Protection des points de terminaison SASE et accès à distance sécurisé

Dans nos précédents articles sur le Secure Access Service Edge (SASE), nous avons abordé les aspects de connectivité tels que le SD-WAN et les fonctionnalités de sécurité fournies par le Firewall-as-a-Service (FWaaS) et la Secure Web Gateway (SWG). Dans cet article, nous allons aborder la question de la protection des points de terminaison dans un environnement SASE.

Pour rappel, le concept SASE unifie les composantes réseau (WAN Edge) et sécurité (Security Service Edge). Cet article traite de l'accès à distance, de l'accès réseau Zero Trust (ZTNA) et de l'accès sécurisé à l'internet (SIA). Ceux-ci sont étroitement intégrés dans un déploiement SASE et impliquent généralement un composant logiciel de point de terminaison.

Voici un aperçu simplifié des composants de réseau et de sécurité SASE :

Vous avez peut-être remarqué que la plupart des fonctionnalités de sécurité incluses dans une plateforme SASE étaient auparavant déployées en tant que produits distincts. Il s'agit là d'une conséquence naturelle de l'évolution des exigences et des cas d'utilisation au cours des dernières années. Une architecture de type « castle-and-moat » avec un bureau principal (siège) et un centre de données central n'est plus adéquate. Le périmètre a disparu ou a été défini par logiciels. Mais un aspect a beaucoup gagné en simplicité : alors que nous avions l'habitude de voir de nombreux protocoles réseau différents comme FTP et SSH, aujourd'hui, presque tout le trafic des utilisateurs finaux est basé sur le web. Qu'il s'agisse de services accessibles au public comme Microsoft 365 ou de ressources internes privées comme un intranet, le protocole utilisé est presque toujours HTTPS.

Cette évolution de notre façon de travailler a mis en évidence une vulnérabilité qui avait été négligée jusqu'à ce que les confinements liés à la pandémie la fassent émerger. Les points de terminaison ne bénéficiaient pas d'une protection suffisante et l'accès aux ressources de l'entreprise sur le réseau privé virtuel (VPN) n'était pas restreint. Ces deux conditions, combinées à l'absence d'authentification multifactorielle (MFA) et à une mauvaise sécurisation des mots de passe, peuvent s'avérer fatales. Les pirates peuvent facilement exploiter les vulnérabilités techniques ou utiliser des attaques par social engineering pour accéder au réseau et aux workloads d'une victime.

Accès sécurisé à Internet (SIA)

SIA est l'extension de Secure Web Gateway (SWG) au point de terminaison. Une analyse détaillée du trafic web fournie par le service cloud SWG implique une retransmission ou une redirection du trafic et n'est pas toujours nécessaire. Nous nous affranchissons de cette étape supplémentaire en ajoutant des fonctionnalités de sécurité web au niveau du point de terminaison. Cela permet à l'appareil de prendre des décisions simples concernant le trafic web avant de faire appel à l'artillerie lourde que nous conservons dans le cloud. Par exemple, en utilisant un simple filtrage basé sur le DNS, nous pouvons bloquer les catégories de sites web interdits et indésirables instantanément, sans devoir procéder à une analyse plus poussée. Il peut s'agir de contenus contraires à la réglementation ou aux normes de conformité de l'entreprise, à l'éthique et aux chartes de conduite de l'entreprise, ou de sites web connus pour être malveillants. Ce filtrage peut également bloquer les « appels sortants » des logiciels malveillants qui se trouvent déjà sur l'appareil et qui tentent de joindre leur serveur de commande et de contrôle. Il n'y a aucune raison d'envoyer ce type de trafic vers le cloud pour analyse alors qu'il peut être bloqué au niveau du point de terminaison.

D'un autre côté, il existe aussi des applications de confiance, et beaucoup d'entre elles ne fonctionnent pas correctement si le trafic est redirigé et qu'une connexion directe est nécessaire. Microsoft 365 est un exemple où une analyse approfondie du trafic web n'est pas forcément nécessaire. Diriger le trafic Microsoft 365 vers un SWG avant de se connecter à l'application peut également se traduire par une altération des performances. La sécurité des points de terminaison peut être suffisante dans ce cas de figure, ce qui permet de se passer de l'analyse du service cloud SWG.

Et il y a la catégorie intermédiaire : les sites web auxquels les utilisateurs sont autorisés à accéder mais pour lesquels le service informatique préfère parfois procéder à une analyse complète à l'aide d'une inspection SSL. N'oubliez pas que l'inspection SSL est nécessaire car la majeure partie du trafic web est chiffrée. L'inspection SWG sans inspection SSL ne répondra pas aux exigences de sécurité.

Le trafic Web autorisé et nécessitant une analyse complète est le cas de figure idéal pour la SWG et le SIA. Ces deux composants se complètent parfaitement pour sécuriser le trafic web qui n'est pas interdit mais qui présente un certain risque de contenu malveillant.

Accès à distance et accès réseau Zero Trust (ZTNA)

L'avantage que présente le fait que la majeure partie du trafic des utilisateurs est basée sur le web est que les solutions ZTNA modernes sont en mesure de remplacer de nombreuses connexions VPN. Le ZTNA peut connecter les utilisateurs à des applications individuelles, contrairement à une solution VPN classique qui relie l'appareil au réseau local sans aucune restriction d'accès. C'est l'avantage du ZTNA en termes de sécurité, mais la véritable raison pour laquelle le ZTNA remplace si rapidement les VPN classiques est l'expérience utilisateur exceptionnelle qu'il offre. Nous savons tous combien il était difficile de se connecter à distance au réseau de l'entreprise, en particulier pour ceux qui devaient se connecter à plusieurs hubs VPN.

Avec le ZTNA, tous les problèmes de routage, les reconnexions et les saisies de mots de passe interminables ont disparu. Une bonne solution ZTNA ne fait pas de différence entre la connexion de l'utilisateur depuis un site interne ou à distance, et assure toujours la conformité au moyen de contrôles relatifs à l'appareil. En remplaçant la connectivité VPN par le ZTNA, l'entreprise passe d'une confiance implicite illimitée à une évaluation continue de son niveau de sécurité. Il améliore également l'expérience utilisateur grâce à sa simplicité et à sa fonctionnalité sans faille.

Cela ne veut pas dire que les VPN ne peuvent pas fournir une connexion sécurisée. Des solutions telles que Barracuda CloudGen Firewall peuvent être configurées pour fournir une connectivité VPN avec une sécurité égale, mais le ZTNA est une option plus pratique et devrait être la solution d'accès à distance privilégiée pour les workloads cloud et locaux.  Un VPN correctement configuré peut constituer une solution sûre pour des cas particuliers tels que des protocoles spéciaux nécessitant des connexions routées. Dans ce cas, une analyse de sécurité supplémentaire avec des listes de contrôle d'accès (ACL) granulaires est indispensable.

Pourquoi faut-il en tenir compte ?

Il faut penser comme un pirate. Si vous essayez de pénétrer un système, jusqu'où pouvez-vous aller avant que le réseau disparaisse ou que vous vous heurtiez à une porte verrouillée ? Si l'on considère les attaques incessantes et les incidents de sécurité très médiatisés, en particulier lorsqu'ils sont associés à un accès à distance non sécurisé, je crains que la réponse ne soit « jusqu'au trésor ». Nous devons repenser la sécurité si nous voulons nous défendre face à la cybercriminalité. Le ZTNA et la SIA sont deux éléments majeurs d'un ensemble plus vaste. Ensemble, ils aident les entreprises à mettre en œuvre la sécurité là où elle est nécessaire, c'est-à-dire à la périphérie.

Neutraliser les attaques au moyen d'une défense acharnée

Il ne fait aucun doute que la cybercriminalité continuera d'évoluer et de gagner en intensité. Les attaques deviendront plus complexes à mesure que le machine learning occupera une place plus importante dans le développement des menaces. Pour défendre votre entreprise, le meilleur moyen est de déployer une défense à plusieurs niveaux qui protège la périphérie du réseau ainsi que les nombreux points de terminaison et ressources dispersés.

La solution SASE vous offre la flexibilité nécessaire pour répondre aux exigences de vos déploiements existants en matière de sécurité et de connectivité. Les tendances du secteur montrent que les solutions autonomes répondent de mieux en mieux à ces exigences en les transformant en fonctionnalités propres à un environnement SASE.

Barracuda propose des solutions de sécurité complètes, notamment Zero Trust Access. Nos experts peuvent répondre à vos questions et vous présenter nos solutions dans le cadre d'une démonstration, ou vous aider à déployer une version d'essai gratuite dans votre propre environnement.Pour vous lancer, rendez-vous sur notre site Web.