Le modèle Zero Trust, qu'est-ce que c'est ?

Le modèle Zero Trust, ou « zéro confiance », est une approche de la conception des architectures de sécurité basée sur le principe qu'aucune interaction n'est fiable par défaut. Elle diffère ainsi des anciennes approches qui reposaient sur une confiance implicite et une authentification à un seul facteur. Plusieurs tendances actuelles, telles que l'adoption du cloud, l'utilisation croissante des applications mobiles, l'essor de l'IA et le développement du travail à distance, incitent les entreprises à abandonner le modèle traditionnel basé sur un périmètre au profit du modèle Zero Trust. 

En 2010, dans un rapport Forrester Research (PDF), John Kindervag a introduit le concept du « Zero Trust », en indiquant que l'approche commune de la sécurité des réseaux devait être remplacée par une stratégie « zéro confiance et vérification systématique ». Les architectures traditionnelles basées sur un périmètre de sécurité solide devenaient extrêmement vulnérables dès lors qu'un attaquant parvenait à franchir cette couche externe. Avec cette approche basée sur le modèle du « château fort », les utilisateurs situés à l'extérieur du périmètre étaient jugés comme non fiables, tandis que tous ceux qui se trouvaient à l'intérieur du réseau étaient considérés comme fiables par défaut. Dès que les informations d'identification d'un utilisateur étaient compromises, cette confiance implicite avait pour conséquence d'exposer l'ensemble de l'environnement aux attaques.

Avec la nouvelle approche Zero Trust proposée par John Kindervag, tout le trafic réseau est considéré comme non fiable, inspecté et consigné dans l'ensemble du système, et tout accès au système est limité et contrôlé. Avant, dès qu'un pirate s'infiltrait dans au moins un point de terminaison ou une ressource interne, il pouvait se déplacer latéralement sur le réseau, exploiter les faiblesses, dérober des informations sensibles et lancer d'autres attaques. Avec le modèle Zero Trust, les entreprises vérifient et authentifient en continu les connexions entre les données, les utilisateurs, les applications et les appareils.

10 manières de simplifier le modèle Zero Trust avec Red Hat OpenShift

La sécurité Zero Trust repose sur plusieurs mécanismes qui protègent les données et services sensibles contre les vulnérabilités des architectures basées sur le périmètre réseau et la confiance implicite :

Microsegmentation

La microsegmentation est une approche granulaire de la structure réseau qui divise l'accès et restreint les autorisations des utilisateurs à des applications et services spécifiques, ce qui limite les déplacements latéraux, réduit la surface d'attaque et contient les fuites de données.

Moindre privilège

Lorsque les interactions ne peuvent plus se baser sur le nom ou l'emplacement pour définir le niveau de confiance, chaque interaction devient suspecte. La décision d'autoriser ou non une interaction devient une décision métier qui doit prendre en compte tous les avantages et risques. Le principe du moindre privilège est une pratique de sécurité qui consiste à restreindre l'accès des utilisateurs aux seules ressources dont ils ont absolument besoin. Il contribue à limiter le risque de menaces internes. Chaque demande d'accès à une ressource est validée dynamiquement à l'aide de la gestion des identités et de contrôles d'accès basés sur les risques et le contexte.

Abandon des périmètres

Les entreprises ne sont plus définies par un périmètre géographique. Les utilisateurs sont répartis sur plusieurs sites et utilisent différents appareils. Ils accèdent aux ressources depuis des environnements cloud, mobiles et d'edge computing contrôlés ou non par l'entreprise. L'abandon des périmètres, ou « dépérimétrisation », complète les mesures de sécurité traditionnelles, comme les pare-feu et les périmètres, par une stratégie de multicouche qui inclut le chiffrement, la sécurité au niveau des données et des mesures fiables d'authentification à plusieurs facteurs. 

Hypothèse de violation

Cette approche consiste à supposer que le périmètre de défense a été franchi et que les contrôles de sécurité externes ne sont plus efficaces. L'hypothèse de violation aide les entreprises à structurer leur environnement de manière à ce que la sécurité soit contrôlée de manière redondante au sein du système, sans dépendre excessivement du périmètre de défense pour réduire les actions malveillantes ou activités de reconnaissance. 

Une architecture de sécurité insuffisante est vulnérable aux cyberattaques sophistiquées, et les approches basées sur la confiance et la vérification sont mises à rude épreuve sur les réseaux étendus qui incluent toujours plus de points de terminaison, de ressources, de sites et d'applications d'IA. 

Pour gérer les vulnérabilités, de nombreuses entreprises abandonnent progressivement les réseaux privés virtuels (VPN), qui permettent un accès sécurisé à l'ensemble d'un réseau, au profit d'un accès réseau Zero Trust plus ciblé, qui segmente l'accès et limite les autorisations des utilisateurs à des applications et services spécifiques. Cette approche par microsegmentation contribue à limiter les déplacements latéraux des attaquants, réduire la surface d'attaque et atténuer l'impact des fuites de données. 

La mise en œuvre d'une architecture Zero Trust ne nécessite pas de remplacer intégralement les réseaux existants ni d'investir dans de nouvelles technologies. Au contraire, cette approche vise à renforcer les pratiques et outils de sécurité déjà en place. De nombreuses entreprises disposent déjà des bases nécessaires pour créer une architecture Zero Trust et appliquent au quotidien des pratiques en ce sens.

En effet, les mécanismes suivants existent déjà souvent dans les architectures de sécurité classiques :

• Gestion des identités et des accès
• Autorisations
• Automatisation des décisions liées aux politiques
• Application de correctifs aux ressources
• Surveillance continue avec enregistrement et analyse des transactions
• Automatisation des activités reproductibles et sujettes aux erreurs humaines
• Utilisation de l'analyse comportementale et du renseignement sur les menaces pour renforcer la sécurité des ressources

Le modèle Zero Trust s'avère particulièrement utile dans les environnements Kubernetes puisque les clusters Kubernetes partent du principe que les applications et conteneurs qui s'y exécutent sont fiables et ne nécessitent ni authentification ni autorisation supplémentaires. Si deux services s'exécutent sur le même cluster Kubernetes, ils peuvent, par défaut, accéder l'un à l'autre au niveau du réseau. Pour Kubernetes, le modèle Zero Trust doit donc fournir une posture de sécurité granulaire et complète, et permettre de sécuriser les environnements conteneurisés sur diverses infrastructures afin d'appliquer le modèle de manière cohérente, quel que soit l'emplacement de déploiement. 

Pour adopter une posture de sécurité Zero Trust robuste dans Kubernetes, il est essentiel d'intégrer une chaîne d'approvisionnement des logiciels sécurisée. La sécurité de la chaîne d'approvisionnement des logiciels garantit que les images de conteneurs et applications déployées dans le cluster sont vérifiées, exemptes de vulnérabilités connues et qu'elles n'ont pas été falsifiées au cours de leur cycle de vie. En adoptant de telles mesures de sécurisation, les entreprises peuvent étendre les principes du modèle Zero Trust aux composants de base de leurs déploiements Kubernetes, ce qui réduit davantage la surface d'attaque et limite les risques de compromission des composants logiciels.

À l'instar du modèle Zero Trust, l'informatique confidentielle se généralise en raison de l'augmentation de la dépendance des entreprises envers Kubernetes et le cloud. Cette technique ajoute une couche de sécurité capitale puisqu'elle protège les données dans leur état le plus vulnérable, c'est-à-dire lorsqu'elles sont activement utilisées. Elle contribue ainsi à réduire les menaces internes et les risques liés au cloud multi-client ainsi qu'à assurer le respect des exigences de conformité réglementaire strictes. L'informatique confidentielle améliore le chiffrement des données en cours de traitement et l'isolation des charges de travail, ainsi que la précision des attestations à distance, ce qui étend le modèle Zero Trust à l'ensemble de l'infrastructure. 

Puisque le modèle Zero Trust exige la vérification de l'identité de tous les utilisateurs, à l'intérieur comme à l'extérieur du périmètre de sécurité de l'entreprise, il faut s'assurer que des identités sont associées aux charges de travail et déploiements, et que les accès sont autorisés et accordés uniquement en cas de besoin. Pour les entreprises à la recherche d'un cadre de gestion des identités unique pour leurs environnements de cloud hybride, le framework SPIFFE (Secure Production Identity Framework For Everyone) et son environnement d'exécution SPIRE fournissent une racine de confiance unique qui peut être associée aux charges de travail sur site et dans le cloud. 

SPIFFE est une norme ouverte soutenue par la Cloud Native Computing Foundation (CNCF) qui définit la manière d'identifier les charges de travail et d'émettre et de valider des identités sans recourir à des chaînes secrètes à longue durée de vie, c'est-à-dire des informations d'identification sensibles telles que des mots de passe ou des clés d'API valides pendant de longues périodes. SPIRE est une mise en œuvre de la spécification SPIFFE. Elle fournit un schéma prêt pour la production qui permet de gérer les identités dans l'ensemble des déploiements, conformément à SPIFFE. 

Découvrir comment mettre en œuvre un cadre de gestion des identités multicloud avec SPIFFE/SPIRE

Le modèle Zero Trust est défini par différents cadres de conformité et normes industrielles qui aident les entreprises à améliorer leur posture de sécurité :

• La publication spéciale 800-207 du NIST (National Institute of Standards and Technology) sur l'architecture Zero Trust, publiée en 2020, donne une définition de l'architecture et des modèles de déploiement Zero Trust, et présente des cas d'utilisation qui pourraient bénéficier d'une approche Zero Trust.
• Le Zero Trust Maturity Model de l'U.S. Cybersecurity and Infrastructure Security Agency (CISA) est une feuille de route pour les agences qui effectuent leur transition vers une architecture Zero Trust. Il décrit cinq piliers de l'architecture Zero Trust : les identités, les appareils, les réseaux, les applications et charges de travail et les données. Les entreprises peuvent s'appuyer sur ces piliers pour évaluer la manière dont la visibilité, l'analyse, l'automatisation et l'orchestration ainsi que la gouvernance peuvent les aider à garantir que les utilisateurs accèdent aux bonnes ressources, au bon moment, sans bénéficier de privilèges excessifs.
• Le décret présidentiel 14028, publié en mai 2021 aux États-Unis, impose des améliorations en matière de sécurité visant à augmenter l'adoption d'une architecture Zero Trust. Il tend à renforcer la sécurité de la chaîne d'approvisionnement des logiciels, à mettre en œuvre des normes de cybersécurité au sein du gouvernement fédéral, à lever les obstacles au partage des informations sur les menaces, à établir un comité d'examen de la cybersécurité, à créer un guide standardisé de gestion des vulnérabilités et incidents de cybersécurité, ainsi qu'à améliorer l'analyse et le travail de correction en matière de cybersécurité. 

De nombreuses entreprises ont déjà mis en œuvre certains aspects du modèle Zero Trust dans leur environnement. Plusieurs cas d'utilisation se prêtent à une approche Zero Trust :

Diminution de la surface d'attaque

La surface d'attaque désigne l'ensemble des points qu'un attaquant peut exploiter pour extraire des données ou accéder à des systèmes critiques. L'adoption de modèles de travail à distance et hybride, ainsi que l'augmentation des déploiements d'edge computing et d'IA, ont considérablement élargi la surface d'attaque des systèmes informatiques des entreprises. Or, lorsqu'elle s'étend et évolue, les vulnérabilités potentielles augmentent également. Un modèle Zero Trust se concentre sur les données, applications, ressources et services critiques, autrement dit, sur la « surface à protéger ». Il met en œuvre des contrôles et une surveillance stricts pour la sécuriser. 

Gestion des identités et des accès

Les bonnes pratiques d'accès et de sécurité des points de terminaison englobent les mesures qu'une entreprise adopte pour sécuriser et protéger toutes les ressources du réseau. Les identités de machine ou de charges de travail se généralisent avec l'adoption des écosystèmes cloud-native et des workflows d'IA avancés. Les charges de travail qui s'étendent sur plusieurs plateformes cloud couvrent différents domaines d'identité, rendant essentiels les principes Zero Trust. Dans le modèle Zero Trust, la preuve et la vérification de l'identité sont des composants fondamentaux de la sécurité. Avec une approche de gestion des accès basée sur le principe de moindre privilège, les administrateurs peuvent définir des rôles personnalisés et accorder des autorisations spécifiques et précises pour faire en sorte que les utilisateurs disposent de l'accès minimal nécessaire pour effectuer leurs tâches, ce qui réduit les menaces. 

Sécurisation de la chaîne d'approvisionnement des logiciels

La sécurité des composants Open Source et de leurs dépendances peut être compromise par des acteurs malveillants qui tentent d'infiltrer la chaîne d'approvisionnement des logiciels au début du cycle de vie de développement. Les entreprises peuvent alors être victimes de cyberattaques et être contraintes à retarder le lancement de leurs applications. Une approche Zero Trust est essentielle pour sécuriser la chaîne d'approvisionnement des logiciels et détecter les problèmes au plus tôt afin de limiter leur coût.

La création d'une chaîne d'approvisionnement des logiciels sécurisée implique de garantir l'intégrité et la sécurité des logiciels dès la conception, ainsi que pendant les phases de développement, de test, de déploiement et de maintenance continue. Il s'agit notamment de vérifier l'origine et l'authenticité du code, d'utiliser des processus de création sécurisés, de rechercher les vulnérabilités et de mettre en œuvre des contrôles pour éviter toute falsification. En assurant la confiance et la transparence à chaque étape de la chaîne d'approvisionnement des logiciels, les entreprises peuvent réduire le risque d'injection de code malveillant et d'autres attaques susceptibles de compromettre leurs systèmes et données.

Pour minimiser le risque d'attaques visant la chaîne d'approvisionnement, les entreprises peuvent : 

• Améliorer la sécurité du code Open Source
• Créer des images de conteneurs sécurisées
• Renforcer les pipelines d'intégration et de distribution/déploiement continus (CI/CD)
• Surveiller les applications en cours d'exécution
• Intégrer la sécurité en amont, c'est-à-dire intégrer des tests le plus tôt possible dans le cycle de vie de développement logiciel 

Souveraineté numérique

La souveraineté numérique désigne la capacité d'un pays ou d'une entreprise à contrôler et protéger de manière indépendante son infrastructure numérique essentielle conformément à ses politiques, valeurs et objectifs stratégiques. Elle garantit que les services critiques sont sécurisés et gérés en interne, tout en respectant les exigences de conformité liées à la résidence des données, la confidentialité et la conformité juridique. Les entreprises qui souhaitent affirmer leur souveraineté numérique peuvent utiliser les principes Zero Trust pour renforcer la sécurité, garder le contrôle de leurs données, libérer du temps pour l'innovation en interne et réduire leur dépendance à l'égard des fournisseurs de technologies externes. 

Déploiements d'entreprise multicloud et de cloud hybride

Les déploiements multicloud et les architectures de type cloud à cloud requièrent une sécurité Zero Trust, car, si les fournisseurs de cloud gèrent la sécurité de leur infrastructure, il incombe aux entreprises de sécuriser la couche d'application et de protéger les données sensibles. Pour les entreprises qui déploient leurs processus d'exploitation dans des environnements multicloud et hybrides, il est primordial de pouvoir détecter les menaces et résoudre les incidents dans les environnements cloud et sur site. 

Prévention des attaques basées sur l'IA

Les cyberattaques basées sur l'IA se multiplient et rendent la détection et la prévention des attaques encore plus complexes qu'auparavant. Les entreprises peuvent également utiliser l'IA pour automatiser la détection et la réduction des menaces, et ainsi renforcer leur posture Zero Trust. Compte tenu de l'essor de l'IA, le modèle Zero Trust doit être dynamique, s'adapter et détecter les nouvelles menaces tout en limitant les perturbations de l'exploitation pour assurer la résilience des entreprises dans la durée. 

Adopter le modèle Zero Trust et garantir la souveraineté avec Red Hat OpenShift

De nombreuses entreprises peinent encore à mettre en œuvre le modèle Zero Trust. Le modèle Zero Trust nécessite souvent un changement d'état d'esprit, tant au niveau de la direction qu'au niveau des équipes de sécurité. D'un côté, les responsables doivent prendre en compte les risques liés au maintien des architectures de sécurité obsolètes. Les professionnels de l'informatique et des technologies d'exploitation doivent évaluer les investissements existants pour identifier les systèmes encore exploitables, afin de réduire le coût de mise en œuvre du modèle Zero Trust, et établir une liste des priorités pour les nouveaux investissements. Cependant, certains protocoles et appareils ne pourront jamais s'intégrer parfaitement dans une approche Zero Trust. Dans ce cas, les responsables doivent décider s'il faut les remplacer ou non. Si ces systèmes incompatibles sont conservés, il convient de se demander dans quelle mesure il est possible de leur appliquer d'autres contrôles de sécurité pour minimiser les risques.

Le principe de base de l'approche Zero Trust est le « rejet par défaut » ou la « vérification systématique ». Pour ce faire, les équipes doivent s'engager à assurer la maintenance du système au fil du temps, et veiller à ce qu'aucun service ne contourne l'architecture de sécurité ou ne recoure au shadow IT.

Nous pouvons aider les entreprises à intégrer des mesures de Zero Trust dans leur stratégie de sécurité. 

Red Hat® Enterprise Linux® est un composant de base de toute architecture Zero Trust robuste. Ce système d'exploitation intègre plusieurs fonctions clés qui favorisent la maturité Zero Trust :

• Gestion centralisée des identités avec l'authentification à plusieurs facteurs et l'intégration à des fournisseurs d'identité externes
• Démarrage sécurisé et attestation à distance pour l'intégrité des appareils et du réseau
• Architecture SELinux, liste blanche d'applications et informatique confidentielle
• Mode image et rôles système pour l'automatisation des politiques Zero Trust

Red Hat Enterprise Linux 10 renforce la sécurité de la chaîne d'approvisionnement grâce à des processus de création axés sur la sécurité, des paquets signés numériquement et la gestion des nomenclatures logicielles et des CVE (Common Vulnerabilities and Exposures). Grâce à ces fonctionnalités, Red Hat Enterprise Linux aide les entreprises à créer, déployer et entretenir des systèmes qui s'adaptent en continu à l'évolution des menaces et des exigences réglementaires, afin de les faire progresser vers des niveaux de maturité Zero Trust plus élevés.

Red Hat OpenShift® renforce le modèle Zero Trust avec des contrôles de sécurité intégrés, l'isolation de l'environnement d'exécution basé sur SELinux, la signature d'images et l'application de politique via Red Hat OpenShift Pipelines, ainsi que le contrôle d'accès natif basé sur les rôles pour la plateforme et la gouvernance des charges de travail. La solution Red Hat OpenShift offre la base d'un déploiement cohérent et déclaratif, de l'intégration avec des principes d'authentification structurés, de la microsegmentation et des politiques réseau, ainsi que de l'auditabilité et de la conformité. Avec Red Hat OpenShift, les applications, données et modèles d'IA restent conformes, fiables et sous contrôle, quel que soit l'environnement d'exécution.

Red Hat Advanced Cluster Security for Kubernetes est une solution de sécurité native pour Kubernetes qui s'intègre aux environnements de cloud hybride et fournit une approche complète et cohérente de la sécurité. La solution Red Hat Advanced Cluster Security inclut les mécanismes suivants : 

• Principe du moindre privilège et gestion des identités et des accès
• Vérification et Surveillance continues
• Contrôles de sécurité pendant l'exécution et détection des menaces
• Approche PaC (Policy-as-Code) et automatisation
• Gestion des vulnérabilités
• Sécurité, conformité et auditabilité de la chaîne d'approvisionnement 

L'opérateur Zero Trust Workload Identity Manager fournit aux entreprises les fonctionnalités de sécurité nécessaires pour gérer les identités de charge de travail dans diverses infrastructures cloud. Basé sur le framework SPIFFE/SPIRE, il assure l'intégration de Red Hat OpenShift pour permettre la mise en œuvre d'une gestion centralisée et évolutive des identités sur toutes les plateformes cloud.

La suite Red Hat Trusted Software Supply Chain sécurise la chaîne d'approvisionnement des logiciels pour les applications cloud-native. Elle contribue ainsi à réduire les risques lors de la distribution des logiciels, et permet aux équipes de développement et de sécurité d'adopter instantanément des pratiques de sécurité Zero Trust à moindre effort et à moindre coût.

La solution Red Hat Ansible® Automation Platform peut faire office de couche d'intégration entre les équipes, outils et processus de sécurité, et ainsi contribuer à l'adoption du modèle Zero Trust au sein de votre environnement. Avec Ansible Automation Platform, vous pouvez :

• connecter vos systèmes, outils et équipes de sécurité ;
• collecter des informations à partir des systèmes, puis les diriger vers des systèmes et emplacements prédéfinis, efficacement et sans intervention manuelle ;
• modifier et propager facilement des configurations à partir d'interfaces centralisées ;
• créer des contenus d'automatisation de la sécurité personnalisés, assurer leur bon fonctionnement et y accéder ;
• déclencher des actions automatisées sur plusieurs outils de sécurité en cas de détection d'une menace. 

Chez Red Hat, nous pouvons vous aider à adopter le modèle Zero Trust et à mettre en œuvre ses pratiques dans l'ensemble de votre environnement.