BLOG

F5 collabore avec le Centre national d'excellence en cybersécurité (NCCoE) du NIST sur la « mise en œuvre d'un projet d'architecture Zero Trust »

Vignette de Joe Scherer
Joe Scherer
Publié le 23 août 2021

À une époque plus simple, sécuriser l’infrastructure organisationnelle était relativement facile : La plupart, sinon la totalité, des applications, des services et des ressources nécessaires à un utilisateur – généralement un employé – pour être productif étaient disponibles sur le réseau. Avec les bonnes informations d'identification, généralement un nom d'utilisateur et un mot de passe, les utilisateurs étaient considérés comme autorisés et dignes de confiance et pouvaient accéder au réseau et utiliser n'importe quelle application, service et ressource pour lesquels ils étaient autorisés, ainsi que voir la plupart des autres applications, services et ressources du réseau. Les organisations ont renforcé leur périmètre de sécurité et se sont senties en sécurité contre les attaques et les menaces, car tout était en sécurité derrière les murs fortifiés du « château » du réseau.

Au fil du temps, cependant, sécuriser les applications, les services et les ressources d’une organisation est devenu extrêmement complexe et difficile. Aujourd’hui, le périmètre du réseau n’est pas facilement défini ou identifiable, en particulier avec l’utilisation croissante des clouds, le mouvement de travail à distance, l’utilisation des appareils mobiles et l’explosion de l’Internet des objets (IoT). Le personnel peut être composé d’employés, d’entrepreneurs, de consultants, de fournisseurs de la chaîne d’approvisionnement, etc. La complexité de l’infrastructure organisationnelle actuelle a rapidement dépassé ce que la sécurité réseau basée sur le périmètre est capable de gérer.

Entrez dans Zero Trust. Zero Trust n’est pas une idée nouvelle, mais c’est un concept de sécurité qui est aujourd’hui plus pertinent et important que jamais. Une architecture Zero Trust élimine le modèle d’un réseau de confiance à l’intérieur d’un périmètre défini. Zero Trust suppose qu’un attaquant est déjà présent dans un environnement. Cela suppose également qu’un environnement appartenant à une organisation n’est pas différent – et pas plus digne de confiance – qu’un environnement qui n’appartient pas à une organisation. De plus, une organisation ne doit jamais supposer une confiance implicite. La maxime Zero Trust est « Ne faites jamais confiance, vérifiez toujours ».

À mesure que le concept et le désir d’adopter une architecture Zero Trust se sont développés, la confusion sur ce qu’était exactement une architecture Zero Trust s’est également accrue.

Afin d'aider à la compréhension de l'architecture Zero Trust, le National Institute of Standards and Technology (NIST) a développé la publication spéciale NIST (SP) 800-207, Zero Trust Architecture . Bien qu'il ne s'agisse pas d'un guide de déploiement , SP 800-207 décrit Zero Trust pour les architectes de sécurité et fournit une feuille de route pour la migration et le déploiement des exigences de sécurité pour une architecture Zero Trust.

F5 a été désigné comme l'un des 18 fournisseurs à collaborer avec le NCCoE du NIST sur le « projet de mise en œuvre d'une architecture Zero Trust » pour développer des approches pratiques et interopérables pour la conception et la construction d'architectures Zero Trust qui s'alignent sur les principes et principes documentés dans NIST SP 800-207, Zero Trust Architecture . Les exemples de solutions proposés intégreront des produits commerciaux et open source qui exploitent les normes de cybersécurité et les pratiques recommandées pour présenter les fonctionnalités de sécurité robustes d'une architecture Zero Trust appliquée à plusieurs cas d'utilisation informatique d'entreprise courants. (Veuillez noter que le NIST n'évalue pas les produits commerciaux dans le cadre de ce consortium et n'approuve aucun produit ou service utilisé.)

Des informations complémentaires sur ce consortium peuvent être trouvées sur https://www.nccoe.nist.gov/zerotrust

« F5 est honoré et ravi d'annoncer sa collaboration avec le Centre national d'excellence en cybersécurité (NCCoE) du National Institute of Standards and Technology (NIST) sur son projet de « mise en œuvre d'une architecture Zero Trust », déclare Peter Kersten, vice-président des ventes - Federal. « Nous nous réjouissons de la mise en place d’un solide effort de collaboration avec nos partenaires et d’autres acteurs de premier plan de la sécurité, qui aboutira à des architectures de référence et à des démonstrations d’une variété d’approches de conception interactives et intégrées pour une architecture Zero Trust qui respecte les principes et les principes publiés dans la norme NIST SP 800-207, Zero Trust Architecture. »

F5 est rejoint sur ce projet par les collaborateurs Amazon Web Services (AWS), AppGate, Cisco, FireEye, Forescout, IBM, Ivanti, McAfee, Microsoft, Okta, Palo Alto Networks, PC Matic, Radiant Logic, SailPoint Technologies, Symantec (Broadcom), Tenable et Zscaler.

Le résultat de ce projet sera un guide de pratique de cybersécurité du NIST, une description accessible au public des étapes pratiques nécessaires à la mise en œuvre de conceptions de référence de cybersécurité pour une architecture Zero Trust.

Pour plus d’informations sur le projet « Implémentation d’une architecture Zero Trust », veuillez cliquer ici . Pour plus d'informations sur F5 BIG-IP Access Policy Manager (APM), veuillez cliquer ici .