Autrefois, sécuriser l’infrastructure organisationnelle était plutôt simple : La plupart, voire la totalité, des applications, services et ressources dont un utilisateur – généralement un employé – avait besoin pour être productif étaient accessibles sur le réseau. Avec les bons identifiants, généralement un nom d’utilisateur et un mot de passe, vous étiez reconnu comme autorisé et fiable, capable d’accéder au réseau et d’utiliser toutes les applications, services et ressources auxquels vous aviez droit, tout en pouvant voir la majorité des autres éléments présents sur le réseau. Les organisations consolidaient leur sécurité périmétrique en se sentant protégées contre les attaques et menaces, convaincues que tout était sécurisé derrière les murs renforcés du « château » réseau.
Avec le temps, sécuriser les applications, services et ressources d’une organisation est devenu très complexe et exigeant. Aujourd’hui, vous ne pouvez plus définir ni identifier clairement le périmètre réseau, surtout avec l’usage grandissant des clouds, le télétravail généralisé, les appareils mobiles et l’explosion de l’Internet des objets (IoT). Vos collaborateurs incluent des employés, sous-traitants, consultants, fournisseurs de la chaîne d’approvisionnement, et d’autres encore. La complexité croissante de votre infrastructure explique rapidement pourquoi la sécurité réseau basée sur le périmètre ne suffit plus.
Entrez dans Zero Trust. Zero Trust n’est pas une idée nouvelle, mais c’est un concept de sécurité qui est aujourd’hui plus pertinent et important que jamais. Une architecture Zero Trust élimine le modèle d’un réseau de confiance à l’intérieur d’un périmètre défini. Zero Trust suppose qu’un attaquant est déjà présent dans un environnement. Cela suppose également qu’un environnement appartenant à une organisation n’est pas différent – et pas plus digne de confiance – qu’un environnement qui n’appartient pas à une organisation. De plus, une organisation ne doit jamais supposer une confiance implicite. La maxime Zero Trust est « Ne faites jamais confiance, vérifiez toujours ».
À mesure que le concept et le désir d’adopter une architecture Zero Trust se sont développés, la confusion sur ce qu’était exactement une architecture Zero Trust s’est également accrue.
Afin d'aider à la compréhension de l'architecture Zero Trust, le National Institute of Standards and Technology (NIST) a développé la publication spéciale NIST (SP) 800-207, Zero Trust Architecture . Bien qu'il ne s'agisse pas d'un guide de déploiement , SP 800-207 décrit Zero Trust pour les architectes de sécurité et fournit une feuille de route pour la migration et le déploiement des exigences de sécurité pour une architecture Zero Trust.
F5 figure parmi les 18 fournisseurs choisis pour collaborer avec le NCCoE du NIST sur le projet « Mise en œuvre d’une architecture Zero Trust ». Nous développons des méthodes pratiques et interopérables pour concevoir et construire des architectures Zero Trust conformes aux principes exposés dans NIST SP 800-207, Zero Trust Architecture. Les solutions exemplaires proposées combineront des produits commerciaux et open source, en tirant parti des normes de cybersécurité et des bonnes pratiques, afin de démontrer les solides capacités de sécurité d’une architecture Zero Trust adaptée à plusieurs cas d’usage courants en informatique d’entreprise. (Notez que le NIST n’évalue aucun produit commercial dans ce consortium et n’endosse aucun produit ni service utilisé.)
Des informations complémentaires sur ce consortium peuvent être trouvées sur https://www.nccoe.nist.gov/zerotrust .
« F5 est honoré et ravi d'annoncer sa collaboration avec le Centre national d'excellence en cybersécurité (NCCoE) du National Institute of Standards and Technology (NIST) sur son projet de « mise en œuvre d'une architecture Zero Trust », déclare Peter Kersten, vice-président des ventes - Federal. « Nous nous réjouissons de la mise en place d’un solide effort de collaboration avec nos partenaires et d’autres acteurs de premier plan de la sécurité, qui aboutira à des architectures de référence et à des démonstrations d’une variété d’approches de conception interactives et intégrées pour une architecture Zero Trust qui respecte les principes et les principes publiés dans la norme NIST SP 800-207, Zero Trust Architecture. »
F5 est rejoint sur ce projet par les collaborateurs Amazon Web Services (AWS), AppGate, Cisco, FireEye, Forescout, IBM, Ivanti, McAfee, Microsoft, Okta, Palo Alto Networks, PC Matic, Radiant Logic, SailPoint Technologies, Symantec (Broadcom), Tenable et Zscaler.
Le résultat de ce projet sera un guide de pratique de cybersécurité du NIST, une description accessible au public des étapes pratiques nécessaires à la mise en œuvre de conceptions de référence de cybersécurité pour une architecture Zero Trust.
Pour plus d’informations sur le projet « Implémentation d’une architecture Zero Trust », veuillez cliquer ici . Pour plus d'informations sur F5 BIG-IP Access Policy Manager (APM), veuillez cliquer ici .