La National Security Agency partage de nouvelles directives pour aider les organisations à limiter les mouvements d’adversaires sur le réseau interne en adoptant des principes de cadre de confiance zéro.

Une architecture de sécurité zéro confiance nécessite des contrôles stricts pour accéder aux ressources du réseau, qu’elles soient à l’intérieur ou à l’extérieur du périmètre physique, afin de minimiser l’impact d’une violation.

Par rapport au modèle de sécurité informatique traditionnel, qui suppose que tout et tout le monde sur le réseau est digne de confiance, la conception zero-trust suppose qu’une menace existe déjà et ne laisse pas libre cours à l’intérieur du réseau.

L’avancement de la maturité zero-trust se fait progressivement en abordant divers composants, ou piliers, que les acteurs de la menace peuvent exploiter lors d’une attaque.

Les sept piliers de l’architecture zero trust

La NSA a publié aujourd’hui des directives de confiance zéro pour la composante réseau et environnement, qui comprend tous les actifs matériels et logiciels, les entités non personnelles et les protocoles d’intercommunication.

Le modèle zero trust offre une sécurité réseau approfondie grâce à la cartographie des flux de données, à la macro et micro segmentation et à la mise en réseau définie par logiciel.

Pour chacun d’eux, une organisation doit atteindre un niveau de maturité spécifique qui lui permet de continuer à construire selon les principes de confiance zéro.

« Le pilier réseau et environnement isole les ressources critiques des accès non autorisés en définissant l’accès au réseau, en contrôlant les flux de réseau et de données, en segmentant les applications et les charges de travail et en utilisant un cryptage de bout en bout » – Agence nationale de sécurité (PDF)

La cartographie des flux de données commence par identifier où et comment les données sont stockées et traitées. Dans ce cas, la maturité avancée est atteinte lorsque l’organisation dispose d’un inventaire complet et d’une visibilité du flux et peut atténuer toutes les routes actuelles, nouvelles ou anormales.

Grâce à la segmentation macro, les organisations peuvent limiter les mouvements latéraux sur le réseau en créant des zones de réseau pour les utilisateurs de chaque département.

Par exemple, une personne en comptabilité n’a pas besoin d’accéder au segment de réseau dédié aux ressources humaines, sauf si cela est explicitement requis, de sorte qu’un acteur menaçant aurait une surface d’attaque limitée vers laquelle pivoter.

Avec la micro segmentation, la gestion du réseau est décomposée en composants plus petits, et des politiques d’accès strictes sont mises en œuvre pour limiter les flux de données latéraux.

La NSA explique que « la micro-segmentation consiste à isoler les utilisateurs, les applications ou les flux de travail en segments de réseau individuels afin de réduire davantage la surface d’attaque et de limiter l’impact en cas de violation. »

Un contrôle plus granulaire de la micro-segmentation est obtenu grâce à des composants SDN (software-defined networking), qui peuvent fournir une surveillance et des alertes de sécurité personnalisables.

Le SDN permet de contrôler le routage des paquets à partir d’un centre de contrôle centralisé, offre une meilleure visibilité sur le réseau et permet d’appliquer des politiques pour tous les segments du réseau.

Pour chacun des quatre composants du pilier réseau et environnement de l’architecture zero trust, la NSA décrit quatre niveaux de maturité, de l’étape de préparation à la phase avancée où des contrôles et des systèmes de gestion étendus sont mis en œuvre pour permettre une visibilité et une surveillance optimales, et pour assurer la croissance du réseau.

Concevoir et créer un environnement de confiance zéro est une tâche complexe qui nécessite de passer systématiquement par des étapes de maturité.

Réalisée correctement, le résultat est une architecture d’entreprise capable de résister, d’identifier et de répondre aux menaces qui tentent d’exploiter les faiblesses.

La NSA a publié le premier guide pour le cadre zero trust en février 2021 (Adoptant un modèle de sécurité Zero Trust), qui décrit le modèle et les avantages des principes qui le sous-tendent.

En avril 2023, l’agence a publié des directives pour atteindre la maturité de la composante utilisateur dans le cadre de confiance zéro – Faire progresser la maturité de confiance Zéro dans l’ensemble du Pilier Utilisateur.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *