Subscribe:

Ads 468x60px

Featured Posts

27 March 2023

Fortinet ZTNA - Architecture

Pour effectuer un déploiement ZTNA dans Fortinet, trois composants sont nécessaires. Tout d'abord, un FortiGate est requis pour l'authentification des utilisateurs et des appareils, ainsi que pour appliquer la politique de sécurité. Ensuite, il faut déployer le serveur EMS ou Endpoint Management Server à partir duquel les profils de sécurité sont définis, la télémétrie est effectuée et nous faisons une gestion centralisée de tous les appareils. Enfin, il est nécessaire d'installer l'agent FortiClient sur les appareils finaux pour pouvoir effectuer les contrôles de sécurité, c'est-à-dire que c'est le logiciel qui vérifiera le degré de conformité de la sécurité et établira les connexions avec le FortiGate.
 
Fortinet ZTNA - Architecture

Si l'on rentre dans le détail de l'interaction entre ces trois éléments, on constate qu'il existe plusieurs flux de communication entre tous les composants. D'une part, le FortiClient communiquera avec le serveur EMS pour lui envoyer toutes les informations de télémétrie, c'est-à-dire qu'il enverra toutes les informations relatives aux données de l'utilisateur. De plus, le serveur EMS enverra au FortiClient les politiques et profils de sécurité de ce FortiClient. Il existe donc une communication bidirectionnelle entre les deux composants. D'autre part, lors du processus d'enregistrement du FortiClient sur le serveur EMS, un processus de génération de certificat numérique aura lieu pour identifier de manière unique le FortiClient. De cette façon, nous allons avoir une authentification des appareils basée sur des certificats numériques totalement transparente pour l'utilisateur. Par conséquent, chaque FortiClient disposera d'un certificat signé par le serveur EMS qu'il présentera ultérieurement au FortiGate lors de la phase d'authentification. Lorsque le FortiClient veut se connecter au FortiGate, le pare-feu aura toutes les informations de l'appareil de l'utilisateur car elles ont été préalablement envoyées par le serveur EMS, c'est-à-dire que le serveur EMS enverra au FortiGate l'état de conformité de tous les appareils comme ainsi que les informations des utilisateurs et les certificats que les FortiClients doivent présenter pour vérifier l'identité des appareils.
 
Architecture - Flux de gestion et d'acces aux applications

Au moment où l'utilisateur souhaite établir une connexion avec une application, ce que FortiGate va faire initialement est une vérification de certificat pour authentifier l'appareil. Heureusement, la conformité de la sécurité et la vérification des certificats sont transparentes pour l'utilisateur et, par conséquent, aucune action de l'utilisateur n'est requise. De cette manière, l'utilisateur pourra accéder aux applications Web en utilisant FortiGate comme proxy, c'est-à-dire qu'en aucun cas une connexion directe ne sera établie avec les applications. Cela nous aide également à protéger les applications contre d'éventuelles intrusions. Cependant, pour les connexions TCP uniquement, telles qu'une connexion SSH ou RDP, un tunnel TLS sera établi contre le FortiGate et le pare-feu initiera la connexion contre le serveur SSH ou RDP.
 
Flux pour les connexions TCP uniquement

Vous souhaitez implémenter une architecture ZTNA ?
0 comments
Labels: , ,

20 March 2023

Modèle de confiance zéro (ZTNA)

Si nous allons à l'état actuel de la cybersécurité, nous savons tous que nos utilisateurs sont de plus en plus mobiles. Actuellement, un utilisateur peut utiliser plusieurs appareils de nature différente. Il peut s'agir d'un PC d'entreprise, d'un ordinateur portable personnel ou de téléphones portables d'entreprise ou personnels. De plus, les applications et les infrastructures sont de plus en plus distribuées. Certaines applications sont migrées d'environnements sur site vers des environnements plus distribués en tant que service, par exemple, O365. De plus, il faut ajouter que nous avons des bureaux distants et des télétravailleurs qui accéderont également à toutes ces applications distribuées. Le résultat est que nous avons un périmètre très diffus où nous ne savons pas où se trouve l'intérieur, où se trouve l'extérieur, ni d'où l'on accède à toutes ces ressources et dans quelles conditions. Cependant, nous savons que toutes les menaces qui existent sont de plus en plus complexes et sophistiquées, et des modèles basés sur l'intelligence artificielle et l'apprentissage automatique commencent même à être mis en œuvre qui tirent parti de toutes ces faiblesses dérivées du manque de périmètre et d'un environnement difficile à défendre.

Zero Trust est un modèle de cybersécurité qui définit une série de principes de sécurité basés sur le fait que les menaces existent partout, c'est-à-dire à l'intérieur et à l'extérieur du réseau. Pour cette raison, ce qui est fait est de se débarrasser de la confiance implicite de tout actif, c'est-à-dire tout appareil qui veut accéder à n'importe quelle donnée d'entreprise, où qu'il se trouve, que ce soit dans le CPD traditionnel ou dans le cloud, doivent démontrer qu'ils sont valides, qu'ils sont autorisés et qu'ils respectent certaines normes de sécurité définies par notre entreprise. Il ne peut en aucun cas constituer une menace. Cette architecture Zero Trust va être alimentée avec différentes informations, c'est-à-dire que nous allons avoir différents systèmes qui vont vider les informations d'état de tous ces appareils pour vérifier cette fiabilité. Ainsi, tant que l'appareil est fiable, il pourra accéder aux ressources strictement nécessaires. Un appareil n'aura pas accès, quelle que soit sa fiabilité, à des ressources auxquelles il ne devrait pas pouvoir accéder. Vous devrez vérifier à tout moment que l'appareil est toujours digne de confiance et vous devrez effectuer une action de correction ou d'isolement lorsqu'il ne sera plus digne de confiance.

Il existe deux types de déploiements Zero Trust : ZTNA et ZTA. ZTNA consiste à contrôler l'accès aux applications. Un proxy est utilisé qui permet aux utilisateurs distants d'accéder aux applications sans avoir à établir de VPN traditionnels. Cependant, ZTA a à voir avec l'architecture de contrôle d'accès à l'infrastructure réseau. Il contrôle quoi ou qui est connecté au réseau via des commutateurs, des points d'accès ou même via le VPN, et vérifie où ils se situent par rapport à notre politique de sécurité. Ce n'est que lorsque l'appareil est connu pour être digne de confiance que l'accès nécessaire lui sera fourni. Par conséquent, ZTA est plus lié à notre réseau tandis que ZTNA est plus lié aux applications.

A quelle solution Zero Trust pensez-vous ?

0 comments
Labels: , ,
Subscribe to: Posts ( Atom )
Related Posts Plugin for WordPress, Blogger...

Entradas populares

  • HSRP, VRRP o GLBP
    Las organizaciones con un gran número de usuarios o servicios no pueden permitirse el lujo de dejar a los usuarios durante varias h...
  • Improving SSL VPN performance with DTLS
    N etworks are increasingly faster, mainly, because the method of access to the medium is faster than ever with up to 100 Gigabit Etherne...
  • Checksum
    E l checksum y el CRC son mecanismos para detectar errores en la transmisión de datos que nos ayudan a determinar la integridad de los d...
  • Metodología de redes (FCAPS)
    En la certificación CCNP no sólo estoy aprendiendo qué tecnología es necesaria para construir redes escalables, cómo mejorar los fluj...
  • Decrypting DTLS traffic with Wireshark
    I’ ve written about Improving SSL VPN performance with DTLS recently thus I would like to write about how-to decrypt this traffic wit...