Dans ce second article sur le Zero Trust Network Access (ZTNA), nous allons voir le fonctionnement de l’architecture Software-Defined Perimeter (SDP) et donner une définition d’une solution ZTNA.
Précédemment, nous avons vu le modèle Zero Trust, ses principes, les composants d’une architecture Zero Trust et le Single-Packet Authorization (SPA) utilisé par le SDP. Nous allons donc commencer par voir le SDP pour mieux appréhender les approches choisies par les éditeurs ZTNA.
L’architecture proposée par la Cloud Security Alliance en 2014 conserve les principes de l’architecture Zero Trust définie par le NIST avec la séparation du Control Plane et du Data Plane. Cette architecture utilise quatre composants logiques :
Architecture Software-Defined Perimeter
Le fonctionnement de l’architecture SDP suit les étapes suivantes :
L’architecture SDP réutilise des principes déjà connus pour proposer une architecture Zero Trust.
Différences entre l’architecture BeyondCorp et l’architecture Software-Defined Perimeter
| SOFTWARE-DEFINED PERIMETER | BEYONDCORP | ||
|---|---|---|---|
| Authentification | Envoi du SPA | Connexion depuis l’Access Proxy + RADIUS ou SSO | |
| Autorisation | Règles du SDP Controller | Décision de l’Access Control Engine | |
| Présence d’un agent | Oui | Non | |
| Protocoles supportés | TCP/UDP | WEB et SSH | |
| Exposition des ressources | Ports fermés(default-drop) | Derrière l’Identity Aware Proxy |
Une solution ZTNA suit les principes du modèle Zero Trust en ayant les fonctionnalités suivantes :
Deux approches sont adoptées par les éditeurs pour leurs solutions ZTNA. Ces approches identifiées par le Gartner, s’inspirent des modèles d’architecture Zero Trust de 2014 .
Cette approche s’inspire du modèle BeyondCorp de Google. L’utilisateur s’authentifie depuis son navigateur web au portail hébergé sur le ZTNA Broker/Proxy. Après authentification et vérification, les ZTNA Connectors autorisés sont accessibles pour l’utilisateur.
L’avantage de ce modèle est de ne pas avoir besoin d’agent pour qu’un service soit accessible à un utilisateur. Le fait de ne pas avoir d’agent apporte aussi moins d’informations sur la conformité du terminal. Certaines ressources sont protégées par ce modèle comme les ressources Web, les accès en SSH et en RDP mais la prise en charge d’autres services est rare.
Service-Initiated ZTNA, Market Guide for Zero Trust Network Access, Gartner (2020)
Le type Endpoint-Initiated ZTNA
Ce modèle s’inspire du Software-Defined Perimeter où le ZTNA Controller correspond au SDP Controller. Dans un premier temps, l’utilisateur va s’authentifier auprès du ZTNA Controller qui va vérifier son identité et celle du terminal utilisé. Le ZTNA Controller renvoie ensuite la liste des applications auxquelles l’utilisateur est autorisé à accéder. Il prévient ensuite la ZTNA Gateway que cette paire utilisateur-terminal est autorisée à accéder à la ressource.
Les avantages du modèle sont similaires à ceux du Software-Defined Perimeter et présentent aussi les mêmes inconvénients. La nécessité d’avoir un agent bloque les terminaux non gérés par l’entreprise. Ce modèle propose néanmoins un niveau de vérification précis en s’appuyant sur des données récupérées par l’agent. Toutes les applications utilisant TCP ou UDP peuvent être protégées et sont accessibles.
Endpoint-Initiated ZTNA, Market Guide for Zero Trust Network Access, Gartner (2020)
Que ce soit une ZTNA Gateway ou un ZTNA Connector, le composant est déployé au plus près des ressources et n’accepte pas les flux entrants. Les ressources ne sont jamais exposées directement sur Internet.
Dans ce second article, nous avons vu que le Software-Defined Perimeter est une solution ZTNA mais qu’une solution ZTNA n’était pas forcément une solution SDP. Le ZTNA a deux approches correspondant aux deux modèles d’architecture Zero Trust. Nous avons aussi défini les caractéristiques d’une solution ZTNA. Dans le prochain et dernier article sur le ZTNA, nous allons voir dans quelles mesures le ZTNA peut remplacer les solutions VPN SSL historiques.
Consultant Infrastructure Security
