Serveur d'impression

Réseau Zero + Access de Safe-T: déploiement par étapes – Serveur d’impression

Le 1 septembre 2019 - 6 minutes de lecture

Par Safe-T

Safe-T fournit une solution sécurisée d’accès aux applications et aux fichiers avec 1) une architecture qui implémente l’accès sans confiance, 2) un canal sécurisé propriétaire permettant aux utilisateurs d’accéder à distance à des fichiers sensibles partagés et 3) des analyses de comportement des utilisateurs.

Le logiciel de contrôle d’accès de Safe-T s’appelle: Safe-T Zero +. Les directives sur les meilleures pratiques exigent des organisations qu’elles mettent en œuvre un déploiement par étapes. Cela permet à votre organisation de migrer progressivement vers une architecture réseau Zéro confiance.

En mettant en œuvre Zero + de Safe-T par étapes, vous bénéficiez des avantages suivants:

  • Votre organisation apprend à utiliser le nouveau système progressivement.
  • Les informations acquises lors des premières phases de déploiement peuvent être appliquées au reste du processus.
  • Votre organisation réduit ses risques, car tout problème susceptible de survenir ne concerne qu'un petit groupe d'utilisateurs.
  • Le fardeau de la mise en œuvre administrative informatique est limité.
  • Le coût de la période d'évaluation du logiciel est limité.
Vue d'ensemble: les défis de la sécurité réseau

Cette section décrit le contexte contextuel des problèmes informatiques existants que le modèle Zero + de Safe-T peut résoudre.

Périmètre de sécurité: La plupart des centres de données implémentent un modèle de périmètre de sécurité qui établit des zones de confiance en fonction de plages d'adresses IP. Ils déploient des pare-feu dos à dos en créant une zone démilitarisée qui sépare leur réseau interne de confiance de l’Internet non approuvé externe.

Ce type de périmètre fixe ne reflète plus avec précision la topologie typique des utilisateurs et des serveurs.

Zones de confiance: Un pirate informatique qui s'infiltre dans le pare-feu interne d'une entreprise se trouve à l'intérieur de ce qui est considéré comme une zone de confiance. Le pirate informatique peut alors se déplacer latéralement pour voler des informations d'identification et les utiliser pour capturer et exfiltrer de précieuses ressources numériques.

Applications Cloud: Les entreprises déploient de plus en plus d'applications Web et de données sur des clouds publics tels qu'Amazon Web Services et Microsoft Azure. Ces clouds publics sont situés dans des emplacements géographiques éloignés des pare-feu et du réseau de périmètre de confiance d’une organisation.

Travailleurs mobiles: La taille et la complexité des réseaux d'entreprise augmentent. Les employés, les sous-traitants et les partenaires utilisent des ordinateurs portables et d'autres périphériques mobiles hors site dans des emplacements extérieurs au réseau de périmètre approuvé.

VPN: L'utilisation de VPN pour accéder à un réseau interne peut créer une vulnérabilité si un administrateur accorde des autorisations trop larges aux utilisateurs. Les VPN sont souvent configurés pour permettre aux utilisateurs d'accéder au réseau interne comme si l'utilisateur était sur site dans un bureau de l'entreprise.

Malware: L’utilisation des VPN pose un grave problème, car ils créent un risque élevé que des logiciels malveillants se trouvant sur le périphérique d’un utilisateur puissent se propager à un réseau interne.

Qu'est-ce qu'un accès réseau sans confiance?

Voici les principes clés d'un réseau Zero Trust:

Ne rien faire confiance: Les utilisateurs et le trafic réseau ne sont pas approuvés jusqu'à ce qu'ils soient vérifiés. Les utilisateurs situés à l'intérieur ou à l'extérieur du réseau de l'entreprise ne doivent jamais être approuvés par défaut.

Visibilité: Les serveurs principaux ne sont pas visibles pour les utilisateurs non authentifiés.

Authentification: Les flux de travail d'authentification pour un utilisateur ou un groupe doivent inclure des données contextuelles telles que l'ID de périphérique, l'emplacement géographique et l'heure et le jour auxquels l'utilisateur demande l'accès.

Granularité: Zéro confiance prend en charge la micro-segmentation du réseau en isolant les ressources informatiques pour limiter les menaces. Il implémente également une stratégie de moindre privilège en appliquant des contrôles qui permettent aux utilisateurs d'accéder uniquement aux ressources nécessaires à l'exécution de leurs tâches.

Journaux: Tout le trafic interne et externe est enregistré pour détecter les événements malveillants ou anormaux.

Composants principaux

La Cloud Security Alliance est le principal promoteur des normes et de la recherche SDP. Le groupe de travail de l'ASC sur SDP a mis au point un cadre de sécurité pouvant être déployé pour protéger les applications contre les attaques réseau.

Les architectures SDP proposées par différents fournisseurs peuvent prendre en charge différentes caractéristiques. L’architecture SDP de Safe-T est conçue pour implémenter de manière substantielle les fonctionnalités essentielles définies par l’architecture CSA. Zero + de Safe-T est construit à l’aide de ces composants principaux:

Contrôleur d'accès Safe-T

Access Controller est le moteur de contrôle centralisé et d’application des règles du système SDP. Access Controller est conçu pour fonctionner en tant que courtier de confiance en régissant le flux de processus entre les utilisateurs finaux et les services principaux. Access Controller est responsable de la gestion de l'authentification et de l'autorisation de l'utilisateur final.

Passerelle d'accès Safe-T

Access Gateway agit en tant que serveur frontal de tous les services principaux publiés sur un réseau non approuvé (Internet, par exemple).

Passerelle d'authentification Safe-T

La passerelle d'authentification présente à l'utilisateur final, dans un navigateur Web sans client, un flux de travaux d'authentification préconfiguré fourni par Access Controller. Le flux de travail d'authentification est un ensemble d'étapes d'authentification personnalisables telles que: captcha, nom d'utilisateur / mot de passe, No-Post, OTP.

Si l'utilisateur réussit à s'authentifier, la passerelle d'authentification affiche des liens permettant à l'utilisateur de se connecter aux services principaux autorisés.

Les services backend non autorisés ne sont pas visibles pour l'utilisateur final. Comme le dit Safe-T: Si vous ne pouvez pas être vu, vous ne pouvez pas être piraté®.

Périmètre logiciel de Safe-T

L'image suivante montre l'architecture de base du Safe-T SDP.

Périmètre défini par logiciel Safe-T

3 "width =" 1864 "height =" 853 "srcset =" https://www.cisomag.com/wp-content/uploads/2019/07/3.png 1864w, https://www.cisomag.com/ wp-content / uploads / 2019/07 / 3-300x137.png 300w, https://www.cisomag.com/wp-content/uploads/2019/07/3-768x351.png 768w, https: // www. cisomag.com/wp-content/uploads/2019/07/3-1024x469.png 1024w, https://www.cisomag.com/wp-content/uploads/2019/07/3-918x420.png 918w, https: //www.cisomag.com/wp-content/uploads/2019/07/3-640x293.png 640w, https://www.cisomag.com/wp-content/uploads/2019/07/3-681x312.png 681w "tailles =" (largeur maximale: 1864px) 100vw, 1864px "/></p>
<h5><span class=Capacités Safe-T Zero +

  • Les utilisateurs qui souhaitent accéder à un serveur protégé doivent s'authentifier avec succès et être autorisés sur une passerelle d'authentification.
  • Les stratégies configurables définissent les étapes d’authentification orchestrées que chaque utilisateur ou membre du groupe doit exécuter.
  • Les serveurs principaux ne sont pas visibles pour les utilisateurs non authentifiés. La probabilité d’attaques réussies est réduite au minimum, conformément à l’axiome de Safe-T: Si vous ne pouvez pas être vu, vous ne pouvez pas être piraté®.
  • Élimine la possibilité que les utilisateurs établissent une connexion directe entre un réseau non approuvé et des hôtes spécifiques dans le système interne Fournit la réécriture d'URL pour masquer les services principaux.
  • Implémente une technologie brevetée pour éliminer le besoin d'ouvrir les ports entrants dans le pare-feu interne. Élimine le besoin de stocker des données sensibles dans la zone démilitarisée.
  • Prend en charge divers protocoles de communication: HTTP / S, SMTP, SFTP, API, RDP, WebDAV.
  • S'étend au cloud sur site, public et hybride. Zero + peut être déployé sur AWS, Azure et d'autres infrastructures cloud protégeant à la fois les ressources cloud et sur site.
  • Fournit une fonctionnalité d'analyse du comportement des utilisateurs qui surveille les actions des applications Web protégées. Un tableau de bord affiche les événements liés à la sécurité et les statistiques agrégées. Les administrateurs travaillent dans le tableau de bord pour examiner les détails relatifs aux comportements anormaux pouvant déclencher des alertes et identifier les activités suspectes.
  • Fournit une solution unique et native d’accès aux fichiers basée sur HTTPS pour le système de fichiers NTFS, remplaçant le protocole SMB vulnérable. Les utilisateurs peuvent créer un lecteur réseau mappé standard dans leur explorateur Windows en fournissant un canal sécurisé, crypté et à accès contrôlé pour les ressources principales partagées.
Types d'architectures SDP

Les clients peuvent sélectionner une architecture SDP qui répond à leurs exigences sur site ou dans le cloud:

  • Le client déploie trois ordinateurs virtuels: 1) contrôleur d'accès, 2) passerelle d'accès et 3) passerelle d'authentification. Les ordinateurs virtuels peuvent être déployés sur site dans le réseau local d’une entreprise, sur le cloud public Amazon Web Services (AWS) ou sur le cloud public Azure de Microsoft.
  • Le client déploie la 1) machine virtuelle Access Controller et 2) la machine virtuelle Access Gateway sur leur réseau local. Le client déploie la machine virtuelle Authentication Gateway sur un cloud public tel que AWS ou Azure.
  • Le client déploie la machine virtuelle Access Controller sur son réseau local et Safe-T déploie et gère deux machines virtuelles 1) Access Gateway et 2) Authentication Gateway, toutes deux hébergées sur le cloud mondial privé de Safe-T.

Info: La troisième option d'architecture SDP décrite ci-dessus implémente un modèle SaaS hybride avec des responsabilités de déploiement partagées. Safe-T déploie et gère deux des machines virtuelles SDP dans le nuage global privé Safe-T et le client déploie un nœud, la machine virtuelle Access Controller, dans ses locaux.

Comment configurer un déploiement par étapes

Cette section décrit les étapes de base d’un déploiement SDP limité impliquant un petit nombre d’utilisateurs (par exemple 20) et de serveurs principaux (par exemple 5). Les meilleures pratiques sont décrites ci-dessous, mais votre entreprise peut déployer Safe-T Zero + en fonction des exigences de votre site.

Remarque: Il est supposé que vous avez sélectionné l'architecture SDP que vous souhaitez déployer.

Déploiement par étapes des services principaux

Sélectionnez un petit nombre de serveurs principaux contenant des données peu sensibles. Par exemple, choisissez un serveur utilisé principalement par des utilisateurs expérimentés, tels que le personnel DevOps ou le personnel d'assurance qualité. Cela garantit que le risque est minimal si un problème survient lors du déploiement par étapes de l'accès SDP dans votre organisation.

Dans l'interface Web d'Access Controller, vous devez configurer une règle d'accès inverse pour chaque serveur principal. L'exemple ci-dessous illustre deux règles d'accès inversé: 1) une règle permettant de se connecter à la passerelle d'authentification Safe-T et 2) une règle permettant de connecter un serveur github backend.

Figure 1: Règles d'accès inversé Safe-T pour le déploiement par phases

4 "width =" 1061 "height =" 191 "srcset =" https://www.cisomag.com/wp-content/uploads/2019/07/4.png 1061w, https://www.cisomag.com/ wp-content / uploads / 2019/07 / 4-300x54.png 300w, https://www.cisomag.com/wp-content/uploads/2019/07/4-768x138.png 768w, https: // www. cisomag.com/wp-content/uploads/2019/07/4-1024x184.png 1024w, https://www.cisomag.com/wp-content/uploads/2019/07/4-640x115.png 640w, https: //www.cisomag.com/wp-content/uploads/2019/07/4-681x123.png 681w "values ​​=" (max-width: 1061px) 100vw, 1061px "/></p>
<h4><span class=Déploiement par étapes de groupes d'utilisateurs

Le Safe-T Access Controller fournit une fonctionnalité de configuration appelée: Trusted Services. À l'aide de l'interface Web d'administration, vous pouvez connecter un ou plusieurs groupes à un ou plusieurs services principaux.

Exemple: pour configurer le serveur AD d’une organisation en tant que service approuvé, vous pouvez configurer les éléments suivants:

  • Nom du groupe: Ventes; Marketing
  • Nom du service: AD
Remplacement de vos VPN par SDP

La liste suivante décrit certains problèmes pouvant survenir pour une organisation utilisant des VPN pour un accès à distance:

  • Accorde un accès tout ou rien au réseau attribué.
  • N'offre pas différents niveaux d'accès pour différents utilisateurs.
  • Impossible de s’adapter facilement aux changements dynamiques de votre réseau.
  • Génère une complexité administrative et ne peut pas gérer facilement le cloud ou plusieurs environnements réseau.
  • Sécurise les utilisateurs distants mais pas les utilisateurs sur site.
  • Suit un modèle centré sur le site plutôt que centré sur l'utilisateur.
  • Nécessite l’installation de clients logiciels clients VPN pour les utilisateurs finaux.

Info: Selon les consultants Gartner, d'ici 2021, 60% des entreprises vont éliminer les VPN du réseau pour les communications d’affaires numériques en faveur de périmètres définis par logiciel.

Safe-T suggère les chemins suivants pour la mise en phase du SDP en remplacement d'un VPN ou pour l'utilisation de VPN et de SDP en parallèle.

Utilisation de VPN et de SDP en parallèle

Cette solution de déploiement implémente une architecture parallèle de VPN et SDP. Vous démarrez la migration en sélectionnant un groupe d'utilisateurs VPN (par exemple, des partenaires). Demandez à ces utilisateurs de se connecter à l'interface utilisateur Web de la passerelle d'authentification SDP au lieu d'utiliser leur client VPN.

Évaluez l'accès SDP et lorsque les avantages de l'utilisation de SDP sont démontrés à la satisfaction de votre service informatique, supprimez les VPN de ce groupe d'utilisateurs SDP. Continuez à réduire le nombre d'utilisateurs VPN tout en leur accordant simultanément un accès SDP.

Utilisation de VPN en tant que serveur frontal pour l'accès SDP

Cette stratégie utilise la structure VPN existante de votre entreprise comme interface pour accéder à la passerelle d’authentification SDP.

Le déroulement du processus est le suivant:

  1. Un utilisateur ouvre son client VPN SSL ou IPsec et se connecte à la passerelle VPN.
  2. La passerelle VPN transfère les informations d'identification de l'utilisateur via une connexion RADIUS à la passerelle d'authentification SDP.
  3. Access Controller récupère les informations d'identification de la passerelle d'authentification via une connexion à accès inversé et authentifie l'utilisateur avec une solution IAM / IDP tierce telle que Microsoft Azure AD.
  4. Si l'utilisateur est authentifié, le contrôleur d'accès envoie une réponse RADIUS via la passerelle d'authentification au client VPN en indiquant que l'utilisateur est authentifié.
  5. Access Controller demande à Access Gateway de fournir un accès inversé à l’adresse IP virtuelle de l’utilisateur fournie par la passerelle VPN.
  6. L'utilisateur peut accéder aux services autorisés.

Info: L'architecture de déploiement ci-dessus peut être utilisée comme voie de migration vers un accès SDP uniquement si votre entreprise choisit de se retirer progressivement à l'aide de son VPN SSL ou IPsec.

Remarque: Si vous utilisez des VPN en tant que serveur frontal pour l'accès SDP, l'utilisateur final ne se connecte pas à la passerelle d'authentification SDP.

Tendances du marché SDP

Une étude récente de la Cloud Security Alliance indique que la sensibilisation et l'adoption de SDP en sont encore à leurs débuts de croissance. Voici un extrait de l'enquête CSA:

Enquête sur l'état de SDP: résumé, Cloud Security Alliance, 2 juillet 2019

https://blog.cloudsecurityalliance.org/2019/07/02/the-state-of-sdp-survey-a-summary/

«L’enquête indique qu’il est encore trop tôt pour adopter et connaître le marché de la PDS, 24% seulement des personnes interrogées affirmant connaître très bien ou ayant une connaissance assez approfondie de la SDP. La majorité des répondants sont moins informés, 29% d'entre eux connaissant «assez» SDP, 35% en ayant entendu parler et 11% n'en sachant rien.

«Une majorité d’entreprises reconnaissent la nécessité de modifier leur approche en matière d’architecture de confiance absolue – 70% des personnes interrogées ont indiqué qu’elles avaient un besoin élevé ou moyen de modifier leur approche en matière de contrôle d’accès utilisateur en sécurisant mieux leur authentification et leur autorisation.

Conclusion

L’accès réseau Zero + de Safe-T peut aider à gérer et à améliorer la sécurité réseau d’une organisation.

Les entreprises souhaitent protéger leurs applications et leurs données, qu'elles soient sur site, hybrides ou dans un cloud public. Ils souhaitent également sécuriser l'accès au réseau pour les utilisateurs travaillant dans n'importe quel lieu géographique.

Les professionnels de l'informatique d'un large éventail d'industries découvrent les avantages d'un réseau d'accès Zero Trust.

CISO MAG n'évalue pas le produit, le service ou l'entreprise annoncés, ni aucune des revendications formulées par la publicité. Les faits, les opinions et le libellé de l'article ne reflètent pas les points de vue de CISO MAG et celui-ci n'assume aucune responsabilité à l'égard de ceux-ci.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.