Qu’est-ce qu’un périmètre défini par logiciel ou Software Defined Perimeter (SDP) ?

Un périmètre défini par logiciel (SDP pour Software Defined Perimeter) est une méthodologie de sécurité qui contrôle l’accès aux ressources sur la base de l’identité et forme une frontière virtuelle autour des ressources en réseau.

Le SDP est basé sur un modèle de besoin de savoir, où la posture et l’identité de l’appareil sont vérifiées avant que l’accès à l’infrastructure de l’application ne soit accordé. Cette approche est fournie par le cloud et utilise la politique de l’entreprise pour déterminer qui a accès à quelles ressources.

Les solutions SDP limitent l’accès aux ressources aux utilisateurs autorisés par le biais d’un processus en plusieurs étapes, offrant une cybersécurité et appliquant un modèle de sécurité zero trust.

Un périmètre défini par logiciel est conçu pour rendre l’infrastructure applicative invisible sur Internet, réduisant ainsi la vulnérabilité des attaques basées sur le réseau, telles que les DDoS, les ransomwares, les malwares et l’analyse des serveurs.

Il intègre également la sécurité au niveau des couches réseau, transport, session, présentation et application, et prend en charge une variété d’appareils, notamment les ordinateurs portables, les ordinateurs personnels, les appareils mobiles et les appareils IoT.

En limitant l’accès au réseau interne en fonction de l’identité de l’utilisateur, un SDP réduit considérablement la surface de menace d’une organisation et son exposition au cyber-risque.

Pendant des décennies, le modèle de sécurité traditionnel a envoyé tout le trafic vers un site d’entreprise doté des fonctionnalités de sécurité requises.

Au début du siècle, ce modèle avait du sens, car la plupart des employés travaillaient sur le site de l’entreprise et le cloud computing n’existait pas encore, de sorte que le backhauling d’une petite partie du trafic internet était tolérable.

Mais beaucoup de choses ont changé. Soixante-dix pour cent des personnes travaillent actuellement à distance au moins un jour par semaine, tandis que 92 % des entreprises utilisent des services de cloud public, l’entreprise moyenne ayant accès à un peu moins de cinq fournisseurs différents.

Le SDP est un cadre de sécurité conçu pour gérer, sécuriser et contrôler l’accès aux systèmes et environnements en réseau.

Voici comment il fonctionne :

• Vérification de l’identité : Avant d’accorder l’accès à l’infrastructure des applications, le SDP vérifie l’identité et la position de l’appareil qui demande l’accès. Cela permet de s’assurer que seuls les utilisateurs autorisés ont accès aux ressources.
• Périmètre virtuel : Le SDP forme un périmètre virtuel autour des ressources en réseau, rendant l’infrastructure d’application invisible à l’internet. Ce périmètre réduit la surface d’attaque des attaques basées sur le réseau, telles que les DDoS, les ransomwares, les malwares et l’analyse des serveurs.
• Fourni par le cloud : Le cloud fournit le SDP et utilise la politique de l’entreprise pour déterminer qui peut accéder aux ressources. Cela permet une gestion sécurisée des accès dans l’ensemble de l’organisation.
• Modèle de sécurité zero trust : Les solutions SDP limitent l’accès aux ressources aux seuls utilisateurs autorisés par le biais d’un processus en plusieurs étapes, offrant ainsi une cybersécurité et appliquant un modèle de sécurité zero trust.
• Authentification multifactorielle (MFA) : Le SDP fait souvent appel à l’authentification multifactorielle, qui ajoute une couche de sécurité supplémentaire. Les utilisateurs doivent authentifier leur identité à l’aide de plusieurs méthodes, comme les mots de passe, la vérification biométrique ou les jetons de sécurité.

Grâce à des politiques contextuelles, le SDP ajuste les droits d’accès en fonction de facteurs contextuels tels que la localisation de l’utilisateur, l’état de l’appareil et l’heure d’accès. Cet ajustement dynamique des politiques permet d’atténuer les risques associés aux différents scénarios d’accès.

Les systèmes SDP surveillent et enregistrent en permanence les accès, ce qui permet d’analyser et de réagir en temps réel aux menaces potentielles. Cela permet d’évaluer en permanence les niveaux de confiance et de réagir immédiatement aux activités suspectes.

De nombreux utilisateurs ayant besoin d’un accès à distance aux centres de données des entreprises se connectent via un réseau privé virtuel (VPN). Cette approche présente toutefois plusieurs limites.

Par exemple, les VPN créent de nouveaux vecteurs d’attaque importants, en partie parce qu’une fois que les utilisateurs sont authentifiés, ils sont considérés comme fiables et bénéficient d’un accès indûment large.

Les VPN peuvent également être difficiles à gérer et se traduisent souvent par une mauvaise expérience pour l’utilisateur.

Le routage des VPN peut être notoirement inefficace, en particulier avec l’augmentation du travail à distance et l’utilisation accrue d’appareils personnels à des fins professionnelles. Ces appareils qui se connectent aux ressources informatiques de l’entreprise via des VPN peuvent être infectés par des malwares ou ne pas être conformes aux politiques de sécurité de l’entreprise, ce qui représente un risque pour le réseau.

Les VPN d’accès à distance manquent souvent de fonctions de sécurité intégrées, ce qui nécessite un déploiement supplémentaire de solutions de sécurité derrière chaque serveur VPN. Il est donc plus difficile de relier directement toutes les sources et destinations potentielles de trafic, ce qui oblige à renvoyer le trafic vers le réseau du siège pour inspection, ce qui peut dégrader les performances et augmenter le temps de latence.

Pour les utilisateurs qui ont besoin d’accéder à l’internet, les services informatiques peuvent soit acheminer le trafic des utilisateurs distants vers un site central avant de le transférer vers l’internet, soit transférer ce trafic directement vers l’internet. La première approche augmente les coûts et dégrade l’expérience de l’utilisateur. La seconde approche expose fortement l’entreprise aux failles de sécurité. Il est donc nécessaire de trouver une alternative à l’accès VPN.

Le périmètre défini par logiciel (SDP) et le réseau privé virtuel (VPN) sont des approches d’accès sécurisées, mais elles présentent des différences significatives en matière de contrôle d’accès, de connectivité, de visibilité du réseau et d’automatisation.

• Contrôle d’accès : Les VPN accordent aux utilisateurs un accès complet au réseau, tandis que les SDP autorisent l’accès sur la base de politiques personnalisées. Les SDP ne partagent pas les connexions et chaque utilisateur dispose d’une connexion réseau chiffrée distincte, ce qui limite leur capacité à se déplacer sur d’autres ressources du réseau. Les solutions SDP limitent l’accès aux utilisateurs autorisés par le biais d’un processus en plusieurs étapes, appliquant un modèle de sécurité zero trust, tandis que les VPN connectent les appareils à des réseaux partageant le même accès au réseau.
• Connectivité : Les outils SDP créent des connexions sécurisées entre les utilisateurs et les actifs centraux ou basés sur le cloud, agissant essentiellement comme un « VPN privé », dissimulant les utilisateurs et les actifs aux regards extérieurs. Les VPN sont centrés sur l’IP et le réseau, connectant les appareils aux réseaux, tandis que les SDP fournissent des connexions sécurisées entre les utilisateurs autorisés et les applications autorisées, et non le réseau.
• Visibilité du réseau : Les VPN limitent la visibilité du réseau pour les services informatiques, alors que les SDP la permettent. Le SDP est une solution plus souple, qui offre aux équipes informatiques un meilleur contrôle sans sacrifier la sécurité.
• Automatisation : Les politiques peuvent être automatisées avec un SDP, ce qui offre une évolutivité dans les environnements informatiques dynamiques, alors que les VPN ne sont pas aussi facilement automatisables.

En résumé, le SDP offre une approche plus sûre et plus souple du contrôle d’accès, en particulier dans les environnements informatiques dynamiques modernes, ce qui en fait une meilleure solution de sécurité que les VPN traditionnels.

L’alternative logique à l’approche de la sécurité réseau centrée sur le site est une solution holistique simple dans laquelle les utilisateurs distants ne se connectent pas à un site mais à une solution globale de réseau en tant que service (NaaS) qui fournit une connectivité sécurisée disponible en permanence.

D’un point de vue architectural, l’une des différences les plus significatives entre l’approche traditionnelle de la sécurité et le NaaS est qu’il tire parti des énormes avancées technologiques associées à la mégatendance consistant à fournir toutes les formes de fonctionnalités informatiques en tant que service.

L’approche NaaS native du cloud reconnaît que les entreprises ne disposent plus d’un périmètre bien défini, c’est pourquoi la solution s’appuie sur un périmètre défini par logiciel (SDP).

Selon Gartner, une architecture de périmètre défini par logiciel est définie comme un ensemble logique de participants disparates, connectés au réseau, au sein d’une enclave informatique sécurisée.

Cette approche offre de multiples avantages :

• Amélioration de la sécurité et de la protection des données : Le SDP renforce la sécurité en créant une frontière virtuelle autour des ressources en réseau, quel que soit leur emplacement, et en contrôlant l’accès sur la base de l’identité. Les ressources sont généralement cachées au public et l’accès est limité, par l’intermédiaire d’un courtier de confiance, aux participants spécifiés de l’enclave, ce qui soustrait les actifs à la visibilité publique et réduit la surface d’attaque. Cette approche permet d’atténuer les attaques internes et externes contre la sécurité du réseau et de se protéger contre divers vecteurs d’attaque tels que le déni de service, la force brute, le vol d’informations d’identification et les attaques de type « man-in-the-middle ».
• Surface d’attaque réduite : Le SDP réduit considérablement la surface d’attaque, ce qui permet de renforcer la protection des applications cloud et de donner un contrôle plus centralisé aux propriétaires de systèmes tout en augmentant la visibilité de toutes les connexions autorisées. Cette réduction de la surface d’attaque minimise le risque de menaces externes et internes, améliorant ainsi la sécurité interne et réduisant le risque de piratage.
• Flexibilité et cohérence : Le SDP offre une plus grande souplesse et une meilleure cohérence dans les contrôles d’accès, la gestion des politiques et la protection du réseau. Il permet de simplifier la gestion des politiques et d’intégrer la sécurité à plusieurs niveaux, notamment au niveau du réseau, du transport, de la session, de la présentation et de l’application.
• Compatibilité et réduction des coûts : Le SDP prend en charge une large gamme d’appareils, notamment les ordinateurs portables, les PC, les appareils mobiles et les appareils IoT. Le DPS diminue également le coût global de possession en réduisant les coûts de prévention/détection des terminaux et de réponse aux incidents, tout en minimisant la complexité de l’intégration des contrôles.

Pour tirer pleinement parti de ces avantages, une mise en œuvre efficace est essentielle. La solution NaaS reposant sur le SDP doit s’appuyer sur un réseau doté d’un nombre suffisant de point of presence (PoP), de sorte que chaque terminal se trouve à quelques millisecondes d’un PoP.

Pour être véritablement holistique, la solution doit prendre en charge tous les types de terminaux, y compris les utilisateurs distants, les succursales, les installations d’entreprise et les centres de données, ainsi que les centres de données du cloud public.

Elle doit également prendre en charge tous les utilisateurs, qu’ils utilisent un appareil géré ou non, et capturer des journaux complets de tous les appareils. Ces journaux doivent être accessibles et disponibles pour toute une série d’outils d’analyse.

Compte tenu de l’intensité et de la sophistication des attaques de sécurité actuelles, les organisations ne peuvent plus risquer un modèle de sécurité qui fait confiance aux utilisateurs authentifiés et leur accorde un large accès.

Au lieu de cela, un modèle de sécurité zero trust donne aux utilisateurs une identité unique et fixe et crée des connexions dynamiques un à un entre les utilisateurs et l’accès aux ressources nécessaires.

Par défaut, l’accès est refusé à moins qu’il ne soit explicitement accordé, et le droit d’accès est vérifié en permanence.

La façon dont les gens travaillent et acquièrent des services informatiques a considérablement changé au cours des dix à quinze dernières années.

Au cours de cette période, la sophistication, la fréquence et l’intensité des failles de sécurité ont augmenté de façon spectaculaire. Par conséquent, l’ancien modèle de sécurisation du périmètre d’une entreprise n’est plus valable.

Les organisations informatiques n’ont pas d’autre choix : elles doivent adopter un nouveau paradigme de sécurité basé sur les principes de la sécurité zero trust et d’un périmètre défini par logiciel.

Un SDP offre une alternative impressionnante aux VPN traditionnels. Il permet aux entreprises de déployer et de sécuriser l’accès à distance pour tous les utilisateurs, ce qui les aide à évoluer rapidement et économiquement tout en réduisant le risque potentiel d’attaques.

Lors de l’intégration d’un système SDP, les entreprises doivent prendre en compte l’ensemble de l’écosystème qui façonne leur posture de sécurité.

• Évaluer la prise en charge des protocoles : Certaines solutions SDP peuvent ne pas prendre en charge les protocoles peer-to-peer (P2P), la voix sur IP (VoIP), le protocole d’initiation de session (SIP) ou le système de signalisation 7 (SS7). Il est essentiel d’évaluer la prise en charge des protocoles par la solution SDP pour garantir la compatibilité avec les exigences spécifiques de l’organisation.
• Définir les politiques d’accès : Avec le SDP, l’objectif est de fournir un accès précis en fonction des besoins de l’utilisateur. Les organisations doivent créer une liste d’applications et de services d’entreprise spécifiques à offrir de manière sélective à chaque groupe d’utilisateurs. Cela implique la mise en place de politiques personnalisées basées sur l’identité pour les groupes et les utilisateurs et la définition de l’accès à des applications et services spécifiques.
• Mettre en œuvre les politiques de SDP : Après avoir défini les politiques d’accès, les entreprises doivent les mettre en œuvre à l’aide de l’interface administrative SDP. Il s’agit de mettre en place les politiques d’accès planifiées dans les étapes précédentes afin de s’assurer que la solution SDP s’aligne sur les exigences de sécurité et de contrôle d’accès de l’organisation.
• Prendre en compte la visibilité du réseau : Le SDP permet une visibilité du réseau, offrant aux équipes informatiques un meilleur contrôle sans sacrifier la sécurité. Il est important de déterminer comment la solution SDP améliore la visibilité et le contrôle du réseau au sein de l’entreprise.
• Évaluer l’automatisation et la flexibilité : Les solutions SDP peuvent être automatisées et offrent une approche plus flexible que les VPN traditionnels. Les entreprises doivent évaluer les capacités d’automatisation et la flexibilité de la solution SDP pour s’assurer qu’elle s’adapte à leur environnement informatique dynamique et à leurs besoins en matière de sécurité.

Enfin, il convient de rechercher des solutions SDP qui simplifient la gestion des périphériques, réduisent la charge administrative et éliminent la nécessité de gérer les composants de sécurité réseau traditionnels tels que les pare-feu et l’équilibrage de charge global.

Pour plus d’informations, consultez Proofpoint.