De nombreuses moyennes et grandes entreprises utilisent des solutions technologiques telles que l’authentification unique (SSO), la détection et la réponse des points de terminaison (EDR) et la gestion des appareils mobiles (MDM) dans le cadre de leur solution globale de gestion des systèmes. Cependant, ces solutions ne fonctionnent pas toujours bien pour les employés qui ont besoin d’accéder à distance à leur réseau d’entreprise via un réseau privé virtuel (VPN). Quelles sont certaines difficultés ou limitations lors de l’utilisation de SSO, EDR et MDM sur une connexion VPN ? J’ai récemment demandé à Tarun Desikan, COO et co-fondateur Sécurité banian pour ça. Voici ses réponses à ma série de questions.
MITCH : Tarun, examinons ce problème pièce par pièce, en commençant par SSO. Quelles sont certaines des difficultés ou limitations impliquées lors de l’utilisation de l’authentification unique via une connexion VPN ?
Tarun : Aujourd’hui, la plupart des entreprises ont migré l’authentification unique de l’installation interne traditionnelle d’Active Directory vers le cloud IDP tel qu’Azure AD, Okta et OneLogin. Ces clouds IDP servent ensuite de portail d’employés pour l’authentification à d’autres services cloud multi-locataires tels que Microsoft Office 365, Google Workspace (également connu sous le nom de G Suite), Salesforce et AWS.
La mise en place d’un VPN pour l’authentification dans un cloud IDP (qui, par définition, est disponible sur Internet) présente de nombreuses limitations. Premièrement, vous dégradez l’expérience utilisateur des employés. Au lieu de simplement cliquer sur un bouton pour accéder à leurs ressources cloud via Internet, ils doivent désormais activer un VPN et renouveler le trafic de leur réseau d’entreprise pour y accéder. Cela peut être extrêmement lent et les employés en déplacement ou sur des appareils mobiles détestent particulièrement ce processus.
Deuxièmement, vous n’améliorez pas vraiment la sécurité. Nous avons entendu parler d’innombrables cas où les employés activent le VPN uniquement pour l’authentification avec le Cloud IDP, puis désactivent immédiatement le VPN pour le reste de la journée pour accéder à Internet haute performance dans leurs applications. L’équipe de sécurité vérifie un cadre de conformité et les utilisateurs font ce qu’ils doivent faire, mais ce type de système interfère avec la sécurité globale de l’entreprise.
Enfin, l’approche VPN nécessite des systèmes basés sur la liste des IP autorisées, qui sont complexes à exploiter et à maintenir. Le simple fait d’ajouter des tiers, tels que des sous-traitants et des fournisseurs, à votre cloud IDP nécessite désormais des dispositifs de pare-feu sophistiqués ou des dispositifs propriétaires. Permettre aux développeurs d’exécuter des charges de travail dans le cloud ou de fournir un accès à la programmation transforme un simple flux de création de compte de service en un problème de connexion réseau complexe.
Les VPN ont été conçus pour un monde où l’authentification unique était implémentée via le service interne Active Directory. Les VPN sont désormais un anachronisme à une époque où l’authentification unique est implémentée à l’aide du cloud IDP.
MITCH : Examinons l’EDR, qui permet de sécuriser votre réseau. Une solution EDR peut-elle fonctionner en douceur avec une approche VPN pour fournir aux utilisateurs d’entreprise un accès distant ? Ou y a-t-il des problèmes qui peuvent survenir?
Tarun : les VPN sont conçus pour permettre la connectivité réseau et non pour appliquer en permanence des politiques de sécurité. Ainsi, lorsqu’un utilisateur s’authentifie et se connecte au réseau, le travail d’application de la politique VPN est essentiellement effectué.
Lorsque la solution EDR (qui se concentre sur la surveillance continue et la réponse aux menaces sur les terminaux) détecte une activité malveillante sur l’appareil d’un utilisateur, il n’y a aucun moyen d’envoyer ce signal à un VPN afin qu’il puisse modifier ses politiques de connexion réseau.
La plupart des applications EDR fournissent un “marteau” pour fermer complètement l’accès Internet sur un appareil, mais cela est généralement trop lourd pour la plupart des scénarios.
Les VPN sont conçus pour permettre la connexion réseau, pas pour appliquer constamment des politiques de sécurité. Ainsi, lorsqu’un utilisateur s’authentifie et se connecte au réseau, le travail d’application de la politique VPN est essentiellement effectué.
Ce que vous voulez vraiment, c’est un moyen d’utiliser les signaux EDR pour modifier, en temps réel, les droits d’accès accordés à un utilisateur et à un appareil. Autrement dit, si EDR détecte une activité suspecte, redirigez l’utilisateur vers une passerelle de récupération. Sinon, si un utilisateur désactive l’EDR sur un appareil, bloquez l’accès aux ressources à haut risque, mais laissez-le contacter l’assistance pour obtenir de l’aide.
Vous ne pouvez pas créer ces types de politiques avec un VPN.
MITCH : Qu’en est-il de l’intégration MDM avec accès VPN distant. Existe-t-il des problèmes de sécurité, de convivialité ou de gestion associés à ce type de configuration ?
Tarun : Développer des capacités d’accès à distance via la gestion des appareils est tout à fait logique, car le service informatique peut gérer les deux de manière centralisée.
Cependant, en ce qui concerne le déploiement d’appareils mobiles et de VPN via MDM, les professionnels de l’informatique doivent garder à l’esprit certaines des préoccupations de leurs utilisateurs :
- Confidentialité : de nombreux utilisateurs (sous-traitants, employés qui utilisent des appareils personnels, etc.) ne souhaitent pas gérer/contrôler leurs appareils par le MDM d’entreprise
- Performances : de nombreux utilisateurs ne toléreront pas la décharge de la batterie mobile induite par VPN
D’un point de vue administratif, la stratégie MDM + VPN manque également de flexibilité pour créer différentes politiques basées sur le type d’appareil – non géré, non enregistré, BYOD, etc. et pour l’application continue de ces politiques.
Ainsi, bien que l’intégration du MDM et du VPN pour l’accès à distance puisse avoir du sens, il existe de nombreux scénarios dans lesquels des stratégies alternatives seraient probablement mieux adaptées aux utilisateurs mobiles d’une entreprise.
MITCH : Je comprends que Banyan a une approche pour fournir un accès à distance sécurisé qui évite ce genre de problèmes et s’intègre bien aux solutions SSO, EDR et MDM. Expliquez comment cela fonctionne d’un point de vue technique, puisque la plupart de nos lecteurs sont des professionnels.
Tarun : Le tableau ci-dessous explique les flux techniques permettant de mettre en place un modèle de sécurité moderne « Zero Trust ».
Banyan s’intègre à votre SSO/MFA via SAML et UEM/MDM et EDR via des crochets API. Chaque fois qu’un utilisateur essaie d’accéder à une ressource, Banyan calcule un score de fiabilité basé sur la confiance de l’utilisateur et de l’appareil, l’attitude de sécurité de l’appareil et la sensibilité des ressources. Ce Banyan TrustScore active ensuite un mécanisme de politique pour permettre une autorisation continue qui aligne le risque de la demande avec la sensibilité des ressources, en révoquant la médiation d’accès si nécessaire.
Banyan a créé une solution d’accès réseau Zero Trust (ZTNA) fiable, simple et évolutive qui permet une segmentation rapide et facile de l’utilisateur à l’application, offrant aux utilisateurs et aux développeurs sans mot de passe un accès en un clic à une infrastructure et à des applications complexes de n’importe où – sans le besoin de solutions de réseau central telles que VPN. Le contrôle d’accès basé sur la confiance offre un contrôle détaillé et Enterprise Edge nous offre les applications les plus flexibles du secteur.
MITCH : Comment votre solution est-elle mise en œuvre pour une entreprise type ?
Tarun : Chez Banyan, nous avons un cadre d’intégration qui fournit des assurances tout au long du processus et aide à adopter une attitude de sécurité à faible impact envers les utilisateurs, contribuant ainsi à générer des achats d’employés dans toute votre organisation. Commencer par Banyan et enfin suivre votre parcours Zero Trust comporte quatre étapes :
- Définir une preuve de concept (PoC)
- Comprendre vos appareils et leurs niveaux de confiance respectifs
- Application de la politique d’accès
- Fourniture de services supplémentaires
Nous commençons par identifier une application PoC. Étant donné que Banyan peut être inséré de manière transparente sans avoir à modifier le réseau ou à perturber les flux de travail des utilisateurs finaux existants, vous pouvez instantanément gagner en visibilité pour les utilisateurs qui ont accès à cette application PoC.
L’étape suivante consiste à mieux comprendre les appareils utilisés pour accéder à l’application PoC. Banyan propose de nombreuses façons d’enregistrer des appareils de manière transparente. Zero Touch Deployment permet une installation et un enregistrement totalement silencieux via l’application Banyan. Un utilisateur peut également enregistrer son appareil manuellement en quelques étapes seulement. À mesure que l’enregistrement des appareils évolue, nous commençons à recevoir des informations sur les plates-formes d’appareils et leurs niveaux de confiance.
Maintenant, nous sommes prêts pour la troisième étape. La politique d’accès Banyan pour l’application PoC a été mise en mode “Apprentissage” jusqu’à présent et nous avons maintenant enregistré la plupart des utilisateurs et des appareils qui ont accès à l’application et nous savons exactement quels utilisateurs seront affectés lorsque la politique entrera en ” mode candidature”. Connaître cet impact est vital pour la commercialisation réussie de tout produit Zero Trust. Une fois que nous sommes sûrs de l’impact que cela aura, nous pouvons maintenant mettre en œuvre notre première politique de confiance zéro.
Avec cette application initiale en place, les organisations peuvent désormais commencer à protéger des tissus hôtes supplémentaires, le SaaS et l’infrastructure d’accès avec Banyan.
MITCH : Comment la solution Zero Trust de Banyan se compare-t-elle aux autres solutions du marché ? Cette expression « confiance zéro » est assez récente – que signifie-t-elle exactement dans le contexte de la propre solution de Banyan ?
Tarun : La plupart des solutions de confiance zéro sur le marché sont simplement des VPN redéfinis – la même technologie sous-jacente qu’un nouveau splash marketing. Au fond, les VPN font ce pour quoi ils sont conçus : connecter deux réseaux. Ils réussissent souvent en termes de performances et fournissent trop d’accès sans les contrôles de sécurité requis nécessitant constamment un accès minimal aux privilèges et à la confiance de l’appareil.
Banyan a été conçu dès le départ pour le “Zero Trust”, fournissant un contrôle d’accès de niveau de confiance pour les entreprises dans tous les environnements (cloud et centre de données), où les utilisateurs se connectent à leur application en un seul clic, la politique de sécurité est constamment autorisée et appliquée. peut être déployé en quelques minutes via un réseau Enterprise Edge.
La plupart des solutions de confiance zéro sur le marché sont simplement des VPN redéfinis – la même technologie sous-jacente qu’un nouveau splash marketing. Au fond, les VPN font ce pour quoi ils sont conçus : connecter deux réseaux. Ils réussissent souvent en termes de performances et fournissent trop d’accès sans les contrôles de sécurité requis nécessitant constamment un accès minimal aux privilèges et à la confiance de l’appareil.
MITCH : Ajoutez les derniers mots que vous voulez dire au sujet.
Tarun : « Zero Trust » peut être un terme assez polarisant dans la communauté informatique. Il y a beaucoup d’attentes et d’attentes irréalistes. Mais si vous épluchez un peu l’oignon, vous verrez également que les principes de sécurité de base sont solides et qu’il existe un ensemble émergent de solutions comme Banyan qui peuvent permettre une bien meilleure sécurité pour votre entreprise et offrir une expérience utilisateur supérieure. Nous vous encourageons à les explorer.
MITCH : Merci beaucoup de nous avoir fait part de vos réflexions sur ce sujet.
Tarun : De rien.
Image en vedette : Shutterstock
Vues de la publication :
3
Post Views:
74
