Démystification des mythes ZTDR par Jason Garbis
Démystification des mythes du Zero Trust
Le Zero Trust est un marché bruyant et complexe avec un haut degré de chevauchement des solutions et, malheureusement, une surabondance de battage médiatique des fournisseurs. Cela a conduit à l'apparition de mythes sur le Zero Trust, qui apparaissent souvent comme des champignons indésirables et toxiques après une averse printanière. Bien que nous ne prévoyions (malheureusement) pas de faire exploser quoi que ce soit au cours de cet article de blog, nous allons utiliser notre machette métaphorique sur quelques mythes du Zero Trust. Alors, passons en mode nerd, mettons nos lunettes de sécurité et démystifions quelques mythes !
Mythe n°1 : Le Zero Trust est difficile
La réalité est que la sécurité de l'information elle-même est difficile, et le Zero Trust rend en fait les choses plus faciles. Une partie de la mauvaise perception peut être parce que le Zero Trust est une philosophie de sécurité qui met l'accent sur une approche holistique. Et cela encourage à son tour les équipes de sécurité, souvent pour la première fois, à considérer les choses d'un point de vue processus et commercial.
Le Zero Trust facilite cela car il vous donne un moyen d'abstraire une partie de la complexité grâce à un modèle de politique unifié. Par exemple, vous pouvez définir des politiques d'accès qui s'appliquent aux utilisateurs, qu'ils soient au bureau (sur site) ou travaillant à distance. C'est une amélioration significative par rapport aux architectures de sécurité traditionnelles, qui utilisent des modèles complètement différents pour les utilisateurs distants (par exemple, les VPN) et les utilisateurs sur site (par exemple, NAC). Un autre exemple - ces politiques peuvent utiliser des vérifications de posture des appareils d'une manière qui fonctionne de manière cohérente, que l'utilisateur utilise Windows ou soit sur un Mac.
À retenir : Le Zero Trust peut être facile à mettre en œuvre, en particulier pour l'un de nos cas d'utilisation préférés, sécuriser l'accès au système de sauvegarde et de récupération des données. Ce sont des systèmes de grande valeur souvent ciblés par les attaquants, et le nombre d'administrateurs système devrait être petit et bien connu. Pour faciliter cela, nous proposons trois questions pour votre équipe de sécurité :
1. Comment facilitons-nous l'accès sécurisé des administrateurs système à notre système de sauvegarde et de récupération des données ?
2. Comment le système de sauvegarde et de récupération des données est-il protégé contre l'accès non autorisé au réseau ?
3. Que signifierait pour vous si nous appliquions des contrôles d'accès contextuels et centrés sur l'identité ? Comment cela améliorerait-il notre sécurité, notre conformité et nos opérations ?
Nous espérons que ces questions susciteront une conversation sur le Zero Trust et sur la manière dont il peut être rapidement appliqué à votre environnement de sauvegarde et de récupération des données.
Mythe n°2 : Vous devez être parfait pour commencer
Lorsque nous parlons de Zero Trust, nous soulignons souvent le pouvoir des politiques d'accès basées sur des attributs utilisateur tels que les rôles ou l'appartenance à des groupes, ou sur des attributs de charge de travail. Cela peut amener les gens à la conclusion erronée qu'ils doivent avoir perfectionné leurs processus de gestion des identités et d'appartenance aux groupes, ainsi que leur inventaire de charges de travail et leurs processus de publication avant de pouvoir commencer. Pour citer le film culte Repo Man, “nonsense pernicieux !”
Le Zero Trust est un parcours d'apprentissage sans réserve et très certainement une fête où l'on vient comme on est. J'ai travaillé avec des entreprises ayant une grande variété de niveaux de maturité dans leurs écosystèmes informatiques et de sécurité, et chacune d'entre elles est capable de commencer et de progresser à court terme dans son parcours Zero Trust. Souvent, elles peuvent offrir une meilleure sécurité pour leur entreprise simplement en affinant leurs processus et en utilisant mieux les outils qu'elles ont en place - sans avoir à dépenser de budget supplémentaire pour acquérir de nouveaux outils.
À retenir : Pensez à deux domaines de force relative et deux de faiblesse relative dans votre environnement de sécurité. Par exemple, peut-être avez-vous un bon outil de gestion des appareils utilisateurs qui applique des configurations de sécurité. Ou peut-être, comme dans de nombreuses organisations, vous avez un ensemble “désordonné” de groupes de répertoires (souvent appelés un “énorme boule de cheveux”).
Les domaines de force sont de bons candidats pour être inclus dans vos politiques Zero Trust initiales. Dans notre exemple, il serait simple et puissant d'utiliser des vérifications de posture des appareils dans le cadre de vos politiques d'accès. Les domaines de faiblesse sont souvent de bonnes cibles pour des améliorations ciblées dans le cadre d'un projet Zero Trust. S'attaquer à l'énorme boule de cheveux des groupes de répertoires est une tâche massive, mais créer de nouveaux groupes pour un groupe d'utilisateurs bien compris - comme vos administrateurs de sauvegarde et de récupération des données - est tout à fait réalisable et a également l'avantage d'établir des processus clairs et nets pour l'appartenance aux groupes.
Mythe n°3 : Le Zero Trust concerne uniquement la sécurité
Bien que le Zero Trust soit absolument une stratégie de sécurité, il est important de reconnaître deux choses à ce sujet. Tout d'abord, rappelez-vous les objectifs fondamentaux de la sécurité de l'information - Confidentialité, Intégrité et Disponibilité. Atteindre la disponibilité nécessite que les équipes de sécurité de l'information appliquent le Zero Trust au-delà des frontières de sécurité typiques et influencent l'approche de leur entreprise en matière de sauvegarde et de récupération des données, ainsi que de continuité des affaires / récupération après sinistre (BC/DR).
Deuxièmement, les programmes Zero Trust apportent absolument de la valeur commerciale. Ils permettent à l'entreprise d'adopter de nouvelles technologies de manière sécurisée, d'ouvrir de nouveaux canaux pour une communication et une collaboration sécurisées avec les fournisseurs, partenaires et clients, et d'améliorer la productivité des utilisateurs. Sans oublier de réduire le fardeau de la satisfaction et du rapport sur les exigences de conformité, d'accélérer des activités commerciales stratégiques telles que la transformation numérique ou les fusions et acquisitions, et d'accélérer les processus commerciaux grâce à une meilleure expérience utilisateur et des méthodes d'accès.
Certaines de ces améliorations, même lorsqu'elles sont axées sur des activités petites ou quotidiennes, peuvent donner des résultats convaincants. Et, les projets Zero Trust initiaux plus petits ont également l'avantage d'être déployés et opérationnalisés rapidement.
À retenir : Parlez à vos propriétaires de données et d'applications de leurs processus et de leurs frustrations concernant les expériences de sauvegarde et de récupération des données. Comment la catégorisation, l'intégration, les tests et la validation peuvent-ils être améliorés ? Quelles barrières liées à l'accès un projet Zero Trust peut-il supprimer ?
Mythe n°4 : Le Zero Trust est uniquement une initiative du gouvernement américain
Il est vrai que le gouvernement fédéral américain a pris une position publique sur l'obligation d'adopter le Zero Trust pour ses départements et a amplifié sa sensibilisation et son adoption. Ils méritent beaucoup de crédit pour cela, car le Zero Trust encapsule les meilleures pratiques et approches de notre secteur. Et les guides et architectures Zero Trust publiés par des agences américaines telles que le National Institute of Standards and Technology (NIST), la National Security Agency (NSA) et le Department of Defense (DoD) sont solides, précieux et applicables à l'échelle mondiale tant pour les organisations publiques que privées.
Cependant, même avec tout ce soutien du gouvernement américain, il est important de se rappeler que le Zero Trust a vu le jour dans le secteur privé, et a été chaleureusement adopté et soutenu par des fournisseurs, des cabinets de conseil et des entreprises du monde entier. Il existe également de nombreux gouvernements non américains qui ont adopté le Zero Trust, comme Singapour, le Royaume-Uni, le Canada, l'Australie, et d'autres.
En fait, je soutiendrais que cette approche hautement décentralisée du Zero Trust a contribué à son succès, créant un marché riche (mais certes bruyant) d'idées, de solutions et d'approches. Et ce marché est important - même avec la pléthore de documents du gouvernement américain, il existe définitivement des domaines où le secteur privé doit améliorer et combler des lacunes. Par exemple, le document de la NSA intitulé Advancing Zero Trust Maturity Throughout the Data Pillar ne mentionne même pas la sauvegarde et la récupération des données, qui constituent une énorme partie de la mission d'une équipe de sécurité. Pour cela, nous recommandons notre contribution à l'industrie, le concept de Résilience des données Zero Trust.
À retenir : Examinez la fiche d'information sur la cybersécurité de la NSA concernant la sécurité des données, puis lisez le document Object First comme pièce complémentaire. Après avoir lu ces documents, réfléchissez à la manière dont votre organisation devrait aborder la sécurité des données dans le cadre de votre initiative Zero Trust et comment votre système de sauvegarde et de récupération des données devrait être sécurisé.
Conclusion : Mythes…Démystifiés !
D'accord ! Retirons nos lunettes de sécurité, prenons une limonade et asseyons-nous. Démystifier ces mythes a été un travail difficile, mais espérons qu'en le faisant, nous avons clarifié les choses et facilité votre parcours vers le Zero Trust.
La sécurité de l'information est difficile, et il n'y a aucun doute là-dessus. Mais c'est aussi une profession amusante, stimulante et gratifiante. Permettre à nos entreprises d'atteindre leur mission, de garder nos utilisateurs en sécurité et productifs, et de rendre nos données sûres et résilientes - ce sont des objectifs dignes et significatifs. Alors, continuons, distinguons les mythes des faits et travaillons à progresser dans nos parcours Zero Trust.