Get best of the week

Implémentation d'une architecture de sécurité sans confiance: deuxième édition


Source

Début 2020, le National Institute of Standards and Technology (NIST) des États-Unis a publié un projet de deuxième édition du document, qui traite des composants logiques de base d'une architecture à confiance zéro (Zero Trust Architecture, ZTA).

Zero Trust fait référence à un ensemble évolutif de paradigmes de sécurité réseau basés sur le principe de «ne rien faire confiance à personne». Contrairement aux approches classiques qui accordent plus d'attention à la protection du périmètre, le modèle Zero Trust se concentre sur la sécurité des ressources plutôt que sur les segments du réseau d'entreprise.

Aujourd'hui, nous étudierons un modèle d'amélioration de la cybersécurité basé sur les principes de l'architecture avec une confiance zéro, évaluerons les risques de son utilisation et nous familiariserons avec certains scénarios de déploiement populaires.

Zero Trust: le début


Le premier projet NIST ZTA est apparu en septembre 2019, bien que le concept de confiance zéro existait en cybersécurité bien avant l'apparition du terme même de «confiance zéro».

La Defense Information Systems Agency (DISA) et le département américain de la Défense ont publié en 2007 un document sur la stratégie sécurisée de l'entreprise. Cette stratégie, appelée «Black Core», prévoyait la transition d'un modèle de sécurité basé sur le périmètre à un modèle axé sur la sécurité des transactions individuelles.

En 2010, John Kinderwag, analyste en chef de Forrester Research, a formulé diverses solutions qui changent l'orientation de la perception des menaces (de la sécurité basée sur une stratégie de protection du périmètre au contrôle de toutes les données disponibles), formuléle terme «confiance zéro».

Le modèle Zero Trust était une tentative de résoudre le problème classique, lorsqu'un intrus pénétrant dans le réseau accède à tous ses composants. Il suffit de dire que, selon le rapport de Microsoft sur les vulnérabilités , les effets de 88% des vulnérabilités critiques pourraient être éliminés ou, au moins, atténués, privant les utilisateurs de droits d'administrateur.

Les réseaux d'entreprise protégés par périmètre offrent aux utilisateurs authentifiés un accès autorisé à un large éventail de ressources. En conséquence, les mouvements latéraux non autorisés au sein du réseau sont devenus l'un des problèmes de cybersécurité les plus graves.

Modèle Zero Trust


Pour déployer le modèle Zero Trust, vous devez distribuer les privilèges d'accès minimum et maximiser les détails des paquets de données. Dans un modèle sans confiance, vous définissez un «espace protégé», composé des données et des ressources les plus importantes et les plus précieuses, et fixez les routes de trafic dans toute l'organisation en fonction de leur relation avec les ressources protégées.

Dès qu'une compréhension des connexions entre les ressources, l'infrastructure et les services apparaît, il est possible de créer des microperimètres - pare-feu au niveau des segments des réseaux d'entreprise. Dans le même temps, les utilisateurs qui peuvent passer des micropérimètres à distance sont situés n'importe où dans le monde et utilisent divers appareils et données.

Une caractéristique distinctive de l'architecture Zero Trust est une grande attention à l'authentification et à l'autorisation avant de fournir l'accès à chaque ressource de l'entreprise. Dans le même temps, la minimisation des retards dans les mécanismes d'authentification est nécessaire.

La figure montre un modèle d'accès abstrait dans ZTA.


Dans le modèle, l'utilisateur (ou l'appareil) doit accéder aux ressources de l'entreprise via un «point de contrôle». L'utilisateur est contrôlé via le point de décision d'accès basé sur la politique de sécurité (Policy Decision Point, PDP) et via le point d'application de la politique (Policy Enforcement Point, PEP), qui est chargé d'appeler le PDP et de traiter correctement la réponse.

L'idée est de rapprocher le plus possible le point d'application de la politique de l'application. PDP / PEP ne peut pas appliquer de politiques supplémentaires en dehors de son emplacement dans le flux de trafic.

Principes de confiance zéro


Voici sept principes de base de ZT et ZTA (sous forme abrégée) qui doivent être pris en compte lors de la construction d'un système sûr. Ces principes sont un «objectif idéal», mais tous ne peuvent pas être pleinement mis en œuvre dans chaque cas.

  1. Toutes les sources de données et de services sont considérées comme des ressources. Un réseau peut être composé de plusieurs appareils de différentes classes. Une entreprise a le droit de classer les appareils personnels comme des ressources si elle peut accéder aux données et services appartenant à l'entreprise.
  2. . . , (, ), , , . , .
  3. . .
  4. , , (, ). — , , , .
  5. , , . « » , , .
  6. . , , . , , ZTA, , , .
  7. , , , .



Ici, pour plus de commodité, il ne s'agit pas du dessin NIST d'origine, mais de la version de l' article de Cisco «Faire un choix de style de vie de cybersécurité délibéré».

De nombreux composants logiques composent l'architecture Zero Trust dans l'entreprise. Ces composants peuvent fonctionner en tant que service local ou via le cloud. La figure ci-dessus montre le «modèle idéal» démontrant les composants logiques et leur interaction.

L'intégration des informations sur les ressources de l'entreprise, sur les utilisateurs, sur les flux de données et sur les processus de travail avec la politique de règles constitue l'entrée nécessaire pour prendre une décision sur l'accès aux ressources.

Lorsque l'utilisateur (sujet) initie la procédure d'authentification, l'identification numérique se construit autour de lui. Dans la figure, cette procédure est présentée à partir du bloc Objet. Un autre terme pour un tel utilisateur est le principal, c'est-à-dire un client pour lequel l'authentification est autorisée.

Le schéma de réseau présenté ci-dessus est divisé en plusieurs niveaux de trafic. Le niveau de contrôle (Control Plane) est séparé d'une autre partie du réseau qui peut être visible par l'utilisateur. Du point de vue du mandant, il n'y a que la couche de données de ce réseau.

Le plan de contrôle abrite le point de décision d'accès (PDP), qui se compose de deux composants logiques:

  • Policy Engine (PE), . , (, ) , ;
  • Policy Administrator (PA), / . Policy Enforcement Point (PEP), (Data Plane).

Le PEP est chargé d'activer, de surveiller, d'appeler le PDP et de traiter correctement sa réponse, et, en fin de compte, de rompre les liens entre le sujet et la ressource d'entreprise. En dehors de PEP, il existe une zone de confiance implicite dans laquelle se trouve la ressource d'entreprise.

Tous les autres champs (gauche et droite sur la figure) montrent les composants de sécurité qui peuvent fournir les informations nécessaires pour prendre une décision sur l'accès à PDP / PEP. Celles-ci comprennent, par exemple, un système de diagnostic et de surveillance continus (CDM) qui collecte des informations sur l'état actuel des actifs d'une entreprise.

Identification et microsegmentation


Lors du développement d'un ZTA, l'identité des acteurs est utilisée comme un élément clé de la création d'une politique d'accès. L'identité fait référence aux attributs d'authentification et aux attributs utilisateur sur le réseau, c'est-à-dire les données qui peuvent être vérifiées pour garantir la légitimité de l'accès.

L'objectif ultime de la gestion des identités d'entreprise est de limiter la présentation de chaque utilisateur du réseau aux ressources sur lesquelles ils ont des droits.

Une entreprise peut protéger les ressources de son propre segment de réseau avec des dispositifs pare-feu de nouvelle génération ( NGFW)), en les utilisant comme point d'application des politiques. Les NGFW fournissent dynamiquement l'accès aux demandes individuelles des clients. Cette approche s'applique à divers cas d'utilisation et modèles de déploiement, car le dispositif de protection agit comme un PEP et la gestion de ces dispositifs est un composant du PE / PA. Les réseaux de superposition

peuvent également être utilisés pour implémenter ZTA . Cette approche est parfois appelée modèle de périmètre défini par logiciel ( SDP ) et inclut souvent des concepts provenant d'un réseau défini par logiciel ( SDN ). Ici, l'administrateur de stratégie agit comme un contrôleur de réseau qui installe et reconfigure le réseau en fonction des décisions prises par le moteur de stratégie.

Scénarios de déploiement clés



Le scénario de déploiement ZTA le plus courant concerne une entreprise ayant un siège social et plusieurs emplacements répartis géographiquement connectés les uns aux autres par des canaux réseau tiers non-entreprise.

Dans ce schéma, les travailleurs distants ont toujours besoin d'un accès complet aux ressources de l'entreprise et le bloc PE / PA est souvent déployé en tant que service cloud.


Alors qu'une entreprise se tourne vers davantage d'applications et de services cloud, une approche de confiance zéro nécessite que le PEP soit situé aux points d'accès de chaque application et source de données. PE et PA peuvent être situés dans le cloud, ou même chez le troisième fournisseur de cloud (en dehors de Cloud Provider A et Cloud Provider B).


Un autre scénario courant est une entreprise avec des visiteurs et / ou des entrepreneurs qui ont besoin d'un accès limité aux ressources de l'entreprise. Dans cet exemple, l'organisation dispose également d'un centre de congrès où les visiteurs interagissent avec les employés.

En utilisant l'approche de protection définie par logiciel ZTA, les visiteurs peuvent accéder à Internet, mais ne peuvent pas accéder aux ressources de l'entreprise. Parfois, ils n'ont même pas la possibilité de découvrir les services d'entreprise via une analyse réseau.

Ici, PE et PA peuvent être hébergés en tant que service cloud ou sur un réseau local. PA garantit que tous les actifs n'appartenant pas à l'entreprise auront accès à Internet, mais pas aux ressources locales.

Sept risques de mise en œuvre de la confiance zéro


Impact de la prise de décision


Dans ZTA, les composants Policy Engine et Policy Administrator sont essentiels à toute l'entreprise. Tout administrateur ayant accès aux paramètres de règle PE peut apporter des modifications non autorisées ou faire des erreurs qui perturbent l'opération. Un PA compromis peut donner accès à toutes les ressources protégées. Pour atténuer les risques, les composants PE et PA doivent être correctement configurés et testés.

Déni de service


PA est un élément clé pour accéder aux ressources - sans sa permission, il est impossible d'établir une connexion. Si, à la suite d'une attaque DoS ou d'une interception de trafic, un attaquant viole ou refuse l'accès à PEP ou PA, cela peut nuire au fonctionnement de l'entreprise. L'entreprise a la capacité d'atténuer la menace en plaçant PA dans le cloud ou en la répliquant à plusieurs endroits.

Identifiants volés


Les attaquants peuvent utiliser le phishing, l'ingénierie sociale ou une combinaison d'attaques pour obtenir les informations d'identification de comptes précieux. L'implémentation de l'authentification multifacteur peut réduire le risque d'accès à partir d'un compte compromis.

Visibilité du réseau


Une partie du trafic (éventuellement plus important) dans le réseau d'entreprise peut ne pas être transparente pour les outils d'analyse de réseau traditionnels. Cela ne signifie pas que l'entreprise n'est pas en mesure d'analyser le trafic crypté - vous pouvez collecter des métadonnées et les utiliser pour détecter une activité suspecte. Les méthodes d'apprentissage automatique vous permettent d' explorer le trafic en profondeur.

Stockage d'informations réseau


Le trafic réseau et les métadonnées utilisées pour créer des politiques contextuelles peuvent être la cible d'attaques de pirates. Si un attaquant accède aux informations sur le trafic, il peut se faire une idée de l'architecture du réseau et déterminer les vecteurs d'autres attaques.

Une autre source de renseignements pour un attaquant est l'outil de gestion utilisé pour coder les politiques d'accès. Comme le trafic stocké, ce composant contient des stratégies d'accès aux ressources et peut montrer quels comptes sont les plus utiles pour le compromis.

Utilisation de formats de données propriétaires


ZTA utilise plusieurs sources de données différentes pour prendre des décisions d'accès. Souvent, les ressources utilisées pour stocker et traiter ces informations n'ont pas de norme d'interopérabilité ouverte commune. Si un fournisseur a un problème ou viole la sécurité, l'entreprise n'a parfois pas la possibilité de passer à un autre fournisseur sans frais excessifs.

Comme les attaques DoS, ce risque n'est pas propre à ZTA, mais comme ZTA dépend fortement de l'accès dynamique aux informations, une violation peut affecter les fonctions clés de l'entreprise. Pour atténuer les risques, les entreprises doivent évaluer les prestataires de services de manière intégrée.

Accès d'entité non-personne (NPE) aux composants de gestion


Les réseaux de neurones et autres agents logiciels sont utilisés pour gérer les problèmes de sécurité dans les réseaux d'entreprise et peuvent interagir avec les composants ZTA critiques (par exemple, Policy Engine et Policy Administrator). La question de l'authentification NPE dans l'entreprise avec ZTA reste ouverte. Il est supposé que la plupart des systèmes technologiques automatisés utiliseront toujours certains moyens d'authentification pour accéder à l'API (par exemple, le code de clé API).

Le plus grand risque lors de l'utilisation d'une technologie automatisée pour configurer et appliquer des politiques est la probabilité de réactions faussement positives (actions inoffensives confondues avec des attaques) et fausses négatives (attaques confondues avec une activité normale). Leur nombre peut être réduit par une analyse régulière des réactions.

Conclusion


Aujourd'hui, ZTA ressemble plus à une carte d'une forteresse fiable qu'à une carte avec des points clés marqués pour le voyage. Cependant, de nombreuses organisations ont déjà des éléments ZTA dans leur infrastructure d'entreprise. Selon le NIST, les organisations devraient s'efforcer d'introduire progressivement des principes de confiance zéro. Pendant longtemps, la plupart des infrastructures d'entreprise fonctionneront en mode hybride avec un niveau de confiance / périmètre nul.

Pour approfondir le sujet de l'application du concept Zero Trust, faites attention aux documents suivants:

More articles:


All Articles