y compris SD-WAN, ZTNA, SWG, CASB, etc.
  • Un réseau POP mondial de Versa Cloud Gateways.
  • Des options d'accès riches : Un client SASE (avec authentification, application de politiques/conformités, connexions actives multiples), des options de tunnel standard (GRE, IKEv2 IPSEC) et des options SD-WAN intégrées.
Livre électronique gratuit

SASE pour les nuls

Découvrez le contexte commercial et technique de SASE , y compris les meilleures pratiques, les déploiements réels chez les clients et les avantages qui découlent d'une organisation dotée de SASE .

Obtenir le livre électronique

En savoir plus

Trouvez plus de recherches, d'analyses et d'informations sur SASE (Secure Access Service Edge), les réseaux, la sécurité, le SD-WAN et le cloud auprès de leaders d'opinion, d'analystes et d'experts de l'industrie.

 

 

Livre blanc

Sécurité zéro confiance

La confiance zéro est une nouvelle approche de la sécurité qui exige des organisations qu'elles modifient radicalement leur façon d'aborder l'identité et l'accès.

 

 

 

Webinaire à la demande : 60 min

Sécurité zéro confiance contre SASE: une plongée dans l'architecture

Plongée dans les deux approches de protection des utilisateurs, des appareils et des applications distribués à l'échelle mondiale qui ont émergé sur le marché : Zero Trust Security et Secure Access Service EdgeSASE.

 

 

 

Résumé de la solution

Versa pour le travail à domicile

Versa a simplifié la tâche des entreprises en leur permettant d'offrir un SD-WAN sécurisé aux utilisateurs de Work-From-Home qui utilisent des appareils domestiques ou qui travaillent de n'importe où.