Zero-Trust Architectures (ZTA)

Le principe « Zero Trust » (ZT) est un concept régulièrement évoqué en cybersécurité. Il a d'ailleurs été intégré à la dernière version du programme de la certification CISSP. Il s’agit de ne pas donner des droits d’accès à des utilisateurs ou à des équipements seulement sur des critères de localisation périmétrique (par exemple Internet ou réseau interne). Ce changement de paradigme est très lié au besoin des métiers d’accéder à des ressources depuis des équipements divers (tablettes, smartphones, ordinateurs portables voire objets connectés). C’est aussi la conséquence de l’utilisation massive du Cloud, public et privé. Le NIST américaine travaille beaucoup sur ces concepts. Google communique aussi régulièrement sur leur BeyondCorp. L’article ci-dessous propose une synthèse des travaux du groupe de travail publiant le document NIST 800-27 (Zero Trust Architecture).

Principes généraux

Le Zero Trust ne fait pas référence à une technologie particulière. C’est plutôt une collection de concepts qui touchent les réseaux, le contrôle des accès, le durcissement des systèmes et les politiques de sécurité. L’objectif est de proposer des protections les plus granulaires possibles pour accéder aux ressources et s’adapter aux besoins des métiers. Le terme ressource est pris au sens large et englobe les informations, les matériels informatiques, les systèmes, les applications. Les sujets qui accèdent aux ressources peuvent être des utilisateurs, des applications ou des matériels. Les spécifications XACML (OASIS) peuvent être utilisées pour définir les éléments de gestion des accès, par exemple PEP (Policy Enforcement Point) ou PDP (Policy Decision Point).

Les principes d’une architecture ZT sont les suivants :

  • Toute donnée et tout service (« on-premise » ou Cloud) peuvent être considérés comme une ressource.
  • Toute communication réseau doit être sécurisée quelle que soit la localisation. Autrement dit on protège la confidentialité, l’intégrité et on vérifie l’authentification de la source et de la destination y compris sur un réseau local.
  • Les accès à une ressource sont attribués par session.
  • Les politiques d’accès sont dynamiques. Par exemple une authentification renforcée pourra être requise en fonction d’une mesure du risque, rejoignant ainsi le principe de RBAC (Risk Based Access Control).
  • On doit être capable de mesurer en temps réel le niveau de sécurité d’un matériel. Son niveau de durcissement, la mise à jour des correctifs de sécurité, le fonctionnement de ses outils de protection, firewall local ou antivirus par exemple.
  • Les mécanismes d’authentification et d’autorisation sont dynamiques et renforcés. Par exemple l’utilisation du MFA (« multifactor authentication ») pour l’accès à certaines ressources.
  • Une supervision constante de la sécurité.

Réseaux et sécurité

Les principes ZT liés aux réseaux maitrisés par l’entreprise sont les suivants :

  • Le réseau privé de l’entreprise n’est pas considéré comme une zone implicite de confiance. C’est une extension du principe de défense en profondeur.
  • On accepte, sous conditions, la possibilité de connecter des matériels dont les configurations ne sont pas contrôlées par l’entreprise. Cela inclut le BYOD (Bring Your Own Device). C’est bien entendu une contrainte forte en sécurité de ne pas maitriser toute la chaine.
  • Toute ressource informatique peut-être compromise. On n’accorde donc pas de confiance a priori à une ressource. Cet aspect est très intéressant car il limite les possibilités de rebond d’un attaquant depuis une ressource dont il a le contrôle.

les principes ZT liés aux réseaux non maitrisés par l’entreprise sont les suivants :

  • Des ressources sensibles peuvent être positionnées sur des réseaux non maîtrisés par l’entreprise, par exemple un Cloud Public.
  • Les utilisateurs lorsqu’ils se connectent à distance n’ont pas les moyens de vérifier le niveau de sécurité du réseau d’accès (réseau WIFI invités par exemple).

Principaux composants

Plusieurs catégories de composants sont à considérer dans une architecture Zero Trust.

  • PE (Policy Engine) : prise des décisions d’accès et traçabilité (génération des logs).
  • PA (Policy Administrator) : exécute les décisions du PE, par exemple par l’attribution de tokens Kerberos.
  • PEP (Policy enforcement point) : ouvre, supervise et termine les connexions.
  • CDM (Continuous diagnostics and mitigation) : collecte des informations sur le niveau de sécurité de l’équipement.
  • Conformité : centralise les politiques à appliquer en fonction des exigences légales et des régulations en vigueur pour un métier.
  • Threat Intelligence : alimente le PE en informations, par exemple des signatures de malware, des IoC (indices de compromissions), des listes noires de domaines…
  • Politiques d’accès : attributs, règles et politiques d’accès aux ressources de l’entreprise.
  • IGC (infrastructure de gestion des clés) ou PKI (Public Key Infrastructure). Gère les certificats et les clés privées utilisés par les mécanismes cryptographiques, par exemple une authentification machine basée sur 802.1x avec EAP TLS.
  • Gestion des identités : création, stockage et gestion des comptes des utilisateurs, comptes de service et des identifiants matériels, par exemple au travers un annuaire LDAP.
  • SIEM (Security information and event management) pour la centralisation et la corrélation des logs et la détection des événements suspects.

Enfin, du fait du besoin d’automatisation, en particulier pour les environnements Cloud publics et privés, il est indispensable de disposer de plusieurs API (qu’il faut sécuriser! ) qui font le lien entre ces composants et les applications.

Pour aller plus loin, le livre "Zero Trust Networks - Building Secure Systems in Unstrusted Networks" (Evan Gilman et Doug Barth, éditions O’Reilly) fournit des informations détaillées sur le sujet.

 

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cloud, RéférentielNIST, API, ZeroTrust, ZeroTrustArchitecture