Fortinet ZTNA - Architecture

Pour effectuer un déploiement ZTNA dans Fortinet, trois composants sont nécessaires. Tout d'abord, un FortiGate est requis pour l'authentification des utilisateurs et des appareils, ainsi que pour appliquer la politique de sécurité. Ensuite, il faut déployer le serveur EMS ou Endpoint Management Server à partir duquel les profils de sécurité sont définis, la télémétrie est effectuée et nous faisons une gestion centralisée de tous les appareils. Enfin, il est nécessaire d'installer l'agent FortiClient sur les appareils finaux pour pouvoir effectuer les contrôles de sécurité, c'est-à-dire que c'est le logiciel qui vérifiera le degré de conformité de la sécurité et établira les connexions avec le FortiGate.

 

Fortinet ZTNA - Architecture

Si l'on rentre dans le détail de l'interaction entre ces trois éléments, on constate qu'il existe plusieurs flux de communication entre tous les composants. D'une part, le FortiClient communiquera avec le serveur EMS pour lui envoyer toutes les informations de télémétrie, c'est-à-dire qu'il enverra toutes les informations relatives aux données de l'utilisateur. De plus, le serveur EMS enverra au FortiClient les politiques et profils de sécurité de ce FortiClient. Il existe donc une communication bidirectionnelle entre les deux composants. D'autre part, lors du processus d'enregistrement du FortiClient sur le serveur EMS, un processus de génération de certificat numérique aura lieu pour identifier de manière unique le FortiClient. De cette façon, nous allons avoir une authentification des appareils basée sur des certificats numériques totalement transparente pour l'utilisateur. Par conséquent, chaque FortiClient disposera d'un certificat signé par le serveur EMS qu'il présentera ultérieurement au FortiGate lors de la phase d'authentification. Lorsque le FortiClient veut se connecter au FortiGate, le pare-feu aura toutes les informations de l'appareil de l'utilisateur car elles ont été préalablement envoyées par le serveur EMS, c'est-à-dire que le serveur EMS enverra au FortiGate l'état de conformité de tous les appareils comme ainsi que les informations des utilisateurs et les certificats que les FortiClients doivent présenter pour vérifier l'identité des appareils.

 

Architecture - Flux de gestion et d'acces aux applications

Au moment où l'utilisateur souhaite établir une connexion avec une application, ce que FortiGate va faire initialement est une vérification de certificat pour authentifier l'appareil. Heureusement, la conformité de la sécurité et la vérification des certificats sont transparentes pour l'utilisateur et, par conséquent, aucune action de l'utilisateur n'est requise. De cette manière, l'utilisateur pourra accéder aux applications Web en utilisant FortiGate comme proxy, c'est-à-dire qu'en aucun cas une connexion directe ne sera établie avec les applications. Cela nous aide également à protéger les applications contre d'éventuelles intrusions. Cependant, pour les connexions TCP uniquement, telles qu'une connexion SSH ou RDP, un tunnel TLS sera établi contre le FortiGate et le pare-feu initiera la connexion contre le serveur SSH ou RDP.

 

Flux pour les connexions TCP uniquement

Vous souhaitez implémenter une architecture ZTNA ?

Modèle de confiance zéro (ZTNA)

Si nous allons à l'état actuel de la cybersécurité, nous savons tous que nos utilisateurs sont de plus en plus mobiles. Actuellement, un utilisateur peut utiliser plusieurs appareils de nature différente. Il peut s'agir d'un PC d'entreprise, d'un ordinateur portable personnel ou de téléphones portables d'entreprise ou personnels. De plus, les applications et les infrastructures sont de plus en plus distribuées. Certaines applications sont migrées d'environnements sur site vers des environnements plus distribués en tant que service, par exemple, O365. De plus, il faut ajouter que nous avons des bureaux distants et des télétravailleurs qui accéderont également à toutes ces applications distribuées. Le résultat est que nous avons un périmètre très diffus où nous ne savons pas où se trouve l'intérieur, où se trouve l'extérieur, ni d'où l'on accède à toutes ces ressources et dans quelles conditions. Cependant, nous savons que toutes les menaces qui existent sont de plus en plus complexes et sophistiquées, et des modèles basés sur l'intelligence artificielle et l'apprentissage automatique commencent même à être mis en œuvre qui tirent parti de toutes ces faiblesses dérivées du manque de périmètre et d'un environnement difficile à défendre.

Zero Trust est un modèle de cybersécurité qui définit une série de principes de sécurité basés sur le fait que les menaces existent partout, c'est-à-dire à l'intérieur et à l'extérieur du réseau. Pour cette raison, ce qui est fait est de se débarrasser de la confiance implicite de tout actif, c'est-à-dire tout appareil qui veut accéder à n'importe quelle donnée d'entreprise, où qu'il se trouve, que ce soit dans le CPD traditionnel ou dans le cloud, doivent démontrer qu'ils sont valides, qu'ils sont autorisés et qu'ils respectent certaines normes de sécurité définies par notre entreprise. Il ne peut en aucun cas constituer une menace. Cette architecture Zero Trust va être alimentée avec différentes informations, c'est-à-dire que nous allons avoir différents systèmes qui vont vider les informations d'état de tous ces appareils pour vérifier cette fiabilité. Ainsi, tant que l'appareil est fiable, il pourra accéder aux ressources strictement nécessaires. Un appareil n'aura pas accès, quelle que soit sa fiabilité, à des ressources auxquelles il ne devrait pas pouvoir accéder. Vous devrez vérifier à tout moment que l'appareil est toujours digne de confiance et vous devrez effectuer une action de correction ou d'isolement lorsqu'il ne sera plus digne de confiance.

Il existe deux types de déploiements Zero Trust : ZTNA et ZTA. ZTNA consiste à contrôler l'accès aux applications. Un proxy est utilisé qui permet aux utilisateurs distants d'accéder aux applications sans avoir à établir de VPN traditionnels. Cependant, ZTA a à voir avec l'architecture de contrôle d'accès à l'infrastructure réseau. Il contrôle quoi ou qui est connecté au réseau via des commutateurs, des points d'accès ou même via le VPN, et vérifie où ils se situent par rapport à notre politique de sécurité. Ce n'est que lorsque l'appareil est connu pour être digne de confiance que l'accès nécessaire lui sera fourni. Par conséquent, ZTA est plus lié à notre réseau tandis que ZTNA est plus lié aux applications.

A quelle solution Zero Trust pensez-vous ?

Certification Lead Auditor ISO 27001

Je me souviens de la première fois où j'ai lu la norme ISO 27001. C'est en 2012 que je suis tombé sur cette norme internationale car l'entreprise pour laquelle je travaille, Ariadnex, souhaitait être certifiée. Au début, il semble qu'il y ait beaucoup de paperasse et plus tard beaucoup de travail pour maintenir les politiques, les procédures et les contrôles. C'est vraiment vrai mais ça vaut le coup car c'est le meilleur moyen de sécuriser les informations de l'entreprise.

J'ai commencé avec ISO 27001:2005 où il y avait 113 contrôles dans 11 catégories de contrôle. Tout était nouveau pour moi. J'étais un débutant. Plus tard, ISO 27001: 2013 a été publié là où il y avait de nouveaux contrôles tandis que d'autres ont été modifiés. En fait, il y avait 114 contrôles dans 14 catégories de contrôle. Je n'étais pas novice et j'ai compris les changements. Aujourd'hui, toutes les entreprises sont certifiées avec la nouvelle norme ISO 27001:2022, où il existe également de nouveaux contrôles et d'autres ont été modifiés pour cette nouvelle ère. Nous avons actuellement 93 contrôles dans 4 catégories de contrôle. Je comprends tous les contrôles et je suis capable d'auditer des entreprises en ISO 27001.

Cela fait plus de 10 ans que j'ai travaillé pour la première fois avec la norme ISO 27001, j'ai donc sauté le pas pour être certifié ISO 27001 Lead Auditor. La semaine dernière, j'ai réussi l'examen. Cela n'a pas été vraiment difficile pour moi. J'ai pris des exemples de tests, j'ai lu un livre que la société de certification m'a envoyé, et bien sûr j'ai lu la norme ISO 27001:2022. C'était 40 questions pour une heure où j'avais besoin de plus de 80% de bonnes questions. J'ai réussi. Je suis vraiment heureux.

On y va!!

ISO 27001:2022 - Les 11 nouveaux contrôles

La nouvelle norme ISO/IEC 27001:2022 est une mise à jour du catalogue principal de contrôles ISO 27002, officiellement un "ensemble de contrôles de référence pour la sécurité de l'information". En plus de la restructuration générale et la mise à jour des contrôles de l'édition 2013, la commission a renforcé la couverture de la « Sécurité pour le Cloud Computing » avec le nouveau contrôle 5.23, ainsi que dix autres nouveaux contrôles, principalement dans la section 8. (contrôles technologiques) :

• Renseignements sur les menaces (5.7) : collectez des renseignements pertinents et exploitables sur les menaces à l'information, en les alimentant dans le processus de gestion des risques liés à l'information.

• Préparation des TIC pour la continuité des activités (5.30) : les organisations doivent se préparer à gérer des incidents graves qui affectent et/ou impliquent des processus critiques.

• Supervision de la sécurité physique (7.4) : Installer des alarmes anti-intrusion, CCTV, gardes, etc. pour les locaux commerciaux. Il s'agit d'un contrôle tellement basique et commun que vous ne pouvez pas croire qu'il manquait à l'édition précédente.

• Gestion de la configuration (8.9) : fait référence à la nécessité de gérer la sécurité et d'autres détails de configuration pour le hardware, les logiciels, les services et les réseaux.

• Suppression d'informations (8.10) : Il s'agit d'un autre contrôle « évident » indiquant que les données doivent être supprimées lorsqu'elles ne sont plus nécessaires pour éviter une divulgation inutile et pour des raisons de conformité. Cependant, les détails précis de la manière dont les informations sont supprimées sont importants dans la pratique.

• Masquage des données (8.11) : conformément à la politique de contrôle d'accès de l'organisation, en plus des autres exigences commerciales et obligations de conformité, les contrôles de sécurité sont appropriés pour atténuer le risque de divulgation d'informations personnelles sensibles.

• Prévention des fuites de données (8.12) : DLP est nécessaire pour protéger les informations sensibles contre la divulgation et l'extraction de données non autorisées (vol, surveillance, etc.).

• Activités de surveillance (8.16) : les « anomalies » dans les réseaux, systèmes et applications informatiques doivent être détectées et traitées pour atténuer les risques associés.

• Filtrage Web (8.23) : limiter l'accès aux sites Web inappropriés ou risqués est un contrôle de sécurité de l'information suffisamment important pour justifier son inclusion dans la norme ISO 27001.

• Codage sécurisé (8.28) : les logiciels doivent être conçus et programmés de manière sécurisée, ce qui réduit le nombre et la gravité des vulnérabilités exploitables résultant de défauts de conception et d'erreurs de programmation. Ce contrôle est presque entièrement piloté par le principe de « secure by design ».

Cependant, cette nouvelle norme est assez faible en ce qui concerne la sécurité de l'Internet des objets (IoT), ce qui n'est pas surprenant étant donné que ce domaine est encore immature. Les objets IoT prolifèrent si rapidement, et la technologie est si limitée en termes de traitement, de stockage et d'autres capacités, que les contrôles de sécurité des informations sont toujours problématiques.

À bientôt !